Angriff

Phishing: Verbrecher attackieren vermehrt über https-Seiten

Früher sagte man: "Achte auf https und Schloss-Zeichen in der Browserzeile, dann bist du sicher vor Phishing". Das stimmt nun leider nicht mehr, wie Sicherheitsforscher aufgedeckt haben.
Von

Beim Phishing werden auch oft Kreditkartendaten abgegriffen Beim Phishing werden auch oft Kreditkartendaten abgegriffen
Bild: dpa Phishing ist ein ärgerliches Übel: Wer schon einmal gutgläubig die Zugangsdaten zu einem Online-Account oder gar zum Online-Banking auf einer gefälschten Internetseite eingegeben hat, weiß, wie groß der Ärger werden kann: Ganz abgesehen vom drohenden finanziellen Schaden muss man möglichst schnell Benutzername und Passwort ändern oder den Account sicherheitshalber komplett sperren lassen.

Dass alte Vorsichtsregeln nicht unbegrenzt gelten, zeigt ein Bericht der Sicherheitsforscher von PhishLabs. Denn lange Zeit predigte man Internetnutzern, vor der Eingabe stets auf die Adresszeile des Browsers zu achten. Wären hier das Präfix https und das Schlosszeichen zu sehen, sei die Verbindung auf jeden Fall sicher. Doch das stimmt nicht mehr.

25 Prozent der Phishing-Seiten mit https

Beim Phishing werden auch oft Kreditkartendaten abgegriffen Beim Phishing werden auch oft Kreditkartendaten abgegriffen
Bild: dpa Bereits in den vergangenen Jahren sind vereinzelt Berichte darüber aufgetaucht, dass kriminelle Phisher sich https-Zertifikate besorgt und diese auf ihren betrügerischen Internetseiten implementiert haben. Dieses Phänomen hat nun offenbar drastisch zugenommen. Laut den Sicherheitsexperten werde mittlerweile ein Viertel aller weltweiten Phishing-Seiten mit https betrieben.

Das konterkariert die eigentlich gute Entwicklung, dass ein Großteil aller seriösen Internetseiten mittlerweile mit https betrieben wird, um sich von Schwarzen Schafen zu unterscheiden. teltarif.de hat beispielsweise im April 2016 mit Tests der https-Verschlüsselung begonnen und diese dann zunächst bei allen Seiten mit sensiblen Daten und schließlich auf allen Seiten freigeschaltet. Im Januar dieses Jahres haben Chrome und Firefox damit begonnen, ihre Nutzer grundsätzlich zu warnen, wenn sie über eine unverschlüsselte Verbindung surfen.

Nun sind also die Zeiten endgültig vorbei, in denen man https als sicheres Unterscheidungsmerkmal zwischen seriösen und unseriösen Internetseiten empfehlen kann. Laut Let’s Encrypt waren 65 Prozent aller Seiten, die Firefox-Nutzer im November geladen haben, per https verschlüsselt, Ende 2016 waren es noch 45 Prozent. Ein viel rasanteres Wachstum bei den https-Seiten können allerdings die Phishing-Verbrecher vorweisen: Vor einem Jahr waren nur rund drei Prozent der Phishing-Seiten mit einem SSL-Zertifikat versehen, nun sind es bereits rund knapp 25 Prozent aller Phishing-Seiten.

Missverständnisse: Was ist https NICHT?

Die Forscher stellen nochmals klar, was https ist, nämlich lediglich eine Transportverschlüsselung. Alle Daten, die von und zu dieser Seite gesendet werden, sind transportverschlüsselt. https sei aber kein Zeichen dafür, dass die Seite frei von Sicherheitslücken ist oder dass Sicherheitslücken dort von den Betreibern zeitnah gestopft werden.

Durch den zahlenmäßigen Anstieg von https-Seiten komme es auch vor, dass unsichere oder schlampig konfigurierte https-Seiten von Hackern übernommen und zu Seiten für verbrecherische Zwecke umfunktioniert werden. Ist dann auf der Seite ein https-Zertifikat: Umso besser für die Angreifer, denn dann fällt die feindliche Übernahme nicht so schnell auf.

Außerdem würden es Phisher immer wieder schaffen, Domains zu registrieren und diese dann ganz legal mit https abzusichern. Bereits 2016 war die Hälfte aller Phishing-Domains von den Verbrechern selbst registriert worden. Von den Domains, zu denen die momentanen Phishing-Attacken auf Apple- und PayPal-Nutzer zielen, sind bereits drei Viertel von den Verbrechern selbst registriert.

Rat vom BSI und der Verbraucherzentrale NRW

Trotz dieser Entwicklungen nennt das BSI in seinem Phishing-Ratgeber immer noch das Fehlen einer https-Verschlüsselung als Erkennungsmerkmal einer unsicheren Seite. Gleichzeitig schreibt das Institut, in der Adresszeile würden bei einer Phishing-Seite Internetadressen erscheinen, die den echten ähnlich sind, aber unübliche Zusätze enthalten (zum Beispiel Zahlen: www.135x-bank.com oder www.x-bank.servicestelle.de). Außerdem werde beim vermeintlichen Banking auf einer Phishing-Seite meist ohne ersichtlichen Grund sofort eine TAN abgefragt.

Die Merkmale einer Phishing-Mail hat die Verbraucherzentrale NRW recht gut beschrieben. Wir erläutern darüber hinaus, was neben Phishing unter Pharming zu verstehen ist.

Mehr zum Thema Phishing