Lassen Sie uns in das Jahr 1994 zurückreisen. Sie müssen nicht Ihren Pager herauskramen oder Ihr Flanellhemd anziehen. Das war das Jahr, in dem das erste SSL Protokoll geboren wurde. Es wurde von Netscape eingeführt, um den wachsenden Bedarf an zusätzlicher Sicherheit für diese neumodische Erfindung namens Internet zu decken.
Mehrere Versionen von SSL später wurde es schließlich zu dem TLS , das wir heute kennen. Wie ein schlechter Spitzname wird TLS jedoch immer noch als SSL bezeichnet.
Seit den Anfängen des Webbrowsers gibt es immer wieder Probleme mit der Sicherheit von SSL-Zertifikaten. Cyberkriminelle verwenden gerne Phishing-Betrügereien mit SSL -Zertifikaten und geben sie als vertrauenswürdige Websites aus. Diesen Betrug gibt es bereits seit 2005, als die ersten Berichte über Phishing mit SSL -Zertifikaten auftauchten.
Einem Bericht der Anti-Phishing Working Group (APWG) und des Unternehmens PhishLabs zufolge werden im ersten Quartal 2021, 83% der Phishing-Seiten die Verschlüsselung SSL aktiviert. Erstaunlicherweise war dies das erste Mal, dass die Zahl seit Beginn der PhishLabs-Studie im Jahr 2015 nicht mehr gestiegen ist.
Unternehmen können diese Nachricht jedoch nicht als Grund dafür nehmen, ihre Wachsamkeit gegenüber SSL Phishing-Angriffen zu vernachlässigen. Zumal Phishing-Bedrohungen insgesamt zunehmen und die Gesamtzahl um 22% in der ersten Hälfte des Jahres 2021.
Warum Angreifer gerne SSL phishing betreiben
Es war Ronald Reagan, der das Sprichwort "vertraue, aber überprüfe" prägte, und das gilt besonders für SSL Zertifikate. Das kleine Vorhängeschloss-Symbol im Browser vermittelt ein Gefühl des Vertrauens, dass Sie geschützt sind und nicht jemand mit Ihrem ganzen Geld abhaut. Und es sind Cyber-Kriminelle, die darauf aus sind, dieses Vertrauen zu brechen.
SSL Zertifikate sollen all die Dinge schützen, die für Cyberkriminelle Gold wert sind - vom Geburtstag bis zur letzten Bankabhebung. Betrügerische HTTPS-Websites sind ein beliebtes Einfallstor für diese Informationen für Hacker, die wissen, wie sie leicht ein falsches Gefühl von Sicherheit vermitteln können. Es ist für sie relativ einfach, eine gefälschte HTTPS-Website mit dem vertrauenswürdigen Vorhängeschloss einzurichten, wobei die Angriffe oft als "geringes Risiko, hohe Belohnung" beschrieben werden.
Die Vorgehensweise der Angreifer besteht in der Regel darin, sich Originalzertifikate von SSL für ähnlich aussehende oder mit Tippfehlern versehene Domains zu beschaffen oder schlicht und einfach Zertifikate von SSL zu stehlen. Untersuchungen von Deloitte haben ergeben, dass 91% aller Cyberangriffe mit einer Phishing-E-Mail an unerwartete Opfer beginnen. Sie werden in der Regel über einen Link in einer E-Mail, die von einer seriösen Adresse wie einem angesehenen Unternehmen oder einer bekannten Person stammt, auf die Websites gelockt.
Im zweiten Quartal dieses Jahres, 90.5% der Phishing-Websites Domain Validated (DV) SSL -Zertifikate verwendet. Zertifikate mit Organisationsvalidierung (OV) waren bei Cyberkriminellen am zweitbeliebtesten und machten 9.51% der SSL -Zertifikate. DV-Zertifikate stehen wahrscheinlich deshalb ganz oben auf der Liste, weil sie leicht zu erwerben und oft kostenlos sind. Bei OV-Zertifikaten muss der Domaininhaber in der Regel mehr Schritte zur Authentifizierung der Website unternehmen.
Nur 11 Standorte hatten Extended Validation (EV)-Zertifikate. Bei diesen Websites handelte es sich um legitime Websites, die gehackt worden waren, und nicht um Websites, die von Angreifern erstellt worden waren, die irgendwie in den Besitz von EV-Zertifikaten gelangt waren.
Die verschiedenen Arten von HTTPS-Phishing-Angriffen
Eines der bekanntesten Beispiele für die Verwendung von E-Mails und ähnlich aussehenden Websites für Phishing-Aktionen ist wohl Sony Pictures. Im Jahr 2014 schickten Hacker höchstwahrscheinlich gefälschte Apple-ID-E-Mails an Mitarbeiter von Sony. Mitarbeiter, die auf den Link in der E-Mail klickten, wurden auf eine Apple-Website geleitet, die der echten sehr ähnlich sah. Die Hacker konnten dann in das Unternehmen eindringen und Passwörter, Logins und andere wertvolle Daten stehlen.
Obwohl Apple bei Angreifern sehr beliebt ist, schaffte es das Unternehmen nicht einmal in die Top Ten der jährlichen Vade-Liste der am häufigsten bei Phishing-Angriffen imitierten Marken. Das dritte Jahr in Folge ging der Spitzenplatz an Microsoft. Das Unternehmen hatte 30.621 eindeutige Phishing-URLs. Facebook folgte mit 14.876 URLs und PayPal, Chase und eBay rundeten die Top Five ab.
Im Folgenden werden einige gängige Arten von HTTPS-Phishing-Angriffen näher beleuchtet. Diese Techniken werden ständig weiterentwickelt, und viele werden in Kombination eingesetzt, um eine noch größere Bedrohung darzustellen.
- Man-in-the-Middle-Angriff (MITM): Angreifer belauschen sichere Unterhaltungen zwischen zwei Parteien ab, die denken, dass sie nur miteinander kommunizieren, und verschaffen sich oft mit abgelaufenen SSL Zertifikaten Zugang.
- SSL Stripping-Angriff: Hierbei handelt es sich um eine Form des Man-in-the-Middle-Angriffs, bei dem Hacker eine Webverbindung von dem sichereren HTTPS auf das weniger sichere HTTP herunterstufen, indem sie Abziehen der Verschlüsselung.
- Wildcard-Zertifikate: Angreifer verwenden einen gestohlenen privaten Schlüssel, um Zugang zu einem Wildcard-Zertifikat oder sie bringen die Zertifizierungsstelle dazu, es für ein gefälschtes Unternehmen auszustellen.
HTTPS-Phishing und die COVID-19-Pandemie
Es ist keine Überraschung, dass Cyberkriminelle die Pandemie für HTTPS-Phishing-Angriffe nutzen würden. Sie nutzen die Menschen in einer schwierigen Zeit mit Social-Engineering-Taktiken aus, die sie auf betrügerische Websites locken, die von Heilmitteln bis hin zu gefälschten Nachrichten alles anbieten.
SpyCloud analysierte eine Liste von über 136.000 Hostnamen und voll qualifizierten Domainnamen mit COVID-19 oder Coronavirus-Themen. Dabei wurde festgestellt, dass 78.4% der Domains mit COVID-19-Thema HTTP und der Rest HTTPS verwendet.
Pandemie-bezogene Phishing-Versuche im Juni 2021 gestiegen 33% im Vergleich zu einer Flaute der COVID-19-Bedrohungskampagnen im Frühjahr und Frühsommer 2021, als die Virenbedenken vorübergehend abnahmen. Die Spitze im Juni trat genau dann auf, als die Google-Suche nach "Delta-Variante" ihren Höhepunkt erreichte.
Auch die Personalabteilungen von Unternehmen fordern ihre Mitarbeiter vermehrt auf, Impfnachweise (mit Geburtsdatum!) oder persönliche Coronavirus-Testergebnisse über ein ungesichertes Formular oder einen Upload zu übermitteln, das für Hacker ein gefundenes Fressen ist. Eine weitere Methode, die immer häufiger angewandt wird, ist das Versenden von Phishing-E-Mails in denen den Mitarbeitern mitgeteilt wird, dass sie aufgrund der Pandemie ihren Arbeitsplatz verlieren werden.
Aufgrund der Pandemie sind viele Unternehmen dazu übergegangen, von zu Hause aus zu arbeiten. Allerdings haben es die Unternehmen versäumt, ihre Cybersicherheitsprotokolle durchzusetzen, und die Mitarbeiter arbeiteten von zu Hause aus mit wenig Aufsicht. Mehr als die Hälfte der IT-Führungskräfte sind der Meinung, dass sich ihre Mitarbeiter ein schlechtes Verhalten im Bereich der Cybersicherheit angeeignet haben, seit sie von zu Hause aus arbeiten.
Fernarbeit hat zu einer zunehmenden Abhängigkeit von Cloud-Anwendungen geführt. Microsoft Office 365 ist die bevorzugte Plattform für verteilte Mitarbeiter, und es wird geschätzt, dass Office 365 von über einer Million Unternehmen weltweit genutzt wird. Das Problem ist, dass Office 365 ein Favorit unter Hackern ist. Es gab eine hohe Anzahl Phishing-Versuche, um Anmeldedaten für Microsoft Office 365 zu stehlen. Die Opfer werden häufig aufgefordert, ihre Microsoft-Anmeldedaten auf gefälschten Websites einzugeben, die zwar echt aussehen, aber nicht über das richtige SSL -Zertifikat verfügen.
Oder Kriminelle greifen Microsofts Tochterunternehmen wie den Cloud-basierten E-Mail-Verwaltungsdienst Mimecast an. Anfang dieses Jahres behauptete Mimecast, dass Angreifer es auf das digitale Zertifikat abgesehen hatten, das es bestimmten Kunden für die sichere Verbindung seiner Produkte mit Microsoft 365 zur Verfügung stellte. Bei dem kompromittierten Zertifikat handelte es sich höchstwahrscheinlich um ein vertrauenswürdiges SSL -Zertifikat, das für Mimecast ausgestellt worden war.
Schützen Sie Ihr Unternehmen vor HTTPS-Phishing
Im Februar 2021 hatte Google Chrome einen Anteil von rund 46% des gesamten Internet-Browser-Marktanteils in den Vereinigten Staaten. Google berichtet, dass über 90% der Seitenaufrufe in Chrome auf den meisten Betriebssystemen über HTTPS im Vergleich zu HTTP erfolgen. Ab diesem Jahr wird Googles Webbrowser Chrome eine optionale Standardeinstellung für den "Nur-HTTPS-Modus" einführen. Die neue Einstellung erscheint als einfacher Schalter auf der Sicherheitsseite der Einstellungen und macht HTTP-Websites unzugänglich, wenn sie aktiviert ist.
Außerdem will Google das Vorhängeschloss-Symbol abschaffen und erwägt stattdessen ein nach unten zeigendes Chevron/Caret, das ein Menü zum Festlegen von Site-Berechtigungen und zum Anzeigen anderer Site-Details öffnet. In der von Google durchgeführten Umfrage unter mäßig technisch versierten Befragten gaben nur 11% der Teilnehmer die Bedeutung des Vorhängeschloss-Symbols richtig erkennen. Einige hielten es für das Lesezeichen-Symbol oder das Favicon der Website. Und dieses Problem ist nur eine weitere Ebene im Verständnis der Menschen, dass nur weil eine Website HTTPS hat, es nicht bedeutet, dass sie garantiert vertrauenswürdig ist.
Wahrscheinlich gibt es in Ihrem Unternehmen einen Abschnitt über Phishing-Angriffe, aber vergewissern Sie sich, dass er sich speziell auf HTTPS-Phishing bezieht. Lange Zeit sind die Mitarbeiter davon ausgegangen, dass, wenn sie das Vorhängeschloss-Symbol sehen, die Seite, die sie besuchen, sicher ist. Klären Sie sie über die HTTPS-Cyberbedrohungen auf, um Ihr Unternehmen besser vor Phishing-Angriffen mit SSL Zertifikaten zu schützen.
Im Folgenden finden Sie einige einfache Tipps, die Sie an Ihr Unternehmen weitergeben können:
- Wenn ein Mitarbeiter eine verdächtige E-Mail mit einem Link erhält, weisen Sie ihn an, die Person direkt anzurufen oder zu mailen (nicht zu antworten) und zu fragen, ob sie die E-Mail gesendet hat. Dies gilt für Personen innerhalb und außerhalb des Unternehmens.
- Schauen Sie sich die URL der Website genau an und achten Sie auf Rechtschreibfehler oder die falsche Domäne, z. B. die Verwendung von .gov statt .com. Raten Sie ihnen, die URL direkt in ihren Browser einzugeben, anstatt direkt auf den Link zu klicken.
- Bringen Sie dem Mitarbeiter bei, wie er mit dem Mauszeiger über den Link fahren kann, um zu sehen, ob das Ziel das richtige ist. Weisen Sie darauf hin, dass die Person nur mit dem Mauszeiger über den Link fahren und nicht darauf klicken soll, auch wenn es sich um eine sichere Website zu handeln scheint.
- Vermeiden Sie die Verwendung von Wildcard-Zertifikaten auf Produktionssystemen, da dies das Risiko und die Angriffsfläche erhöht, wenn ein Server oder ein Zertifikat kompromittiert wird.
