Brand Protection

    Verschlüsselung ist nicht mehr das Markenzeichen einer sicheren Webseite

    Jetzt, da die meisten Phishing-Seiten HTTPS verwenden, um sicher zu erscheinen, ist der Ratschlag "Achten Sie auf das Schloss" irreführend geworden.

    by Megan Doyle
    gettyimages-1296093730.png

    Wichtige Punkte

    • In den letzten Jahren ist die Zahl der Cyberkriminellen, die HTTPS-Zertifikate auf Phishing-Seiten verwenden, von fast keinem auf fast alle angestiegen.
    • Es ist wichtig, dass Unternehmen das ganze Ausmaß verstehen, in dem Cyberkriminelle ihre Marken ausnutzen - und sogar so weit gehen, dass sie Internet-Sicherheitsfunktionen gegen vertrauensvolle Kunden einsetzen.
    • Wenn Sie Ihre Kunden über HTTPS-Phishing aufklären, können Sie sie davor bewahren, Opfer von schädlichen Marken-Imitationsangriffen zu werden, und gleichzeitig den Ruf Ihrer Marke schützen.

    "Achten Sie auf das Vorhängeschloss" ist seit langem ein Mantra im Internet, das Web-Surfern helfen soll, festzustellen, ob es sicher ist, Daten auszutauschen. Aber das vertrauenswürdige kleine Schlosssymbol - die Signatur eines HTTPS-Zertifikats - ist inzwischen zur Norm geworden, auch für Cyberkriminelle. HTTPS-Zertifikate waren noch nie so einfach zu erhalten, Suchmaschinen heben Websites ohne Zertifikat hervor, und die meisten Webbrowser zeigen bei Websites ohne Vorhängeschloss aktiv die Meldung "Website ist nicht sicher" an, um Nutzer vom Besuch abzuhalten. Wenn jemand will, dass seine Website gesehen wird, hat er keine andere Wahl, als ein Vorhängeschloss auf seine Seite zu setzen.

    Auf der einen Seite können allgegenwärtige HTTPS-Anforderungen dazu beitragen, das Internet sicherer zu machen. Auf der anderen Seite kann die Normalisierung auf Kosten der Sicherheit gehen. Eine kürzlich durchgeführte Studie ergab, dass die meisten Phishing-Websites inzwischen HTTPS verwenden und den Besuchern vorgaukeln, dass die etablierte "sichere" Verbindung bedeutet, dass die Website legitim ist.

    Verschlüsselt? Ja. Vertrauenswürdig? Nicht unbedingt.

    Die meisten Phishing-Websites verwenden jetzt HTTPS-Verschlüsselung

    Nach Angaben der Anti-Phishing Working Group (APWG) Phishing Activity Trends Report: 4th Quarter 2020, klickten sich etwa 84 % der E-Mail-Phishing-Angriffe zu bösartigen Websites durch, die durch das HTTPS-Verschlüsselungsprotokoll "geschützt" waren, gegenüber nur 10 % im ersten Quartal 2017. [1] Es ist nicht überraschend: HTTPS ist praktisch zur Standardeinstellung für Websites geworden. Es ist eine Internetvoraussetzung, die bösen Akteuren einen Anreiz bietet, sich ein SSL/TLS-Zertifikat zu besorgen - vor allem, wenn einige Zertifikate zu geringen oder gar keinen Kosten und manchmal ohne Authentifizierung erworben werden können.

    Ein Teil des Problems besteht darin, dass nicht alle HTTPS-Zertifikate gleich geschaffen sind. Es gibt drei Haupttypen, von denen jeder ein abnehmendes Maß an Validierung bietet: Extended Validation (EV), Organizational Validation (OV) und Domain Validation (DV). EV und OV überprüfen beide die Identität des Antragstellers, wobei EV zusätzliche Überprüfungsschritte und strengere Standards vorsieht. DV-Zertifikate hingegen prüfen lediglich, ob der Inhaber des Zertifikats die Domain kontrolliert, die es schützt. Sie können im Gegensatz zu EV und OV kostenlos und ohne Identitätsprüfung erworben werden.

    Es überrascht nicht, dass 89 % der von Phishern verwendeten Zertifikate DV-Zertifikate waren, wie aus demselben APWG-Bericht hervorgeht. DV ermöglicht es anonymen Unternehmen - einschließlich bösartiger Akteure -, ein Vorhängeschloss auf ihre Website zu setzen. Ein DV-Zertifikat ist zwar kein Indiz für Illegalität, aber es hilft Cyberkriminellen, Internetnutzern direkte, verschlüsselte Verbindungen zu gefälschten Websites zu verschaffen, um Phishing-Angriffe zu starten, Malware zu installieren, persönliche Daten abzugreifen oder andere potenziell schädliche Cyberangriffe durchzuführen.

    Ein weiterer Teil des Problems sind die irreführenden Hinweise auf das Vorhängeschloss, die durchschnittliche Websurfer erhalten. Trotz einer FBI-Warnung aus dem Jahr 2019, dass Cyberkriminelle "sichere" Websites für Phishing-Kampagnen ausnutzen, wird beispielsweise in den Online-Sicherheitshinweisen auf USA.gov[2] empfohlen, "nur verschlüsselten Websites zu vertrauen, die mit 'https' beginnen (das 's' bedeutet, dass sie sicher sind)", weil "sie Ihre Daten in einen Code umwandeln, der verhindert, dass sie von potenziellen Betrügern entdeckt werden"[3] - ohne zu erwähnen, dass es sich um eine gefälschte Website handeln könnte.

    Außerdem ist es unwahrscheinlich, dass die meisten Internetnutzer den Unterschied zwischen EV-, OV- und DV-Zertifikaten kennen, geschweige denn wissen, wie sie feststellen können, welches Zertifikat die Website verwendet. Sie wissen nur, dass sie nach dem Schloss suchen müssen.

    HTTPS-Phishing ist eine Bedrohung für Marken, nicht nur für Einzelpersonen

    Es ist klar, dass HTTPS-Phishing die Erfahrungen von Internetnutzern negativ beeinflussen kann, indem ein universelles Sicherheitsmerkmal gegen sie verwendet wird. Aber es kann auch für Marken und ihre Marketingkampagnen schädlich sein. Ein Vorhängeschloss auf einer Seite verleiht den Eindruck von Legitimität und macht es Cyberkriminellen leichter, gefälschte Websites zu erstellen, die das Ansehen einer Marke und das Vertrauen der Kunden dieser Marke ausnutzen. Um Kunden zu ködern, können Links zu diesen "sicheren" Phishing-Websites in gefälschten E-Mails, in Suchmaschinen oder als Partnerlinks auf anderen Websites erscheinen. Und für ein ungeschultes Auge sehen sie wie echte Websites aus. Schließlich erscheint eine Phishing-Website mit einem Vorhängeschloss weniger wahrscheinlich, nun ja, verdächtig.

    Obwohl alle Daten, die auf einer böswilligen HTTPS-Website eingegeben werden, verschlüsselt und somit vor Man-in-the-Middle-Angriffen geschützt sind, erhält der Eigentümer der Website direkten Zugriff auf diese Daten - seien es Anmeldedaten oder andere persönliche Informationen. Ebenso können HTTPS-Phishing-Websites kostenlose Downloads enthalten, die Malware enthalten oder Keylogging-Tools starten, oder Links, die nach dem Anklicken bösartige Hintergrundprogramme starten können. Und wenn auf der Seite ein Plugin zum Abfangen von Daten installiert ist, kann schon das bloße Laden der HTTPS-geschützten Website ausreichen, um Schaden anzurichten.

    Natürlich wird jeder Kunde, der einem solchen Angriff zum Opfer fällt, Ihrer Marke in Zukunft möglicherweise weniger vertrauen. Ausgehend von den Ergebnissen des The State of Brand Protection 2021 (SOBP) Berichts von Mimecast würde etwa die Hälfte der Verbraucher kein Geld mehr für Marken ausgeben, die sie regelmäßig nutzen - oder mit denen sie vertraut sind -, wenn sie Opfer eines Phishing-Angriffs auf diese Marke werden. Aber Vertrauen ist nicht das einzige Problem. "Für Vermarkter sind verlorene Leads ein weitaus greifbarerer Schmerzpunkt", so die SOBP. "Jeder Klick von einer gefälschten E-Mail auf eine gefälschte Webseite kann einem Marketer Leads wegnehmen."

    Transparente Richtlinien können helfen, Ihre Kunden und Ihre Marke zu schützen

    Die Online-Strategie eines Unternehmens Markenschutz muss der Tatsache Rechnung tragen, dass HTTPS-Phishing eine sehr reale Bedrohung darstellt. Und das erfordert eine entsprechende Aufklärung der Kunden. Den Verbrauchern wird beigebracht, dass das Vorhängeschloss sicher ist, ohne zu verstehen, warum, was es bedeutet oder wie es funktioniert. Es ist nicht so, dass HTTPS an sich nicht sicher oder ein guter Indikator dafür ist, ob man Daten sicher austauschen kann, aber es ist wichtig zu erklären, dass es nicht der einzige Indikator ist.

    Wie im SOBP beschrieben, kann Transparenz die Kunden beruhigen und ihnen zeigen, dass Ihre Marke aktiv in ihrem Interesse arbeitet und so den Markenwert stärkt. Bieten Sie zum Beispiel Erklärungen an, warum und wie Ihre Website HTTPS verwendet, zusammen mit grundlegenden Tipps zur Cyberhygiene, wie z. B. die Authentizität einer Website zu überprüfen, wie EV-Zertifikate im Vergleich zu den weniger sicheren DV-Zertifikaten zu erkennen sind, und erinnern Sie den Besucher daran, keine Anmeldedaten oder andere persönliche Informationen auf einer Website einzugeben, wenn er sich nicht sicher ist, dass sie authentisch ist.

    Die Quintessenz

    Es geht nicht darum, dass die HTTPS-Technologie nicht mehr sicher ist, sondern darum, dass Cyberkriminelle ein Internet-Sicherheitsmerkmal gegen Internetnutzer einsetzen, um Phishing- oder Malware-Kampagnen zu starten, die gleichzeitig Schaden bei Kunden anrichten und Marken in einem negativen Licht darstellen können. Wenn die Website wie die eigene aussieht - bis hin zum Vorhängeschloss -, ist es umso wahrscheinlicher, dass unschuldige Opfer darauf klicken, da sie seit Jahren angewiesen werden, einfach auf das Schloss zu achten". Leider hat sich dieser Ratschlag als irreführend erwiesen. Heutzutage sind die Unternehmen zunehmend verpflichtet, ihre Kunden zu informieren.

     

    [1] Bericht über Phishing-Aktivitäten im 4. Quartal 2020 , APWG

    [2] "Cyber-Akteure nutzen "sichere" Websites für Phishing-Kampagnen aus," FBI

    [3] "Online-Sicherheit," USA.gov

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang