Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Let's Encrypt bringt Wildcard…

Juhuu, noch mehr Phishing

  1. Thema

Neues Thema Ansicht wechseln


  1. Juhuu, noch mehr Phishing

    Autor: negecy 12.12.17 - 14:40

    kwT

  2. Kein plausibler Zusammenhang

    Autor: Schattenwerk 12.12.17 - 15:07

    Nun erkläre der Troll mir bitte wie die Anzahl von Phishing-Angriffen mit den vorgestellten Wildcard-Zertifikaten zusammenhängen soll?

  3. Re: Kein plausibler Zusammenhang

    Autor: FearTheDude 12.12.17 - 15:20

    Ich denke er meint, das es bis jetzt notwendig ist, jede subdomain einzeln mit einem Zertifikat zu versehen.
    Mit einem Wildcardzertifikat kann er beliebig viele Subdomains erstellen, die automatisch gleich mitverschlüsselt sind.
    Mit Phising hat das aber jetzt tatsächlich weniger zu tun. Schließlich sind so Zertifikate im Handumdrehen erstellt.
    Was allerdings hinderlich sein könnte ist die Tatsache, das man nur eine bestimmte Anzahl an Requests pro IP und Woche an LE abfeuern kann, bevor gesperrt wird.

  4. Phishing hat auch mit HTTP funktioniert

    Autor: RipClaw 12.12.17 - 16:36

    Man braucht keine Verschlüsselung um die Leute reinzulegen. Ich habe Phishing URLs gesehen die nichts mit der Orignalseite gemeinsam hatten und trotzdem haben die Leute dort ihre Daten eingegeben.

    Am deutlichsten habe ich das mal bei einer Seite gesehen die eigentlich nur ein Blog Artikel über das neue "Facebook Login" war. Vom Design her komplett anders als Facebook und die URL war nicht mal annähernd die gleiche. Der Artikel war aber bei Google so hoch im Ranking das, wenn man Facebook+Login in der Google Suchmaske eingegeben hat, dann ist als erste Link diese Seite erschienen.
    Die Leute haben auf der Seite ihre Zugangsdaten eingegeben und sich gewundert warum sie nicht auf ihre Profilseite kommen. Stattdessen haben sie sich in den Kommentaren zu dem Artikel ausgelassen das sie das neue Rote Facebook Design nicht mögen und ähnliches. Die haben weder am Design von der Seite noch an der URL gemerkt das sie nicht auf Facebook sind.

  5. Re: Phishing hat auch mit HTTP funktioniert

    Autor: RaZZE 12.12.17 - 16:38

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Man braucht keine Verschlüsselung um die Leute reinzulegen. Ich habe
    > Phishing URLs gesehen die nichts mit der Orignalseite gemeinsam hatten und
    > trotzdem haben die Leute dort ihre Daten eingegeben.
    >
    > Am deutlichsten habe ich das mal bei einer Seite gesehen die eigentlich nur
    > ein Blog Artikel über das neue "Facebook Login" war. Vom Design her
    > komplett anders als Facebook und die URL war nicht mal annähernd die
    > gleiche. Der Artikel war aber bei Google so hoch im Ranking das, wenn man
    > Facebook+Login in der Google Suchmaske eingegeben hat, dann ist als erste
    > Link diese Seite erschienen.
    > Die Leute haben auf der Seite ihre Zugangsdaten eingegeben und sich
    > gewundert warum sie nicht auf ihre Profilseite kommen. Stattdessen haben
    > sie sich in den Kommentaren zu dem Artikel ausgelassen das sie das neue
    > Rote Facebook Design nicht mögen und ähnliches. Die haben weder am Design
    > von der Seite noch an der URL gemerkt das sie nicht auf Facebook sind.

    Irgendwie wunder mich das auch gar nicht. Das hängt ja nicht mal mit Dummheit zusammen... Die Leute wissen es einfach nicht besser.

  6. Re: Kein plausibler Zusammenhang

    Autor: floewe 12.12.17 - 16:54

    Was hat das alles mit LE zu tun? Ich benutze seit Jahren Wildcardzertifikate für um die 50¤ pro Jahr, per simpler Email verifiziert. Ein einzelnes per Subdomain kostet 6¤.

    Ob das jetzt per Mail an die admin-c Adresse oder per Download einer Datei von der entsprechenden Domain verifiziert wird, ist doch wumpe.

    Wo haben die ganzen Phishing-Clowns ihr Problem?

  7. Juhuu, noch mehr unqualifizierter Quatsch in diversen Foren

    Autor: floewe 12.12.17 - 16:55

    nix weiter

  8. Re: Kein plausibler Zusammenhang

    Autor: RipClaw 12.12.17 - 18:39

    floewe schrieb:
    --------------------------------------------------------------------------------
    > Was hat das alles mit LE zu tun? Ich benutze seit Jahren
    > Wildcardzertifikate für um die 50¤ pro Jahr, per simpler Email verifiziert.
    > Ein einzelnes per Subdomain kostet 6¤.
    >
    > Ob das jetzt per Mail an die admin-c Adresse oder per Download einer Datei
    > von der entsprechenden Domain verifiziert wird, ist doch wumpe.
    >
    > Wo haben die ganzen Phishing-Clowns ihr Problem?

    Sie wollen die Verantwortung an die CAs abschieben mit der Begründung das den Leuten beigebracht wurde "Grünes Schloss = Seite ist sicher".
    Nach deren Vorstellung muss eine CA erst mal eine komplette Inhaltsprüfung einer Seite vornehmen bevor ein Zertifikat ausgestellt werden darf und am besten soll zusätzlich ein Mitarbeiter den zukünftigen Zertifikatsinhaber persönlich in Augenschein nehmen.

    Dazu wird das ganze gerne von Firmen angestachelt die ganz zufällig eine Phishing Erkennung verkaufen und dann so beiläufig erwähnen das die CAs doch ihr Produkt einsetzen sollten um das Problem anzugehen.

    Let's Encrypt stellt übrigens Zertifikat auch nicht einfach so aus. Sie checken bei jeder Anmeldung ob die Domain bei Google in der SafeBrowsing Liste steht. Wenn dem so ist dann wird kein Zertifikat ausgestellt.



    1 mal bearbeitet, zuletzt am 12.12.17 18:40 durch RipClaw.

  9. Re: Kein plausibler Zusammenhang

    Autor: floewe 12.12.17 - 19:36

    >Sie wollen die Verantwortung an die CAs abschieben mit der Begründung das den >Leuten beigebracht wurde "Grünes Schloss = Seite ist sicher".
    >Nach deren Vorstellung muss eine CA erst mal eine komplette Inhaltsprüfung einer Seite >vornehmen bevor ein Zertifikat ausgestellt werden darf und am besten soll zusätzlich ein >Mitarbeiter den zukünftigen Zertifikatsinhaber persönlich in Augenschein nehmen.

    Tja, sie haben also das System Kommunikationsverschlüsselung so verstanden, wie es die Marktriesen lange Zeit gerne hatten. EV Zertifikate für einen großen Batzen Geld für jeden Mini-Shop verkaufen, weil man ja ansonsten nicht trusted ist. Und natürlich mit Hand aufs Herz und Vollkaskoversicherung bis 20k¤ (wofür entzog sich mir schon immer), Herr Loewe. Ohne sowas traut ihnen doch niemand. Wir sind doch ein großer Sicherheitskonzern. (<- den traue ich aber nicht ;-) )

    Nur um was geht es denn? Um Transportverschlüsselung von Daten. Nicht um Authentifizierung, wie suggeriert wird. Dafür taugt SSL/TLS auch nicht.

    Gut, dass Verschlüsselung mal kostenlos und ohne viel administrativem Aufwand (self-signed mit allem Pflegeaufwand) für faktisch Jedermann realisierbar ist, hatten die Marktriesen und die Browserhersteller wohl nicht auf dem Schirm. Da muss dort mal umgedacht werden. Schloß=verschlüsselt, Ausweiskarte=EV?

    Mit Phishing wiederum kann ich das alles nicht in Verbindung bringen. Wenn ich für support.payprall.de ein Zertifikat haben will, so ich denn Zugriff auf diese hätte, bekomme ich das. Auch als EV für viele $, was mit entsprechenden 10$ Ausweisen aus Thailand auch kein Problem mit meiner Identität darstellen würde. Phishing betreiben Kriminelle. Ob die nun einfach, zweifach oder dreifach kriminell sind, spielt doch keine Rolle. Da muss man dann einfach mal lesen und verstehen, dass payprall != paypall ist.

    *.google.com (Beispiel) bekommen diese kriminellen nicht, auch nicht von LE, so etwas ist den Marktriesen unter den CA selbst vorbehalten ;-)

  10. Re: Kein plausibler Zusammenhang

    Autor: RicoBrassers 13.12.17 - 06:44

    Und wenn man dann noch realisiert, dass "paypall" ebenfalls falsch ist, hat man auch durchaus die Möglichkeit endlich auf der "echten" PayPal-Seite zu landen und keinem Phishing zum Opfer zu fallen. ;)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Allianz Private Krankenversicherungs-AG, München
  3. ElringKlinger AG, Reutlingen
  4. PFALZKOM | MANET, Ludwigshafen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. auf ausgewählte Corsair-Netzteile


Haben wir etwas übersehen?

E-Mail an news@golem.de


Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

  1. Star Trek Discovery 2: Erster Trailer zeigt Raumschiff in Schwierigkeiten
    Star Trek Discovery 2
    Erster Trailer zeigt Raumschiff in Schwierigkeiten

    Oje, das schöne Schiff: Der erste Trailer der zweiten Staffel von Star Trek Discovery setzt auf Action und neue Bedrohungen. Auch das Raumschiff selbst kommt wohl nicht ganz unbeschadet aus dem neuen galaktischen Konflikt.

  2. Handelskrieg: Apple Watch und anderen Gadgets drohen Strafzölle
    Handelskrieg
    Apple Watch und anderen Gadgets drohen Strafzölle

    Die USA wollen offenbar beliebte Gadgets mit Strafzöllen belegen: Apple Watch und Lautsprecher von Sonos könnten in Nordamerika um 10 Prozent teurer werden. Dem iPhone drohen wegen eines Versprechens von US-Präsident Donald Trump gegenüber Tim Cook aber wohl keine Preisaufschläge.

  3. Spielebranche: Ex-Angestellter rechnet mit Valve ab
    Spielebranche
    Ex-Angestellter rechnet mit Valve ab

    In der Öffentlichkeit gilt Valve (Half-Life, Steam) als vorbildhafte Firma, die Wirklichkeit scheint nicht ganz so toll zu sein: Der ehemalige Angestellte Rich Geldreich schreibt seit einigen Tagen auf Twitter, wie es hinter den Kulissen aussehen soll.


  1. 13:24

  2. 12:44

  3. 11:42

  4. 09:48

  5. 18:05

  6. 17:46

  7. 17:31

  8. 17:15