Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Let's Encrypt bringt Wildcard…

Juhuu, noch mehr Phishing

  1. Thema

Neues Thema Ansicht wechseln


  1. Juhuu, noch mehr Phishing

    Autor: negecy 12.12.17 - 14:40

    kwT

  2. Kein plausibler Zusammenhang

    Autor: Schattenwerk 12.12.17 - 15:07

    Nun erkläre der Troll mir bitte wie die Anzahl von Phishing-Angriffen mit den vorgestellten Wildcard-Zertifikaten zusammenhängen soll?

  3. Re: Kein plausibler Zusammenhang

    Autor: FearTheDude 12.12.17 - 15:20

    Ich denke er meint, das es bis jetzt notwendig ist, jede subdomain einzeln mit einem Zertifikat zu versehen.
    Mit einem Wildcardzertifikat kann er beliebig viele Subdomains erstellen, die automatisch gleich mitverschlüsselt sind.
    Mit Phising hat das aber jetzt tatsächlich weniger zu tun. Schließlich sind so Zertifikate im Handumdrehen erstellt.
    Was allerdings hinderlich sein könnte ist die Tatsache, das man nur eine bestimmte Anzahl an Requests pro IP und Woche an LE abfeuern kann, bevor gesperrt wird.

  4. Phishing hat auch mit HTTP funktioniert

    Autor: RipClaw 12.12.17 - 16:36

    Man braucht keine Verschlüsselung um die Leute reinzulegen. Ich habe Phishing URLs gesehen die nichts mit der Orignalseite gemeinsam hatten und trotzdem haben die Leute dort ihre Daten eingegeben.

    Am deutlichsten habe ich das mal bei einer Seite gesehen die eigentlich nur ein Blog Artikel über das neue "Facebook Login" war. Vom Design her komplett anders als Facebook und die URL war nicht mal annähernd die gleiche. Der Artikel war aber bei Google so hoch im Ranking das, wenn man Facebook+Login in der Google Suchmaske eingegeben hat, dann ist als erste Link diese Seite erschienen.
    Die Leute haben auf der Seite ihre Zugangsdaten eingegeben und sich gewundert warum sie nicht auf ihre Profilseite kommen. Stattdessen haben sie sich in den Kommentaren zu dem Artikel ausgelassen das sie das neue Rote Facebook Design nicht mögen und ähnliches. Die haben weder am Design von der Seite noch an der URL gemerkt das sie nicht auf Facebook sind.

  5. Re: Phishing hat auch mit HTTP funktioniert

    Autor: RaZZE 12.12.17 - 16:38

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Man braucht keine Verschlüsselung um die Leute reinzulegen. Ich habe
    > Phishing URLs gesehen die nichts mit der Orignalseite gemeinsam hatten und
    > trotzdem haben die Leute dort ihre Daten eingegeben.
    >
    > Am deutlichsten habe ich das mal bei einer Seite gesehen die eigentlich nur
    > ein Blog Artikel über das neue "Facebook Login" war. Vom Design her
    > komplett anders als Facebook und die URL war nicht mal annähernd die
    > gleiche. Der Artikel war aber bei Google so hoch im Ranking das, wenn man
    > Facebook+Login in der Google Suchmaske eingegeben hat, dann ist als erste
    > Link diese Seite erschienen.
    > Die Leute haben auf der Seite ihre Zugangsdaten eingegeben und sich
    > gewundert warum sie nicht auf ihre Profilseite kommen. Stattdessen haben
    > sie sich in den Kommentaren zu dem Artikel ausgelassen das sie das neue
    > Rote Facebook Design nicht mögen und ähnliches. Die haben weder am Design
    > von der Seite noch an der URL gemerkt das sie nicht auf Facebook sind.

    Irgendwie wunder mich das auch gar nicht. Das hängt ja nicht mal mit Dummheit zusammen... Die Leute wissen es einfach nicht besser.

  6. Re: Kein plausibler Zusammenhang

    Autor: floewe 12.12.17 - 16:54

    Was hat das alles mit LE zu tun? Ich benutze seit Jahren Wildcardzertifikate für um die 50¤ pro Jahr, per simpler Email verifiziert. Ein einzelnes per Subdomain kostet 6¤.

    Ob das jetzt per Mail an die admin-c Adresse oder per Download einer Datei von der entsprechenden Domain verifiziert wird, ist doch wumpe.

    Wo haben die ganzen Phishing-Clowns ihr Problem?

  7. Juhuu, noch mehr unqualifizierter Quatsch in diversen Foren

    Autor: floewe 12.12.17 - 16:55

    nix weiter

  8. Re: Kein plausibler Zusammenhang

    Autor: RipClaw 12.12.17 - 18:39

    floewe schrieb:
    --------------------------------------------------------------------------------
    > Was hat das alles mit LE zu tun? Ich benutze seit Jahren
    > Wildcardzertifikate für um die 50¤ pro Jahr, per simpler Email verifiziert.
    > Ein einzelnes per Subdomain kostet 6¤.
    >
    > Ob das jetzt per Mail an die admin-c Adresse oder per Download einer Datei
    > von der entsprechenden Domain verifiziert wird, ist doch wumpe.
    >
    > Wo haben die ganzen Phishing-Clowns ihr Problem?

    Sie wollen die Verantwortung an die CAs abschieben mit der Begründung das den Leuten beigebracht wurde "Grünes Schloss = Seite ist sicher".
    Nach deren Vorstellung muss eine CA erst mal eine komplette Inhaltsprüfung einer Seite vornehmen bevor ein Zertifikat ausgestellt werden darf und am besten soll zusätzlich ein Mitarbeiter den zukünftigen Zertifikatsinhaber persönlich in Augenschein nehmen.

    Dazu wird das ganze gerne von Firmen angestachelt die ganz zufällig eine Phishing Erkennung verkaufen und dann so beiläufig erwähnen das die CAs doch ihr Produkt einsetzen sollten um das Problem anzugehen.

    Let's Encrypt stellt übrigens Zertifikat auch nicht einfach so aus. Sie checken bei jeder Anmeldung ob die Domain bei Google in der SafeBrowsing Liste steht. Wenn dem so ist dann wird kein Zertifikat ausgestellt.



    1 mal bearbeitet, zuletzt am 12.12.17 18:40 durch RipClaw.

  9. Re: Kein plausibler Zusammenhang

    Autor: floewe 12.12.17 - 19:36

    >Sie wollen die Verantwortung an die CAs abschieben mit der Begründung das den >Leuten beigebracht wurde "Grünes Schloss = Seite ist sicher".
    >Nach deren Vorstellung muss eine CA erst mal eine komplette Inhaltsprüfung einer Seite >vornehmen bevor ein Zertifikat ausgestellt werden darf und am besten soll zusätzlich ein >Mitarbeiter den zukünftigen Zertifikatsinhaber persönlich in Augenschein nehmen.

    Tja, sie haben also das System Kommunikationsverschlüsselung so verstanden, wie es die Marktriesen lange Zeit gerne hatten. EV Zertifikate für einen großen Batzen Geld für jeden Mini-Shop verkaufen, weil man ja ansonsten nicht trusted ist. Und natürlich mit Hand aufs Herz und Vollkaskoversicherung bis 20k¤ (wofür entzog sich mir schon immer), Herr Loewe. Ohne sowas traut ihnen doch niemand. Wir sind doch ein großer Sicherheitskonzern. (<- den traue ich aber nicht ;-) )

    Nur um was geht es denn? Um Transportverschlüsselung von Daten. Nicht um Authentifizierung, wie suggeriert wird. Dafür taugt SSL/TLS auch nicht.

    Gut, dass Verschlüsselung mal kostenlos und ohne viel administrativem Aufwand (self-signed mit allem Pflegeaufwand) für faktisch Jedermann realisierbar ist, hatten die Marktriesen und die Browserhersteller wohl nicht auf dem Schirm. Da muss dort mal umgedacht werden. Schloß=verschlüsselt, Ausweiskarte=EV?

    Mit Phishing wiederum kann ich das alles nicht in Verbindung bringen. Wenn ich für support.payprall.de ein Zertifikat haben will, so ich denn Zugriff auf diese hätte, bekomme ich das. Auch als EV für viele $, was mit entsprechenden 10$ Ausweisen aus Thailand auch kein Problem mit meiner Identität darstellen würde. Phishing betreiben Kriminelle. Ob die nun einfach, zweifach oder dreifach kriminell sind, spielt doch keine Rolle. Da muss man dann einfach mal lesen und verstehen, dass payprall != paypall ist.

    *.google.com (Beispiel) bekommen diese kriminellen nicht, auch nicht von LE, so etwas ist den Marktriesen unter den CA selbst vorbehalten ;-)

  10. Re: Kein plausibler Zusammenhang

    Autor: RicoBrassers 13.12.17 - 06:44

    Und wenn man dann noch realisiert, dass "paypall" ebenfalls falsch ist, hat man auch durchaus die Möglichkeit endlich auf der "echten" PayPal-Seite zu landen und keinem Phishing zum Opfer zu fallen. ;)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. MT AG, Großraum Düsseldorf-Köln-Dortmund
  2. Bosch Gruppe, Immenstaad am Bodensee
  3. Landeshauptstadt Stuttgart, Stuttgart
  4. Consultix GmbH, Bremen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 62,98€ (Release am Freitag, mit Vorbesteller-Preisgarantie)
  2. 249,00€
  3. 249,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Android Google-Apps könnten Hersteller bis zu 40 US-Dollar kosten
  2. Google Pixel-Besitzer beklagen nicht abgespeicherte Fotos
  3. Dragonfly Google schweigt zu China-Plänen

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Informationsfreiheitsbeauftragte Algorithmen für Behörden müssen diskriminierungsfrei sein
  2. Innotrans KI-System identifiziert Schwarzfahrer
  3. USA Pentagon fordert KI-Strategie fürs Militär

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

  1. Google: "Niemand braucht heute Gigabit"
    Google
    "Niemand braucht heute Gigabit"

    BBWF Google hält in Berlin eine flammende Rede für den Gigabit-Ausbau. Auf die Frage, warum dann Google Fiber nicht mehr ausgebaut wird, gab es nur eine ausweichende Antwort.

  2. Telefónica: Kauf von Unitymedia durch Vodafone "beendet Glasfaserausbau"
    Telefónica
    Kauf von Unitymedia durch Vodafone "beendet Glasfaserausbau"

    Die Telefónica baut selbst keine Glasfaser aus. Der Mobilfunkbetreiber hat jedoch massive Befürchtungen für ein Zusammengehen von Unitymedia und Vodafone formuliert.

  3. Fixed Wireless Access: Telefónica Deutschland wird eigene Festnetzzugänge anbieten
    Fixed Wireless Access
    Telefónica Deutschland wird eigene Festnetzzugänge anbieten

    BBWF Die Telefónica ist sich vor ihren Feldtests zu 5G Fixed Wireless Access in Deutschland schon sicher, dass die Technik eingesetzt wird. Damit kehrt der Betreiber zu eigenen Festnetzzugängen zurück, wenn auch nur auf der letzten Meile.


  1. 19:28

  2. 17:43

  3. 17:03

  4. 16:52

  5. 14:29

  6. 14:13

  7. 13:35

  8. 13:05