Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Let's Encrypt bringt Wildcard…

Juhuu, noch mehr Phishing

  1. Thema

Neues Thema Ansicht wechseln


  1. Juhuu, noch mehr Phishing

    Autor: negecy 12.12.17 - 14:40

    kwT

  2. Kein plausibler Zusammenhang

    Autor: Schattenwerk 12.12.17 - 15:07

    Nun erkläre der Troll mir bitte wie die Anzahl von Phishing-Angriffen mit den vorgestellten Wildcard-Zertifikaten zusammenhängen soll?

  3. Re: Kein plausibler Zusammenhang

    Autor: FearTheDude 12.12.17 - 15:20

    Ich denke er meint, das es bis jetzt notwendig ist, jede subdomain einzeln mit einem Zertifikat zu versehen.
    Mit einem Wildcardzertifikat kann er beliebig viele Subdomains erstellen, die automatisch gleich mitverschlüsselt sind.
    Mit Phising hat das aber jetzt tatsächlich weniger zu tun. Schließlich sind so Zertifikate im Handumdrehen erstellt.
    Was allerdings hinderlich sein könnte ist die Tatsache, das man nur eine bestimmte Anzahl an Requests pro IP und Woche an LE abfeuern kann, bevor gesperrt wird.

  4. Phishing hat auch mit HTTP funktioniert

    Autor: RipClaw 12.12.17 - 16:36

    Man braucht keine Verschlüsselung um die Leute reinzulegen. Ich habe Phishing URLs gesehen die nichts mit der Orignalseite gemeinsam hatten und trotzdem haben die Leute dort ihre Daten eingegeben.

    Am deutlichsten habe ich das mal bei einer Seite gesehen die eigentlich nur ein Blog Artikel über das neue "Facebook Login" war. Vom Design her komplett anders als Facebook und die URL war nicht mal annähernd die gleiche. Der Artikel war aber bei Google so hoch im Ranking das, wenn man Facebook+Login in der Google Suchmaske eingegeben hat, dann ist als erste Link diese Seite erschienen.
    Die Leute haben auf der Seite ihre Zugangsdaten eingegeben und sich gewundert warum sie nicht auf ihre Profilseite kommen. Stattdessen haben sie sich in den Kommentaren zu dem Artikel ausgelassen das sie das neue Rote Facebook Design nicht mögen und ähnliches. Die haben weder am Design von der Seite noch an der URL gemerkt das sie nicht auf Facebook sind.

  5. Re: Phishing hat auch mit HTTP funktioniert

    Autor: RaZZE 12.12.17 - 16:38

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Man braucht keine Verschlüsselung um die Leute reinzulegen. Ich habe
    > Phishing URLs gesehen die nichts mit der Orignalseite gemeinsam hatten und
    > trotzdem haben die Leute dort ihre Daten eingegeben.
    >
    > Am deutlichsten habe ich das mal bei einer Seite gesehen die eigentlich nur
    > ein Blog Artikel über das neue "Facebook Login" war. Vom Design her
    > komplett anders als Facebook und die URL war nicht mal annähernd die
    > gleiche. Der Artikel war aber bei Google so hoch im Ranking das, wenn man
    > Facebook+Login in der Google Suchmaske eingegeben hat, dann ist als erste
    > Link diese Seite erschienen.
    > Die Leute haben auf der Seite ihre Zugangsdaten eingegeben und sich
    > gewundert warum sie nicht auf ihre Profilseite kommen. Stattdessen haben
    > sie sich in den Kommentaren zu dem Artikel ausgelassen das sie das neue
    > Rote Facebook Design nicht mögen und ähnliches. Die haben weder am Design
    > von der Seite noch an der URL gemerkt das sie nicht auf Facebook sind.

    Irgendwie wunder mich das auch gar nicht. Das hängt ja nicht mal mit Dummheit zusammen... Die Leute wissen es einfach nicht besser.

  6. Re: Kein plausibler Zusammenhang

    Autor: floewe 12.12.17 - 16:54

    Was hat das alles mit LE zu tun? Ich benutze seit Jahren Wildcardzertifikate für um die 50¤ pro Jahr, per simpler Email verifiziert. Ein einzelnes per Subdomain kostet 6¤.

    Ob das jetzt per Mail an die admin-c Adresse oder per Download einer Datei von der entsprechenden Domain verifiziert wird, ist doch wumpe.

    Wo haben die ganzen Phishing-Clowns ihr Problem?

  7. Juhuu, noch mehr unqualifizierter Quatsch in diversen Foren

    Autor: floewe 12.12.17 - 16:55

    nix weiter

  8. Re: Kein plausibler Zusammenhang

    Autor: RipClaw 12.12.17 - 18:39

    floewe schrieb:
    --------------------------------------------------------------------------------
    > Was hat das alles mit LE zu tun? Ich benutze seit Jahren
    > Wildcardzertifikate für um die 50¤ pro Jahr, per simpler Email verifiziert.
    > Ein einzelnes per Subdomain kostet 6¤.
    >
    > Ob das jetzt per Mail an die admin-c Adresse oder per Download einer Datei
    > von der entsprechenden Domain verifiziert wird, ist doch wumpe.
    >
    > Wo haben die ganzen Phishing-Clowns ihr Problem?

    Sie wollen die Verantwortung an die CAs abschieben mit der Begründung das den Leuten beigebracht wurde "Grünes Schloss = Seite ist sicher".
    Nach deren Vorstellung muss eine CA erst mal eine komplette Inhaltsprüfung einer Seite vornehmen bevor ein Zertifikat ausgestellt werden darf und am besten soll zusätzlich ein Mitarbeiter den zukünftigen Zertifikatsinhaber persönlich in Augenschein nehmen.

    Dazu wird das ganze gerne von Firmen angestachelt die ganz zufällig eine Phishing Erkennung verkaufen und dann so beiläufig erwähnen das die CAs doch ihr Produkt einsetzen sollten um das Problem anzugehen.

    Let's Encrypt stellt übrigens Zertifikat auch nicht einfach so aus. Sie checken bei jeder Anmeldung ob die Domain bei Google in der SafeBrowsing Liste steht. Wenn dem so ist dann wird kein Zertifikat ausgestellt.



    1 mal bearbeitet, zuletzt am 12.12.17 18:40 durch RipClaw.

  9. Re: Kein plausibler Zusammenhang

    Autor: floewe 12.12.17 - 19:36

    >Sie wollen die Verantwortung an die CAs abschieben mit der Begründung das den >Leuten beigebracht wurde "Grünes Schloss = Seite ist sicher".
    >Nach deren Vorstellung muss eine CA erst mal eine komplette Inhaltsprüfung einer Seite >vornehmen bevor ein Zertifikat ausgestellt werden darf und am besten soll zusätzlich ein >Mitarbeiter den zukünftigen Zertifikatsinhaber persönlich in Augenschein nehmen.

    Tja, sie haben also das System Kommunikationsverschlüsselung so verstanden, wie es die Marktriesen lange Zeit gerne hatten. EV Zertifikate für einen großen Batzen Geld für jeden Mini-Shop verkaufen, weil man ja ansonsten nicht trusted ist. Und natürlich mit Hand aufs Herz und Vollkaskoversicherung bis 20k¤ (wofür entzog sich mir schon immer), Herr Loewe. Ohne sowas traut ihnen doch niemand. Wir sind doch ein großer Sicherheitskonzern. (<- den traue ich aber nicht ;-) )

    Nur um was geht es denn? Um Transportverschlüsselung von Daten. Nicht um Authentifizierung, wie suggeriert wird. Dafür taugt SSL/TLS auch nicht.

    Gut, dass Verschlüsselung mal kostenlos und ohne viel administrativem Aufwand (self-signed mit allem Pflegeaufwand) für faktisch Jedermann realisierbar ist, hatten die Marktriesen und die Browserhersteller wohl nicht auf dem Schirm. Da muss dort mal umgedacht werden. Schloß=verschlüsselt, Ausweiskarte=EV?

    Mit Phishing wiederum kann ich das alles nicht in Verbindung bringen. Wenn ich für support.payprall.de ein Zertifikat haben will, so ich denn Zugriff auf diese hätte, bekomme ich das. Auch als EV für viele $, was mit entsprechenden 10$ Ausweisen aus Thailand auch kein Problem mit meiner Identität darstellen würde. Phishing betreiben Kriminelle. Ob die nun einfach, zweifach oder dreifach kriminell sind, spielt doch keine Rolle. Da muss man dann einfach mal lesen und verstehen, dass payprall != paypall ist.

    *.google.com (Beispiel) bekommen diese kriminellen nicht, auch nicht von LE, so etwas ist den Marktriesen unter den CA selbst vorbehalten ;-)

  10. Re: Kein plausibler Zusammenhang

    Autor: RicoBrassers 13.12.17 - 06:44

    Und wenn man dann noch realisiert, dass "paypall" ebenfalls falsch ist, hat man auch durchaus die Möglichkeit endlich auf der "echten" PayPal-Seite zu landen und keinem Phishing zum Opfer zu fallen. ;)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Endress+Hauser Systemplan GmbH, Durmersheim
  2. Information Factory Deutschland GmbH, Nürnberg
  3. CHEFS CULINAR West GmbH & Co. KG, Weeze
  4. headwaypersonal gmbh, Regensburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Microsoft: Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten
Microsoft
Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten
  1. Marktforschung Viele Android-Apps kollidieren mit kommendem EU-Datenschutz
  2. Loki App zeigt Inhalte je nach Stimmung des Nutzers an
  3. EOS Schweiz Daten von Zehntausenden Inkassokunden kompromittiert

Updates: Wie man Spectre und Meltdown loswird
Updates
Wie man Spectre und Meltdown loswird
  1. Hacker One Nur 20 Prozent der Bounty-Jäger hacken in Vollzeit
  2. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  3. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii

Ein Jahr Trump: Der Cheerleader der deregulierten Wirtschaft
Ein Jahr Trump
Der Cheerleader der deregulierten Wirtschaft
  1. Protektionismus Trump-Regierung verhängt Einfuhrzölle auf Solarzellen
  2. F-52 Trump verkauft Kampfjets aus Call of Duty
  3. Raumfahrtpolitik Amerika will wieder zum Mond - und noch viel weiter

  1. Festnetz und Mobilfunk: Telekom kämpft mit Zerstörungen durch den Orkan Friederike
    Festnetz und Mobilfunk
    Telekom kämpft mit Zerstörungen durch den Orkan Friederike

    Trotz großem Einsatz vieler Techniker sind einige Tausend Kunden der Telekom nach dem Orkan Friederike noch ohne Netzversorgung. Eine ganze Reihe der Schadensstellen sind noch nicht erreichbar.

  2. God of War: Papa Kratos kämpft ab April 2018
    God of War
    Papa Kratos kämpft ab April 2018

    Sony hat den Veröffentlichungstermin für das nächste God of War bekanntgegeben: Ende April 2018 wird sich Hauptfigur Kratos auf der Playstation 4 in Kämpfe mit anderen Göttern stürzen - und versuchen, seinem Sohn ein guter Papa zu sein.

  3. Domain: Richard Gutjahr pfändet Compact-online.de
    Domain
    Richard Gutjahr pfändet Compact-online.de

    Wegen ausstehender Kosten für eine einstweilige Verfügung hat Richard Gutjahr die Domain Compact-online.de pfänden lassen. Das Magazin hatte wahrheitswidrige Behauptungen über den Journalisten verbreitet.


  1. 18:19

  2. 18:08

  3. 17:53

  4. 17:42

  5. 17:33

  6. 17:27

  7. 17:14

  8. 16:14