Nieuws
image

Honderden SSL-certificaten uitgegeven voor phishingsites

maandag 12 oktober 2015, 16:41 door Redactie, 13 reacties

In een maand tijd hebben certificaatautoriteiten honderden SSL-certificaten uitgegeven voor misleidende domeinnamen die in phishingaanvallen zijn gebruikt. Daardoor verschijnt erin de browser een geldig slot-symbool, waardoor gebruikers kunnen denken dat het om een legitieme pagina gaat.

Dat meldt internetbedrijf Netcraft. Het gaat dan om certificaten voor bijvoorbeeld banskfamerica.com en blockachain.info (uitgegeven door Comodo), ssl-paypai-inc.com (uitgegeven door Symantec) en paypwil.com (uitgegeven door GoDaddy). Certificaatautoriteiten moeten aanvragen voor risicovolle domeinen controleren, maar toch weten voldoende oplichters succesvol een SSL-certificaat aan te vragen, aldus Netcraft.

Het internetbedrijf stelt dat gebruikers getraind zijn om op de aanwezigheid van het "slotje" te letten voordat ze gevoelige informatie op websites invoeren, zoals wachtwoorden en creditcardnummers. "Een slotje alleen geeft niet aan dat de website is te vertrouwen of door een legitieme organisatie wordt beheerd", zegt Graham Edgecombe van Netcraft. Volgens de analist worden de meeste certificaten voor misleidende domeinnamen door Comodo uitgegeven. Positieve uitzonderingen zijn DigiCert en Entrust, die geen enkel SSL-certificaat voor een phishingsite uitgaven.

Image

Reacties (13)
12-10-2015, 16:59 door Anoniem
Internetten begint meer en meer aan te voelen als een sprintje door een mijnenveld
12-10-2015, 17:01 door Anoniem
Certificaten handel is business, vertrouwen en veiligheid zijn daaraan ondergeschikt. Zolang certificaat boeren miljarden omzetten met zo min mogelijk inspanning verkopen van een gevoel van veiligheid en daarbij invloed hebben op de regels van de audits is het een grote farce. Er is wereldwijd een klakkeloos vertrouwen in deze partijen, ten koste van de eigen veiligheid. En ook hier gaat op dat de bedrijven nauwelijks consequenties ervaren als ze dit soort blunders of zelfs erger begaan.
12-10-2015, 17:22 door Anoniem
"Een slotje alleen geeft niet aan dat de website is te vertrouwen of door een legitieme organisatie wordt beheerd"

Een grijs slotje ja.
Banken hebben veelal een groen slotje met de naam in de url bar.
12-10-2015, 17:56 door Anoniem
Een certificaat is inderdaad nooit bedoelt om de intentie (goedaardig of kwaadaardig) van een domein te certificeren, maar om te kunnen valideren (door een vertrouwde 3e partij) of het endpoint (server) waarmee je communiceerd is wie hij zegt dat ie is.

In essentie een open deur...
12-10-2015, 21:06 door Anoniem
We kunnen niet eeuwig de uitgifte van certificaten eindeloos censureren, zeker niet als we willen dat beveiligde verbindingen de standaard worden, wat in eenieders belang is. De enige structurele oplossing voor dit probleem is het beter trainen van eindgebruikers en verduidelijken van de gebruikersinterface in browsers. Een beveiligde verbinding betekent geen veilige site, en iedereen die u ooit het tegendeel heeft geleerd, heeft gelogen.
12-10-2015, 21:09 door Anoniem
Toen we nog overal inlogden via HTTP, controleerde je toch ook of de domeinnaam wel klopte?
12-10-2015, 22:40 door Briolet - Bijgewerkt: 12-10-2015, 22:56
Door Anoniem:Banken hebben veelal een groen slotje met de naam in de url bar.

Je schrijft terecht het woord 'veelal'. Mij valt nml. net op dat de ABN-Amro op het moment geen groen slotje met naam vertoont met Chrome en Safari op mijn Mac. Firefox geeft nog wel het slotje.

Zou dat te maken hebben met de nog strengere eisen die Google aan dergelijke certificaten stelt, zoals hier onlangs gemeld is? https://www.security.nl/posting/440779/Chrome+geeft+duizenden+EV+SSL-certificaten+verkeerd+weer

En dat het nieuwe Safari 9 nu ook deze eisen stelt?

Edit:
Ik heb net even bij de ABN-Amro, SNS, ING en een Duitse Volksbank gekeken. Alle vier gebruiken ze een EV certificaat van Symantec en alle drie geven ze geen groen slotje.
De Rabobank gebruikt een certificaat van DigiCert en geeft wel het groene slotje.
13-10-2015, 09:19 door john west
I.N.G geeft bij mij wel een groen slotje.


Je verbinding met mijn.ing.nl is versleuteld via een"" verouderde"" Cipher Suite.
De verbinding maakt gebruik van TLS 1.2.
De verbinding is geëncrypt met AES_256_CBC, met HMAC-SHA1 voor berichtverificatie en ECDHE_RSA als mechanisme voor sleuteluitwisseling.

De identiteit van ING BANK N.V. op Amsterdam Zuidoost, Noord-Holland NL is geverifieerd door Symantec Class 3 EV SSL CA - G3. Er zijn geen
certificaattransparantiegegevens geleverd door de server.
13-10-2015, 10:43 door Briolet
In zie nu ook de groene slotjes bij de genoemde banken met Safari 9 met El Capitan op mijn iMac. Als ik weer op de laptop kijk (Met zelfde OS en browser) zijn ze niet groen. Dat is dan toch iets lokaal bij mij. Bij de Rabobank geeft hij het wel groen weer, dus is het niet dat hij helemaal niet op EV certificaten reageert.

Dat op de Mac, Chrome hetzelfde als Safari reageert is te verwachten omdat beide de certificaat-afhandeling aan het systeem overlaten.
13-10-2015, 11:45 door Anoniem
En daarom is het dus ook niet waard om voor zo een certificate 60/90 us$ per jaar te betalen. De toegevoegde waarde van de dienstverlening van comodo is toch niets.

Kan niet wachten op lets encrypt in november! Gratis certificaten! (En niet komen met dat startssl dat ook al lang doet, want die weigeren soms certificaten uit te geven (voor 'commerciele' doeleinden of zo))
13-10-2015, 18:18 door Anoniem
Door Briolet:
Zou dat te maken hebben met de nog strengere eisen die Google aan dergelijke certificaten stelt, zoals hier onlangs gemeld is? https://www.security.nl/posting/440779/Chrome+geeft+duizenden+EV+SSL-certificaten+verkeerd+weer

Edit:
Ik heb net even bij de ABN-Amro, SNS, ING en een Duitse Volksbank gekeken. Alle vier gebruiken ze een EV certificaat van Symantec en alle drie geven ze geen groen slotje.
De Rabobank gebruikt een certificaat van DigiCert en geeft wel het groene slotje.

Zou kunnen.
Sinds Chrome versie 42 wordt er op Certificate Transparency gelet en wordt E.V. niet meer groen als er geen C.T. op zit.
Momenteel heeft naast Rabobank ook SNSbank deze Certificate Transparency. (maar dit kan heeeeeel recent zijn)

Verder zou Certificate Tranparency geïntroduceerd zijn (of worden?) in iOS 9 en OSX 10.11:
http://gizmodo.com/one-big-list-of-the-new-privacy-and-security-features-i-1710332864
14-10-2015, 07:18 door Anoniem
Door Anoniem: Certificaten handel is business, vertrouwen en veiligheid zijn daaraan ondergeschikt. Zolang certificaat boeren miljarden omzetten met zo min mogelijk inspanning verkopen van een gevoel van veiligheid en daarbij invloed hebben op de regels van de audits is het een grote farce. Er is wereldwijd een klakkeloos vertrouwen in deze partijen, ten koste van de eigen veiligheid. En ook hier gaat op dat de bedrijven nauwelijks consequenties ervaren als ze dit soort blunders of zelfs erger begaan.

Je weet duidelijk niet hoe een aanvraag van een certificaat verloopt.
19-10-2015, 11:36 door Anoniem
interessant hoor de ene anoniem die reageert op de andere anonieme gebruiker, over vertrouwen gesproken....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure