image

Trustwave geeft SSL-certificaat uit voor PayPal-phishingsites

dinsdag 13 oktober 2015, 16:19 door Redactie, 3 reacties

Certificaatautoriteit Trustwave heeft een zogeheten 'organisation validated' SSL-certificaat voor verschillende PayPal-phishingdomeinen uitgegeven. SSL-certificaten worden gebruikt voor het identificeren van de website en het versleutelen van verkeer tussen bezoekers en website.

Er zijn grofweg drie verschillende categorieen van SSL-certificaten. Bij het domain-validated (DV)-certificaat wordt alleen de controle over een bepaald domein gecontroleerd. In het geval van een organisation-validated (OV)-certificaat wordt het recht van de aanvrager om een specifieke domeinnaam te gebruiken gecontroleerd alsmede een validatie van het bedrijf. Als derde is er nog het Extended Validation (EV)-certificaat, waarbij de identiteit van de eigenaar uitgebreid wordt gecontroleerd. Veel certificaten die aan misleidende domeinnamen worden toegekend zijn DV-certificaten. Vaak gaat het hier om een geautomatiseerd proces.

In het geval van de OV- en EV-certificaten zal de controle door een mensen plaatsvinden. Het is dan ook opmerkelijk dat Trustwave een OV-SSL-certificaat voor paypal-office.com, myaccount-paypal.com en paypal-sign.com heeft uitgegeven die op een PayPal-phishingsite zijn gebruikt. Het certificaat was uitgegeven aan iemand in India, zo meldt internetbedrijf Netcraft. De phishingsite is inmiddels offline gehaald, maar de certificaten zijn volgens Netcraft nog niet ingetrokken.

Reacties (3)
13-10-2015, 16:31 door Anoniem
De personen die in de handel van certificaten werken zijn nagenoeg niet gescreend en hoeven zich enkel als organisatie te verantwoorden tijdens een audit. Het feit dat het landschap van dit soort certificaatbedrijven zo groot is zegt meer iets over het gemak waarmee honderden dollars per simpele handeling worden verdiend dan over de kwaliteit en betrouwbaarheid van de personen in die bedrijven. En zolang niemand ter verantwoording wordt geroepen gaat dit spel nog jaren door. En daar vertrouwen we als maatschappij dan in, want we snappen zelf niet wat die slotjes, 'verified' en meer van dat soort marketing allemaal precies betekend. Het was de bedoeling dat je dan vertrouwen hebt in de certificaatbedrijven, maar de maatschappij hanteert vooral blind vertrouwen en goed geloof in mooie praatjes.
13-10-2015, 16:54 door PietdeVries
Tja - dat wordt natuurlijk een glijdende schaal... Hoe kan je als Trustwave weten welke domeinen er lijken op een merknaam in een van de 128 landen (of honderden TLD's)? Trustwave zal er in ieder geval voor moeten zorgen dat degene die het certificaat aanvraagt zijn identiteit bewijst (paspoort, rijbewijs, etc). Of dat domein dan lijkt op iets anders en eventueel misbruikt zou kunnen worden is dan toch niet aan Trustwave?
13-10-2015, 17:14 door 0101
Voor het geval iemand zich afvraagt waarom de naam "Trustwave" zo bekend klinkt: https://www.security.nl/posting/35234/%22Trustwave+verdient+internet-doodstraf%22
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.