Online-Shopper werden oft aufgefordert, sicherzustellen, dass ihre ausgewählten Online-Shops ’sicher‘ sind, dass das ’s‘ in HTTPS sichtbar ist und dass der Webbrowser ein Schlosssymbol anzeigt. Die Verbreitung dieser sichtbaren Indikatoren als Bestätigung der Website-Sicherheit ist nicht nur unverantwortlich, sondern auch gefährlich.
Wie Brian Krebs kürzlich auf Krebs on Security , even U.S. Regierungs- und Bundeswebsites sind dieser Praxis schuldig, als ob das Vorhängeschloss die offizielle und sichere Natur der Website garantiert. Das ist nicht der Fall. Das Schloss-Symbol und die dazugehörige URL mit ‚https‘ bedeuten lediglich, dass die Verbindung zwischen Ihrem Webbrowser und dem Server der Webseite verschlüsselt erfolgt. Das ist gut, oder? Ja, eine verschlüsselte Verbindung ist zumindest oberflächlich positiv und impliziert ein erhöhtes Maß an Vertrauen, das angeblich durch die Verwendung eines SSL-Zertifikats erreicht wird.
Wie in einem früheren Artikel beschrieben, gibt es SSL-Zertifikate selbst in vielen Formen, von DIY-Bemühungen mit OpenSSL (Sie können sogar Ihre eigene Zertifizierungsstelle sein) und kostenlosen von Let’s Encrypt bis hin zu gekauften Lösungen von ‚anerkannten‘ Zertifizierungsstellen. Sie tun nichts anderes, als den Besitz einer Domain zu bestätigen, und bestätigen außer der Bestätigung der Verschlüsselung in keiner Weise die Sicherheitspraktiken dieser Website. Es bestätigt, dass der Websitebesitzer Administratorzugriff auf den Webserver hat und seine Identität auf eine Weise überprüft hat, die je nach ausgewähltem SSL-Zertifikat variiert.
Lassen Sie uns die notwendigen Schritte veranschaulichen, die Benutzer unternehmen sollten, wenn sie entscheiden, ob sie einer Website vertrauen, und in einigen Fällen, wie einfach es für Cyberkriminelle ist, sogenannte Verifizierungsprozesse zu umgehen.
Laut PhishLabs waren im letzten Quartal 2019 74% der gemeldeten Phishing-Websites ’sicher‘, da sie sowohl HTTPS als auch das Schlosssymbol enthielten. Ich könnte diesen Beitrag hier beenden, nachdem ich bewiesen habe, dass beide Kriterien in Bezug auf die Sicherheit wertlos sind. Aber ich werde nicht …
HTTPS bedeutet nichts
Der einzige Vorteil von HTTPS ist, dass es mehr oder weniger verschlüsselte Verbindungen online erzwingt, da viele Browser ohne es den Zugriff auf die Website verweigern und eine Warnung anzeigen. Wenn der Benutzer weiterhin eine Verbindung zur unsicheren Site herstellen möchte, ist dies möglich, es wird jedoch eine Warnung ausgegeben, die die meisten Benutzer abschreckt. Leider sind Cyberkriminelle nicht dumm, so dass die meisten SSL-Verschlüsselung verwenden, wie bereits erwähnt. Herzlichen Glückwunsch, Sie haben jetzt eine direkte verschlüsselte Verbindung zur Website eines Cyberkriminellen, die speziell für Phishing-Angriffe, die Bereitstellung von Malware oder andere Motivationen wie das Sammeln von Daten entwickelt wurde.
Domains können nicht vertrauenswürdig sein
Jeder kann eine Website mit Hosting-Kosten von kostenlosen (ob legitime oder gehackte Subdomains) und Budget bis hin zu dedizierten Servern einrichten. Einigen Domains wird mehr vertraut als anderen, aber wie Brian Krebs gezeigt hat (ja, ich bin ein regelmäßiger Leser), sind sogar .gov-Domains (reserviert für Regierungsorganisationen in den USA).) können leicht gefälscht werden, wenn diejenigen, die die Domain für Betrug suchen, bereit sind, illegale Methoden anzuwenden. Der Forschungsaufwand war minimal. Ich gehe davon aus, dass .mil- und .edu-Domains robuster sind, aber wer weiß, oder? Eine meiner eigenen Domains verwendet .com.hk und ist nur für in Hongkong registrierte Unternehmen verfügbar. Die Einrichtung war mühsam und erforderte mehrere E-Mails, Kopien meines Unternehmensregistrierungszertifikats, Firmenbankkonto, mein Reisepass, und Wohnsitzdaten. Aber zumindest weiß ich, dass der Prozess gut ist und einen Cross-Check mit mehreren Regierungsabteilungen beinhaltet. Das gleiche gilt nicht für .com und andere Top-Level-Domains, unabhängig vom Standort. Wenn jemand einen bekommen kann, wie kann er einer Website Vertrauen verleihen?
Die Whois-Überprüfung ist meistens wertlos
Um Spam zu vermeiden, verbergen die meisten Websites Kontaktinformationen der Website oder geben bestenfalls nur allgemeine Kontakte an. Außerdem kann sich der Hosting-Anbieter überall befinden und spiegelt selten den physischen Standort des Unternehmens wider.
Due Diligence ist immer notwendig
Wie in früheren Artikeln erwähnt, besitze und pflege ich einige Websites mit geringem Datenverkehr. Ich habe mich für kostenlose Let’s Encrypt SSL-Zertifikate (mit freundlicher Genehmigung meines Hosting-Providers) entschieden. Ich habe im Moment keinen E-Commerce und verwende Zahlungsgateways und direkte Einzahlungen auf Firmenkonten als bevorzugte Zahlungsoptionen. Daher habe ich keine PCI-DSS-Anforderungen, sodass andere diesen Albtraum bewältigen müssen.
In Übereinstimmung mit mehreren Vorschriften (einschließlich DSGVO) verfügt jede Website jedoch über eine detaillierte Datenschutz- und Cookie-Richtlinie, in der genau angegeben ist, welche Informationen von Website-Besuchern gesammelt werden. Ich weiß, dass meine Websites den Best Practices der Branche folgen, umgehend mit Sicherheitspatches aktualisiert werden und so weiter. Wie stelle ich sicher, dass die von mir besuchten Websites gleichermaßen sicher und vertrauenswürdig sind? Noch wichtiger, was sind die Risiken?
Die Risiken, sich auf HTTPS als primären Sicherheitsindikator zu verlassen
Cyberkriminelle verwenden HTTPS zum größten Teil, und die Websites selbst sind häufig mit Phishing- oder Malware-Kampagnen verknüpft. Sie können über einen E-Mail-Link als Ergebnis einer Suchmaschinenabfrage oder einer Überweisung von einer anderen Website dorthin gelangen. Ja, sie sind sich auch der SEO bewusst. Die Sache ist natürlich, dass sie die Websites besitzen, damit sie alles installieren können, was sie wollen, um ihre Ziele zum Erfolg zu führen.
Ein kostenloser Download könnte Chaos auf Ihrem System anrichten oder Keylogging-Tools starten, ein Klick auf einen Link könnte ein Programm starten oder die Registrierung im Hintergrund bearbeiten, da Benachrichtigungsfenster oft absichtlich vermieden werden. Das Klicken auf etwas auf diesen Websites kann zu Problemen führen. Tatsächlich könnte sogar das Laden einer Webseite dies tun, da viele Plugins verfügbar sind, um Besucherdaten zu sammeln, sobald sie eine Verbindung zur Website herstellen. Wenn Ihr Betriebssystem oder Webbrowser eine Sicherheitsanfälligkeit aufweist (selbst grundlegende Besucherverfolgungstools können Browser- und Betriebssystemspezifikationen abrufen), sind Sie einem Angriff ausgesetzt. Sie haben Ihre IP-Adresse (es sei denn, Sie verwenden ein VPN), um das entsprechende Hacking-Tool zu starten.
Einige Tipps und Warnzeichen, um sich online zu schützen
Die folgenden Tipps (keine vollständige Liste) verringern das Risiko beim Surfen im Internet:
Sicherheitsupdates und Patches für Browser, Betriebssysteme und Software
Installieren Sie sie umgehend, da Hacker und Penetrationstester gleichermaßen Zugriff auf öffentlich verfügbare Daten zu den neuesten Schwachstellen haben und mithilfe von Tools nach bestimmten Schwachstellen suchen können.
Verwenden Sie sichere Browser (mit integrierten Sicherheitsoptionen)
Ihre Auswahl ist eine persönliche Präferenz. Ich benutze fünf oder sechs verschiedene Browser, darunter Brave, Firefox und Tor.
Verwenden Sie Addons und Erweiterungen, um das Surfen zu schützen
Es ist eine gute Idee, die Sicherheit Ihres Webbrowsers zu erhöhen. Alles von der Electronic Frontier Foundation ist eine würdige Ergänzung, ebenso wie Duckduckgos Privacy Essentials.
VPN
Verwenden Sie ein VPN, um Ihre tatsächliche IP-Adresse zu verbergen, und wechseln Sie sie etwa alle 30 Minuten. Sogar kostenlose werden Sie vor Cyberkriminellen verstecken. Treffen Sie Ihre Auswahl mit Bedacht, da einige VPNs lediglich Daten für Vermarkter sammeln und später selbst von Hackern angegriffen werden. Ich verwende eine kommerzielle Lösung.
SEO
Die Verwendung eines Tools wie SEO Quake kann einige Hinweise auf die Legitimität einer Website geben, einschließlich des Alters, der Anzahl externer und interner Links und vielem mehr.
Die Website
Verdächtigen Websites fehlen oft die Grundlagen. Englisch kann schwach sein. Möglicherweise fehlen echte Informationen über den Eigentümer der Website, z. B. Kontaktdaten. In der Regel sind keine Seiten mit Datenschutz- und Cookie-Richtlinien erforderlich. Es kann BitCoin oder andere digitale Währungen als bevorzugte Zahlungsmethoden pushen. In den meisten Fällen, es wird nur das Gefühl, ‚off‘ oder bieten etwas für die Preisgestaltung zu unglaublich, um wahr zu sein. Im aktuellen Klima sind COVID-19-Betrügereien häufig, seien Sie also vorsichtig.
Fazit
Verlassen Sie sich beim Besuch neuer Websites nicht auf das Schlosssymbol oder HTTPS. Nehmen Sie diese Seite und überlegen Sie, warum Sie hier sind. Progress ist eine bekannte Marke mit globaler Reichweite. Die meisten von uns halten sich an etablierte Marken, aber eine Suche könnte Sie zu einem neuen Produkt oder Dienstleister führen. Machen Sie Ihre Due Diligence, bevor Sie einen Kauf tätigen oder sogar eine neue Website erkunden. Suchen Sie nach dem Domainnamen in Anführungszeichen und fügen Sie ‚review‘ oder ’scam‘ hinzu, um die Überprüfung zu erleichtern (beachten Sie, dass auch gefälschte Bewertungen und verwandte Websites möglich sind). Ja, Betrüger denken an alles. Viel Glück…