Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Blogs

Wie Censys Search durch die Überwachung von SSL/TLS-Zertifikaten hilft, Phishing-Angriffe zu verhindern

Teilen Sie

Januar 8, 2025
Tags:

Selbst mit den Fortschritten der KI sind Cyber-Bedrohungen der alten Schule immer noch weit verbreitet. Je länger eine Taktik im Spiel ist, desto länger haben die Angreifer Zeit, ihre Techniken zu beherrschen und erfolgreiche Angriffe zu starten. Tatsächlich sind Phishing-Angriffe nach wie vor eine der häufigsten Cyber-Bedrohungen, und obwohl Phishing eine altbewährte Taktik ist, haben KI-Verbesserungen den Erfolg von Social-Engineering-Angriffen nur noch verstärkt. Kurz gesagt, trotz Zeit und Technologie sind Phishing-Angriffe immer noch in der Lage, Schaden anzurichten.

Laut einer Studie von Proofpoint wurden 71 % der Unternehmen im letzten Jahr Opfer von Phishing-Angriffen. Zu den Folgen erfolgreicher Phishing-Angriffe gehören der Verlust von Daten und IP (33 %), die Infektion mit Ransomware (32 %) und finanzielle Einbußen (22 %). Während Phishing in der Regel über E-Mail erfolgt, ist ein übersehener, aber wichtiger Aspekt der Phishing-Prävention die Verwaltung und Überwachung von SSL/TLS-Zertifikaten.

Der Zusammenhang zwischen Phishing-Angriffen und SSL/TLS-Zertifikaten liegt in der Rolle, die diese Zertifikate beim Aufbau von Vertrauen und sicherer Online-Kommunikation spielen. Angreifer nutzen Schwachstellen in SSL/TLS-Zertifikaten, ihre schlechte Verwaltung oder das falsche Vertrauen der Benutzer in sie aus, um Phishing-Angriffe durchzuführen.

Aufbau von Vertrauen durch SSL/TLS-Zertifikate

SSL/TLS-Zertifikate werden verwendet, um Websites zu sichern, indem die Kommunikation zwischen dem Benutzer und dem Server verschlüsselt wird. Wenn Benutzer das Vorhängeschloss-Symbol oder "HTTPS" in der Adressleiste ihres Browsers sehen, gehen sie oft davon aus, dass die Website sicher und seriös ist.

Phisher nutzen dieses Vertrauen auf zwei Arten aus:

  • Beschaffung von Zertifikaten für gefälschte Websites: Angreifer können gültige SSL/TLS-Zertifikate für Phishing-Websites erhalten, die seriöse Websites imitieren. Viele Zertifizierungsstellen (CAs) stellen Zertifikate aus, ohne die Absicht des Antragstellers gründlich zu überprüfen, so dass Angreifer ihre betrügerischen Websites glaubwürdig erscheinen lassen können.
  • Verlassen auf falsches Vertrauen der Benutzer: Viele Nutzer glauben, dass ein Vorhängeschloss die Legitimität einer Website garantiert, aber es zeigt nur eine sichere Verbindung an, nicht aber, dass die Website vertrauenswürdig ist.

Ausnutzung von abgelaufenen oder falsch konfigurierten Zertifikaten

Unternehmen, die ihre SSL/TLS-Zertifikate nicht ordnungsgemäß verwalten, können ungewollt Phishing-Angriffe unterstützen:

  • Abgelaufene Zertifikate: Wenn das SSL/TLS-Zertifikat einer legitimen Website abläuft und nicht erneuert wird, können Angreifer dieses Versäumnis ausnutzen. Sie können Phishing-Websites erstellen, die sich als die legitime Domain ausgeben und so Benutzer, die an die Interaktion mit der Website gewöhnt sind, in die Irre führen.
  • Falsch konfigurierte Zertifikate: Schwache Konfigurationen oder die Verwendung veralteter Protokolle können zu Schwachstellen führen, die Angreifer ausnutzen, z. B. durch SSL-Stripping oder Downgrade-Angriffe. Diese Schwachstellen können Phishern helfen, den Datenverkehr abzufangen oder sichere Verbindungen zu manipulieren.

Verwendung gefälschter oder kompromittierter Zertifizierungsstellen (CAs)

Phisher können kompromittierte oder betrügerische CAs nutzen, um gültige SSL/TLS-Zertifikate für betrügerische Domänen auszustellen. Diese Zertifikate lassen Phishing-Websites authentisch erscheinen, selbst für vorsichtige Benutzer, die das Vorhandensein von HTTPS überprüfen.

Phishing als Angriffsvektor

Bei Phishing-Kampagnen verwenden die Angreifer häufig Domänennamen und SSL/TLS-Zertifikate, die den legitimen Zertifikaten sehr ähnlich sind. Zum Beispiel:

  • Homograph-Angriffe: Angreifer registrieren Domänen mit Zeichen, die legitimen Domänen ähnlich sehen (z. B. ersetzen sie "rn" durch "m"). In Kombination mit einem gültigen SSL/TLS-Zertifikat können diese gefälschten Domänen die Benutzer leicht täuschen.
  • Man-in-the-Middle (MITM) Phishing: Unter Ausnutzung von SSL/TLS-Schwachstellen können sich Angreifer zwischen den Benutzer und die legitime Website stellen und Anmeldeinformationen oder andere sensible Daten abfangen.

Ohne eine angemessene Überwachung können sich Unternehmen ungewollt diesen Risiken aussetzen.

Verhinderung von Phishing mit proaktivem Zertifikatsmanagement

Censys Search bietet Unternehmen einen unvergleichlichen Einblick in SSL/TLS-Zertifikate im gesamten Internet. Mit der weltweit größten Datenbank von X.509-Zertifikaten - mit über 17 Milliarden Zertifikaten, Tendenz steigend - versetztCensys Sicherheitsteams in die Lage, Schwachstellen zu erkennen und zu beheben, bevor sie ausgenutzt werden.

Censys Search kann dazu beitragen, das Phishing-Risiko zu verringern:

  • Aufspüren von abgelaufenen oder falsch konfigurierten Zertifikaten: Censys ermöglicht Unternehmen die proaktive Überwachung ihrer SSL/TLS-Zertifikate. Durch die Identifizierung abgelaufener oder falsch konfigurierter Zertifikate können Sicherheitsteams schnell handeln, um sie zu aktualisieren oder zu ersetzen und Angreifer daran zu hindern, diese Schwachstellen auszunutzen.
  • Identifizierung von Zertifizierungsstellen (CAs): Durch die Bereitstellung detaillierter Einblicke in die von einer Organisation verwendeten CAs hilft Censys sicherzustellen, dass nur vertrauenswürdige CAs Zertifikate für ihre Domänen ausstellen. Dies verringert das Risiko, dass Angreifer unseriöse Zertifizierungsstellen nutzen, um bösartige Zertifikate zu erstellen.
  • Sicherstellung der Zertifikatsicherheit: Sicherheitsteams können mit Censys überprüfen, ob alle Zertifikate den aktuellen Best Practices für Verschlüsselung und Konfiguration entsprechen. Dies minimiert Schwachstellen, wie sie von älteren Angriffstechniken (z. B. SSL-Stripping oder POODLE) ausgenutzt werden.

Beispiel aus der Praxis: So führen Sie eine Censys Search Abfrage für SSL/TLS-Zertifikate durch

Sehen wir uns an, wie Censys dabei helfen kann, abgelaufene Zertifikate zu finden, die mit Ihrer Organisation verbunden sind. Wir können mit einer Abfrage beginnen, die reguläre Ausdrücke (regex) verwendet, um Ihre Suche nach Zertifikaten mit einem hohen Grad an Genauigkeit aufzuzählen. In diesem hypothetischen Beispiel nehmen wir an, der Name Ihrer Organisation sei ACME.

((services.tls.certificate.names=/(.*)acme.(.*)/ oder name=/(.*)acme.(.*)/

oder dns.names=/(.*)acme.(.*)/ oder dns.reverse_dns.names=/(.*)acme.(.*)/))

Von hier aus können wir eine Klausel hinzufügen, die die Gültigkeitsdauer der zurückgegebenen Zertifikate prüft. Wählen wir eines aus, das überhaupt nicht mehr gültig ist.

((services.tls.certificate.names=/(.*)acme.(.*)/ oder name=/(.*)acme.(.*)/ oder

dns.names=/(.*)acme.(.*)/ oder dns.reverse_dns.names=/(.*)acme.(.*)/)) und

services.tls.certificate.parsed.validity_period.length_seconds=0 

Dies liefert alle unsere ausgestellten Zertifikate. Wir können jedoch noch weiter suchen. Welche Zertifikatsaussteller verwenden Sie? Wir fügen eine weitere Klausel hinzu, die Zertifikate des von Ihnen genehmigten Herausgebers ausschließt. In diesem hypothetischen Fall sagen wir, es ist Let's Encrypt.

(((services.tls.certificate.names=/(.*)acme.(.*)/ oder name=/(.*)acme.(.*)/

oder dns.names=/(.*)acme.(.*)/ oder dns.reverse_dns.names=/(.*)acme.(.*)/) und

(services.tls.certificate.parsed.validity_period.length_seconds=0) und

not (services.tls.certificate.parsed.issuer.organization: encrypt))) 

Mit nur drei Abfragen ist es uns gelungen, 20 Terabyte an Zertifikatsdaten auf eine kleine Handvoll relevanter Zertifikate einzugrenzen.

Mit Proactive der Bedrohungslandschaft immer einen Schritt voraus Search

Censys bietet zahlreiche weitere Möglichkeiten zur Abfrage von Daten, um potenzielle Schwachstellen aufzudecken und zertifikatsbezogene Sicherheitsrisiken zu verringern.

Sie erhalten einen detaillierten Einblick in die vielen Möglichkeiten, wie Censys Search Ihnen helfen kann, Angreifern einen Schritt voraus zu sein und Ihr Unternehmen vor Cyber-Bedrohungen zu schützen. Ganz gleich, ob Sie bösartige Infrastrukturen aufspüren, anfällige Dienste identifizieren oder die Risiken Dritter überwachen wollen, unser "Unleash the Power of Censys Search : A Hassle-Free Handbook for Cyber Heroes" (Ein müheloses Handbuch für Cyber-Helden) kann Ihre erste Anlaufstelle sein. Laden Sie diesen umfassenden Leitfaden jetzt herunter und entdecken Sie die proaktive Kraft von Censys bei der Erkennung potenzieller Risiken und der Stärkung Ihrer Sicherheitslage.

Den Leitfaden lesen

Über den Autor

Marianne Chrisos Censys Leiterin für Content Marketing
Marianne Chrisos
Leiterin für Content Marketing
Marianne Chrisos ist Content Marketing Manager bei Censys und verfügt über mehr als ein Jahrzehnt Erfahrung in den Bereichen Copywriting, Forschung und Content-Strategie, wobei ihr Schwerpunkt auf der Technologie- und Cybersicherheitsbranche liegt. Sie hat mit führenden Unternehmen wie Cisco und Gartner zusammengearbeitet und kombiniert Branchenwissen mit strategischem Storytelling, um Unternehmen bei der Navigation durch die sich entwickelnde Sicherheitslandschaft zu unterstützen.

Ähnlicher Inhalt

Alle ähnlichen Inhalte anzeigen
Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren