Für viele Nutzer gilt HTTPS als Garantie dafür, dass die von ihnen besuchten Webseiten sicher sind. Inzwischen verwenden jedoch auch immer mehr Phishing-Webseiten diese Verschlüsselung, weshalb HTTPS allein kein Indikator mehr für Sicherheit darstellt. Anbieter von Phishing-Webseiten machen sich die irrtümliche Annahme, dass mit HTTPS eine vollumfängliche Sicherheit einer Webseite suggeriert wird, gezielt zu Nutze. HTTPS bedeutet jedoch nur, dass der Datenfluss zwischen dem Nutzer und dem Server der Webseite verschlüsselt wird und heißt nicht, dass die besuchte Webseite generell seriös ist.
Was bedeutet HTTPS?
HTTPS bedeutet „Hypertext Transfer Protocol Secure“ und meint ein sicheres Übertragungsprotokoll. Im Gegensatz zu HTTP garantiert HTTPS folglich einen verschlüsselten Datenaustausch zwischen dem Nutzer einer Webseite und dem Server, auf dem die Webseite gehostet ist. Somit wird ausgeschlossen, dass diese Daten nicht von Dritten abgefangen oder mitgelesen werden können. Daher ist ein SSL/TLS Zertifikat insbesondere für solche Webseiten wichtig, bei denen private Daten – wie etwa Bank- oder Kreditkartendaten – eingegeben werden.
Betrug durch Phishing-Webseiten
Bei Phishing handelt es sich um einen gezielten Online-Betrug, der oft mit einer betrügerischen E-Mail eingeleitet wird. Nutzer werden in diesen dazu verleitet Webseiten zu besuchen und dort persönliche Daten oder Passwörter einzugeben. Dabei imitieren sowohl die E-Mails als auch die Webseiten meist jene von bekannten Unternehmen. Auch über die URL ist auf den ersten Blick kein Betrug zuerkennen, da häufig unauffällige Tippfehler oder Buchstaben aus anderen Ländern verwendet werden, um Phishing-Webseiten als seriös erscheinen zu lassen.
Eine gängige URL wie „https://www.paypal.com“ wird jedoch nicht immer nur unauffällig nachgeahmt. Häufig gelangen Nutzer auch über andere, sinnvoll erscheinende URLs wie „https://paypal-daten-kontrolle.com” auf die betrügerischen Webseiten.
Browser können bislang noch nicht zuverlässig erkennen, ob Webseiten mit einer HTTPS Verschlüsselung sicher sind oder nicht. Daher werden einmal identifizierte Phishing-Webseiten von den Herstellern der Browser aktiv blockiert, sodass diese nicht mehr aufgerufen werden können. Sobald Nutzer jedoch auf eine noch unidentifizierte Phishing-Webseite gelangen, sind sie selber in der Verantwortung diese zu erkennen.
BEE SECURE empfiehlt
– Werden Sie misstrauisch bei unerwarteten E-Mails, oder E-Mails, die etwas von Ihnen verlangen. Beachten Sie, dass der Absender (Name und Adresse) einer E-Mail einfach gefälscht werden kann.
– Überprüfen Sie die URL der Webseiten, bevor Sie Ihre privaten Daten eingeben. Wenn Sie sich nicht sicher sind, recherchieren Sie den richtigen Namen der Webseite über eine Suchmaschine. Besser noch: Tippen Sie die Adresse der Webseite direkt ein, ohne auf den Link in der E-Mail zu klicken.
– Installieren Sie eine Browser-Erweiterung, mit der Sie Webseiten nach Kriterien wie „Vertrauenswürdigkeit“ oder „Jugendschutz“ bewerten können und die Warnmeldungen beim Besuch von unseriösen Seiten anzeigt.
Quellen: chip.de, heise.de, cio.gov/faq, praxistipps.chip.de