Phishing-websteder bruger certifikater

Artiklen blev oprindeligt publiceret den 4/10/2005

Selvom et websted er udstyret med et certifikat, er det ikke nødvendigvis pålideligt. Flere phishing-websteder er begyndt at bruge selv-udstedte certifikater.

Der er tale om de certifikater, som bruges af websteder, der anvender SSL-kryptering. Når man besøger sådan et websted, er krypteringen markeret med et hængelåsikon i bunden af skærmen. Brugeren kan se certifikatet ved at dobbeltklikke på ikonet.

Sikkerhedsfirmaet Surfcontrol oplyser, at det har set flere eksempler på, at phishing-websteder anvender certifikater. Et phishing-websted er et forfalsket websted, der for eksempel giver sig ud for at tilhøre en bank. Svindlerne udsender mails med links til webstedet, hvori de forsøger at narre modtagerne til at besøge det og indtaste fortrolige oplysninger såsom kontonumre.

Et certifikat sikrer imidlertid kun, at man kommunikerer med et websted, der har en bestemt adresse. Så en svindler kan udstede sit eget certifikat til adressen www.falskbankwebsted.dk. Hvis en bruger går ind på den adresse, vil certifikatet være gyldigt.

Til gengæld vil brugeren som regel få en advarsel om, at certifikatet er udstedt af en myndighed, som man ikke har tillid til. Men Surfcontrol mener, at mange brugere blot vil klikke sig videre fra den advarsel, fordi de ikke forstår den.

Firmaet anbefaler, at it-ansvarlige informerer deres brugere om sikkerhed ved brug af web.

Links

• Pressemeddelelse fra Surfcontrol om certifikater på phishing-websteder