Norton Safe Web brandmarkt DNS-Spezialisten irrtümlich als Phishing-Angreifer
Der Dienst hat ausgerechnet die Webseite des gemeinnützigen Vereins deSEC als gefährlich eingestuft. Dieser engagiert sich für die Sicherheitstechnik DNSSEC.
NortonLifeLock, Anbieter der Browser-Erweiterung Safe Web hat die Webseite des DNS-Spezialisten deSEC.io irrtümlich als Quelle von Phishing-Attacken klassifiziert. Inzwischen hat Norton die Einstufung nach Anfrage von c't überprüft, eine fehlerhafte Klassifizierung eingeräumt und den Fehler abgestellt.
Warnmeldungen vor Phishing-Websites sind für Dienstleister wie Nortons Safe Web nicht ungewöhnlich, manche verschwinden nach einigen Tagen, wenn der Auslöser abgestellt wird. Jedoch benachrichtigen andere Malware- und Phishing-Scanner den Betreiber einer als gefährlich eingestuften Webseite per Mail (z. B. Netcraft), sodass er umgehend reagieren kann, falls sein Server tatsächlich gehackt wurde. Norton Safe Web leistet das bisher nicht, sodass sowohl korrekte Warnmeldungen als auch Fehlalarme unter Umständen sehr lange unbehandelt bleiben.
Vielen der als gefährlich eingestuften Webseiten begegnet man nur zufällig auf Streifzügen und nach einer Phishing-Warnung meidet man sie ohne Weiteres. Im aktuellen Fall ist das für manche Internet-Nutzer schwierig, denn über deSEC.io bietet der gleichnamige gemeinnützige Berliner Verein DNS-Hosting-Dienste und als einer der ersten Anbieter überhaupt auch signierte, also speziell abgesicherte DynDNS-Domains für seine Kunden an. Es wäre verheerend, wenn ausgerechnet eine solche Webseite als Quelle von Phishing-Mails missbraucht werden würde. Wir und auch der um Stellungnahme gebetene Verein konnten indes keine Anzeichen für Phishing-Aktivitäten auf deSEC.io finden.
Rund drei Tage nach unserer Anfrage zog Norton die irrtümliche Phishing-Klassifizierung schließlich zurück; nun stuft der Dienst die Seite als sicher ein. Ein Sprecher des Unternehmens gab an, dass seit der Registrierung der Domain im Jahr 2014 "keine Anzeichen von Unregelmäßigkeiten" festgestellt worden seien. "Die Markierung könnte auf die Website-Analyse zurückzuführen sein, die zu einer falschen Kennzeichnung der Domain geführt hat", erklärte Norton gegenüber c't.
(dz)
