Suchen

Browsertabs als Phishing-Falle

25.05.2010 – 18:31 – Yacine Gasmi

Aza Raskin, Mozilla-Entwickler und Experte für Benutzerschnittstellen, warnt vor einer neuen Phishing-Variante, die er als „tabnabbing“ bezeichnet. Der Angriff beruht auf der Annahme, dass Nutzer bei einem Wechsel zwischen Browserfenstern bereits geöffnete Webseiten weniger sorgfältig prüfen.

Ein zentraler Ratschlag zum Schutz vor Phishing-Angriffen ist, Internetseiten sorgfältig auf bestimmte Sicherheitsmerkmale (z.B. die korrekte Internetadresse oder der Einsatz von Verschlüsselung) hin zu überprüfen. Der nun vorgestellte Angriff geht von der Annahme aus, dass dies bei bereits geöffneten Webseiten oft nicht so sorgfältig geschieht.

Damit der Angriff funktioniert, muss der Nutzer auf eine präparierte Internetseite gelockt werden. Wechselt er dann von der vermeintlich harmlosen Seite in ein anderes Browserfenster, so ändert die verlassene Webseite im Verborgenen ihren Inhalt und ihr Aussehen. Kommt der Nutzer später auf dieses Fenster zurück, so findet er beispielsweise die vermeintliche Anmeldeseite von Google Mail. Gibt er dort seine Zugangsdaten ein, landen sie direkt in den Händen der Betrüger.

Mit Hilfe von JavaScript kann die präparierte Webseite feststellen, wenn der Nutzer zu einem anderen Fenster wechselt. Auch die dann folgende Änderung der Seite inklusive Tabbezeichnung und -symbol (Favicon) erfolgt mittels JavaScript.

Die Internetadresse kann dagegen nicht geändert werden, genauso wenig wie andere Elemente im Browser, die die Echtheit einer Webseite attestieren sollen. Der Angriff zielt daher darauf ab, dass viele Nutzer „nicht so genau hinsehen“, wenn sie zu einem zuvor benutzten Browserfenster zurückkehren.

Der Angriff lässt sich weiter verfeinern, da der Browserverlauf ausgelesen werden kann. Weiß der Angreifer, welche Internetseiten der Nutzer zuvor besucht hat, kann er seine gefälschte Webseite entsprechend anpassen.

Aza Raskin hat den Angriff im Firefox demonstriert. Laut heise.de funktioniert der Angriff nur eingeschränkt im Internet Explorer und in Google Chrome. Sie können sich eine Demo des Angriffs auf Raskins Webseite ansehen.

Wir empfehlen: Prüfen Sie Internetseiten vor der Eingabe von Zugangsdaten stets sorgfältig, auch wenn sie zu einem Browserfenster zurückkehren, indem die Webseite bereits geladen wurde.

Nachrichten

BKA: "Phishing ist der Bankraub des 21. Jahrhunderts" , 13.05.2010

Artikel

Sicherer surfen im Web, Teil 1

Was Sie über Webbrowser wissen sollten.

Sicherer surfen im Web, Teil 2

Wie Sie Ihren Webbrowser sicher einrichten.

Internetbetrüger „phishen“ nach Geld

Phishing ist eine der aktuellen Gefahren, bei online Geldgeschäften betrogen zu werden. Wir zeigen Ihnen, wie genau diese Art des Betrugs funktioniert und wie Sie sich schützen können.

Surfverlauf im Browser löschen und verwalten

Warum Sie sorgsam mit dem Surfverlauf ihres Webbrowsers umgehen sollten, und was Sie tun können.

Anleitungen

Checkliste: Wie erkenne ich Phishing-Webseiten?

Checkliste, wie Sie Betrugsversuche auf Webseiten erkennen können

Checkliste: Was tun, wenn Sie vermuten, Phishing-Opfer geworden zu sein?

Wenn Sie vermuten Opfer eines Phishing-Angriffs geworden zu sein, sollten Sie sich an diese Checkliste halten.

Externes

Aza Raskin: A New Type of Phishing Attack

Blog-Eintrag und Demo von Aza Raskin zu einer neuen Phishing-Variante, die die Nachlässigkeit von Nutzern bei der Prüfung bereits geöffneter Browsertabs ausnutzt (englisch).

heise Security: Phishing per Browser-Tabs

Meldung zum Phishing-Angriff von Aza Raskin mit Hilfe von Browsertabs (25.5.2010).

Datenschutzhinweis | Impressum | Kontakt

Benutzeranmeldung

Suchen

Browsertabs als Phishing-Falle

Tags

Nachrichten

Artikel

Anleitungen

Externes

Zurück

Unsere Themen

Archive

Projektkontext