In-session Phishing

Browser-Bug erleichtert Online-Datenklau

15.01.2009
Von Katharina Friedmann 
Sicherheitsexperten haben eine alle namhaften Browser betreffende Schwachstelle aufgedeckt, die Datendieben gezieltes phishen persönlicher Informationen wie Online-Banking-Daten ermöglicht.

Security-Forscher haben eine neue Phishing-Methode ausgemacht, die ein großes Problem, mit dem sich Online-Datendiebe heutzutage konfrontiert sehen, beseitigt: Ihre Opfer dazu zu bewegen, ihre betrügerischen Mails zu öffnen und die darin enthaltenen Links auf bösartige Websites anzuklicken. Nicht nur werden Phishing-Nachrichten zunehmend von Spam-Filtern erkannt und geblockt, auch steigt das Sicherheitsbewusstsein und Misstrauen ihrer Empfänger gegenüber den angeblich von legitimen Unternehmen wie Banken stammenden Messages.

Pop-up-Fenster statt Mail

Ungleich höhere Erfolgschancen räumen Sicherheitsexperten so genannten In-Session-Phishing-Angriffen ein. Sie erfolgen, während das Opfer beispielsweise bei einer Online-Banking-Applikation eingeloggt ist: Kriminelle versehen dazu eine zuvor kompromittierte legitime Banken-Site mit HTML-Code, der wie eine von dem Finanzinstitut stammende Pop-up-Warnung aussieht. Letztere fordert den Nutzer beispielsweise zur Eingabe von Passwort beziehungsweise Login-Informationen oder auch zur Beantwortung diverser sicherheitsbezogener Fragen auf, anhand derer Banken üblicherweise die Identität ihrer Kunden überprüfen.

Zwar muss der Angreifer sein Opfer auch hier von der Echtheit des Pop-up-Fensters überzeugen. Ein von Amit Klein, Chief Technology Officer (CTO) bei dem Sicherheitsanbieter Trusteer, entdeckter Bug in der Javascript-Engine aller gängigen Browser (darunter der Internet Explorer, Firefox, Safari und Chrome) soll Phishern diese Aufgabe jedoch erheblich erleichtern.

Inhalt dieses Artikels