Browser erleichtern Datenklau

15.01.2009
Eine neu entdeckte Schwachstelle in Internet Explorer und Firefox hilft Phishern.

Security-Forscher haben eine neue Methode namens "In-Session Phishing" ausgemacht. Damit fällt es Online-Datendieben leichter, ihre Opfer dazu zu bewegen, betrügerische Mails zu öffnen und die darin enthaltenen Links auf bösartige Websites anzuklicken. Tatsächlich müssen sich die Betrüger etwas einfallen lassen: Phishing-Nachrichten werden zunehmend von Spam-Filtern geblockt, außerdem sind die meisten Empfänger sensibilisiert und öffnen angeblich von Banken stammende E-Mails nicht mehr.

Phishing ohne Köder

Bessere Erfolgschancen haben so genannte In-Session-Phishing-Angriffe. Sie erfolgen, während das Opfer beispielsweise bei einer Online-Banking-Applikation eingeloggt ist: Kriminelle versehen dazu eine zuvor kompromittierte legitime Banken-Site mit HTML-Code, der wie eine von dem Finanzinstitut stammende Popup-Warnung aussieht. Letztere fordert den Nutzer beispielsweise zur Eingabe von Passwort beziehungsweise Login-Informationen oder auch zur Beantwortung diverser sicherheitsbezogener Fragen auf, anhand derer Banken üblicherweise die Identität ihrer Kunden überprüfen.

Zwar muss der Angreifer sein Opfer auch hier von der Echtheit des Pop-up-Fensters überzeugen. Ein Bug in den Javascript-Engines gängiger Browser (darunter der Internet Explorer, Firefox, Safari und Chrome) erleichtert Phishern diese Aufgabe jedoch erheblich, so hat Amit Klein entdeckt, Cheftechniker bei dem auf Online-Banking spezialisierten Sicherheitsdienstleister Trusteer.

Hersteller kennen den Fehler

Bei der Untersuchung, wie Browser Javascript nutzen, fanden der Security-Experte und sein Team heraus, dass eine Website über eine bestimmte Javascript-Funktion feststellen kann, auf welcher anderen Seite ein Online-Nutzer noch eingeloggt ist. Die betroffenen Browser-Hersteller wurden bereits von dem Bug in Kenntnis gesetzt, so dass der Fehler in absehbarer Zeit behoben werden dürfte. Bis dahin allerdings könnten Kriminelle, die die Schwachstelle entdecken, eine manipulierte Site mit einer Liste ausgewählter URLs konfrontieren und überprüfen lassen, ob ein Web-Surfer auf einer der dort aufgeführten Sites angemeldet ist. Dass das Popup auftaucht, während der Nutzer auf der ihm vertrauten Banking-Site eingeloggt ist, verleihe ihm eine gefährliche Glaubwürdigkeit, warnt Klein.

Zum Schutz vor In-Session-Phishing-Attacken empfiehlt der Trusteer-CTO:

  • Sicherheits-Tools für Browser einzusetzen;

  • sich stets bei kritischen Online-Applikationen und -Accounts abzumelden, bevor man weitere Websites ansteuert;

  • gegenüber Pop-ups, die während einer Web-Session auftauchen, ohne dass ein Hyperlink angeklickt wurde, misstrauisch zu sein.

(kf)