In-session Phishing

Browser-Bug erleichtert Online-Datenklau

15.01.2009
Von Katharina Friedmann

Javascript-Bug leistet Schützenhilfe

Bei der Untersuchung, wie Browser Javascript nutzen, stießen der Security-Experte und sein Team auf eine Schwachstelle, durch die sich eruieren lässt, ob ein Online-Nutzer auf einer Website eingeloggt ist. Voraussetzung dafür ist allerdings, dass Letztere eine bestimmte Javascript-Funktion nutzt, die Klein verständlicherweise nicht näher spezifiziert. Die betroffenen Browser-Hersteller wurden bereits von dem Bug in Kenntnis gesetzt, so dass der Fehler in absehbarer Zeit behoben werden dürfte. Bis dahin allerdings könnten Kriminelle, die den Fehler entdecken, Schadcode kreieren, der - mit einer Liste ausgewählter URLs konfrontiert - überprüft, ob sich ein Web-Surfer bei auf einer der dort aufgeführten Sites eingeloggt hat. "Statt willkürlich eine Phishing-Nachricht zu verschicken, kann ein Angreifer ausloten, ob ein Nutzer gerade angemeldet ist", so Klein. Die Tatsache, dass das Popup auftaucht, während der Nutzer auf der ihm vertrauten Banking-Site eingeloggt ist, verleihe diesem ungleich mehr Glaubwürdigkeit, warnt der Trusteer-CTO.

Zum Schutz vor In-session-Phishing-Attacken empfiehlt Klein:

  • Sicherheits-Tools für Browser einzusetzen,

  • sich stets bei Online-Banking- und anderen kritischen Online-Applikationen und -Accounts abzumelden, bevor man weitere Websites ansteuert;

  • bei Pop-ups, die während einer Web-Session auftauchen, ohne dass ein Hyperlink angeklickt wurde, äußerst misstrauisch zu sein.