Abo
  • Services:

Phishing mit Firefox - gefälschter Browser im Browser

Jeff Smith warnt vor neuen Trickbetrügereien mittels spezieller Webseiten

Eine besonders perfide Methode um arglosen Firefox-Nutzern geheime Passwörter und Daten zu entlocken, zeigt ein aktuelles Advisory von Jeff Smith. Bei der von Smith exemplarisch vorgeführten Methode wird über eingeschleuste XUL-Daten der gesamte Browser samt Menü und Statusleisten in einem PopUp nachgebildet.

Artikel veröffentlicht am ,

Was augenscheinlich wie die Menüs der Browsers wirkt, ist aber nur eine Täuschung, gleiches gilt auch für die URL- und Statuszeile. Hier angegebene URLs und auch die angeblich aktivierte SSL-Verschlüsselung sind nur Schein. Bemerkt ein Nutzer den gefälschten Browser im Browser-Fenster nicht - weil er nur die nachgebildete Standard-Oberfläche nutzt - und gibt beispielsweise seine Log-In-Daten ein, übergibt er sie nicht einem vertrauenswürdigen Geschäftspartner sondern einem Betrüger - die Falle ist dann zugeschnappt.

Stellenmarkt
  1. Techem Energy Services GmbH, Bielefeld, Eschborn
  2. Württembergische Versicherung AG, Stuttgart

Der als "Proof of Concept" veröffentlichte Exploit funktioniert in Firefox 0.9 und neueren Versionen. Möglich wird dies unter anderem dadurch, dass Firefox es per Standard-Einstellung erlaubt, die Status-Bar zu unterdrücken, so das diese durch eine gefälschte Version ersetzt werden kann. Selbst der Hinweis auf eine verschlüsselte Verbindung lässt sich so samt Zertifikats-Angaben fälschen.

Als Lösung schlägt Smith vor, die Unterdrückung der Status-Zeile von Hause aus nicht zuzulassen. Auch Microsoft verfolge mit dem Service Pack 2 für Windows XP diesen Ansatz. Doch auch wenn dies der Fall wäre, so Smith, wäre die Täuschung sicherlich noch immer gut genug um unbedarfte Nutzer auszunehmen. Zumindest dann, wenn diese die Standard-Oberfläche nutzen, denn nur diese lässt sich sinnvoll nachbilden - die Browser-Konfiguration kann der Fälscher nicht einsehen und weiss deshalb nichts über Buttongrößen oder verwendete Themes.



Anzeige
Hardware-Angebote
  1. auf ausgewählte Corsair-Netzteile

Open Source 18. Aug 2004

Le Mozilla Firefox francophone est maintenant disponible dans la version 0.9.3. http...

Koolshen 16. Aug 2004

Et qu'est-ce que tu voudrais dire avec ce lien? Réponse sans question ou quoi? Slts Kool

Open Source 16. Aug 2004

http://www.firefox.fr Lien: Firefox 0.9.2 en francais http://www.firefox.fr/boutons...

Zeus 02. Aug 2004

Drum bin ich auch glücklich über die Arrognaz und Borniertheit der Linux-Fraktion. Ich...

Makarov 02. Aug 2004

ich hab beim Firefox auch nicht das Original-Theme und trotzdem würde ich es nicht sofort...


Folgen Sie uns
       


Parrot Anafi angesehen

Angucken ja, fliegen nein: Wir waren bei der Vorstellung der neuen Drohne von Parrot dabei.

Parrot Anafi angesehen Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

    •  /