Abo
  • Services:
Anzeige

Phishing mit Firefox - gefälschter Browser im Browser

Jeff Smith warnt vor neuen Trickbetrügereien mittels spezieller Webseiten

Eine besonders perfide Methode um arglosen Firefox-Nutzern geheime Passwörter und Daten zu entlocken, zeigt ein aktuelles Advisory von Jeff Smith. Bei der von Smith exemplarisch vorgeführten Methode wird über eingeschleuste XUL-Daten der gesamte Browser samt Menü und Statusleisten in einem PopUp nachgebildet.

Was augenscheinlich wie die Menüs der Browsers wirkt, ist aber nur eine Täuschung, gleiches gilt auch für die URL- und Statuszeile. Hier angegebene URLs und auch die angeblich aktivierte SSL-Verschlüsselung sind nur Schein. Bemerkt ein Nutzer den gefälschten Browser im Browser-Fenster nicht - weil er nur die nachgebildete Standard-Oberfläche nutzt - und gibt beispielsweise seine Log-In-Daten ein, übergibt er sie nicht einem vertrauenswürdigen Geschäftspartner sondern einem Betrüger - die Falle ist dann zugeschnappt.

Anzeige

Der als "Proof of Concept" veröffentlichte Exploit funktioniert in Firefox 0.9 und neueren Versionen. Möglich wird dies unter anderem dadurch, dass Firefox es per Standard-Einstellung erlaubt, die Status-Bar zu unterdrücken, so das diese durch eine gefälschte Version ersetzt werden kann. Selbst der Hinweis auf eine verschlüsselte Verbindung lässt sich so samt Zertifikats-Angaben fälschen.

Als Lösung schlägt Smith vor, die Unterdrückung der Status-Zeile von Hause aus nicht zuzulassen. Auch Microsoft verfolge mit dem Service Pack 2 für Windows XP diesen Ansatz. Doch auch wenn dies der Fall wäre, so Smith, wäre die Täuschung sicherlich noch immer gut genug um unbedarfte Nutzer auszunehmen. Zumindest dann, wenn diese die Standard-Oberfläche nutzen, denn nur diese lässt sich sinnvoll nachbilden - die Browser-Konfiguration kann der Fälscher nicht einsehen und weiss deshalb nichts über Buttongrößen oder verwendete Themes.


eye home zur Startseite
Open Source 18. Aug 2004

Le Mozilla Firefox francophone est maintenant disponible dans la version 0.9.3. http...

Koolshen 16. Aug 2004

Et qu'est-ce que tu voudrais dire avec ce lien? Réponse sans question ou quoi? Slts Kool

Open Source 16. Aug 2004

http://www.firefox.fr Lien: Firefox 0.9.2 en francais http://www.firefox.fr/boutons...

Zeus 02. Aug 2004

Drum bin ich auch glücklich über die Arrognaz und Borniertheit der Linux-Fraktion. Ich...

Makarov 02. Aug 2004

ich hab beim Firefox auch nicht das Original-Theme und trotzdem würde ich es nicht sofort...



Anzeige

Stellenmarkt
  1. LexCom Informationssysteme GmbH, München
  2. Wüstenrot & Württembergische AG, Stuttgart
  3. K+S Aktiengesellschaft, Kassel
  4. AOK Systems GmbH, Bonn


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Was bitte ist an W10 "vollwertig"?

    bk (Golem.de) | 00:10

  2. Re: und die nächste Nebelkerze ...

    DreiChinesenMit... | 19.10. 23:57

  3. Re: Mehr Funklöcher als...

    mathew | 19.10. 23:47

  4. Re: "kann zwar kein Benzintank explodieren"

    bombinho | 19.10. 23:44

  5. Re: Hier der Beweis ;-)

    mathew | 19.10. 23:41


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel