Abo
  • Services:

Neuer Phishing-Trick in zahlreichen Browsern gefunden

Phishing-Trick kann Inhalte von Pop-Up-Fenstern verändern

Die Sicherheitsspezialisten von Secunia haben eine neuartige Phishing-Variante in etlichen Web-Browsern entdeckt, die es einem Angreifer mit Hilfe spezieller Tricks erlaubt, den Inhalt eines Pop-Up-Fenstern zu verändern und sich so Zugriff auf vertrauliche Daten zu verschaffen. Je nach verwendetem Browser ist das tatsächliche Risiko unterschiedlich hoch.

Artikel veröffentlicht am ,

Der Phishing-Trick funktioniert im Internet Explorer, in Mozilla, Firefox und Netscape sowie Opera, Safari und Konqueror. Es handelt sich dabei nicht etwa um ein Sicherheitsloch, sondern um eine geschickte Ausnutzung der Arbeitsweise der Web-Browser. Die Vorgehensweise in diesem Fall ähnelt dem der Cross-Domain-Sicherheitslücke in zahlreichen Browsern, die im Juli 2004 bekannt wurde und in zahlreichen aktuellen Browsern bereits behoben wurde.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. über duerenhoff GmbH, München (Home-Office möglich)

In den genannten Browsern kann eine Webseite den Inhalt einer anderen Webseite austauschen, wenn der Quell-Webseite der Name des Zielfensters bekannt ist. Dadurch lässt sich der Inhalt eines Pop-Up-Fensters verändern und auch die tatsächliche Herkunft der Seite verschleiern, sofern die Quell-Webseite - die von dem Angreifer stammt - weiterhin geöffnet ist. Das Grundproblem ist, dass Pop-Up-Fenster in der Regel keine Adressleiste anzeigen, an der man sonst die hier beschriebene Phishing-Attacke leicht erkennen würde, weil dort die tatsächliche URL erscheint.

In Browsern wie Opera oder Konqueror lässt sich die Adressleiste auch in Pop-Up-Fenstern zumindest nachträglich einblenden, so dass man sich von der korrekten Herkunft der Seite informieren kann, wenn man auf Nummer sicher gehen will. Wenn man in Konqueror die Option aktiviert hat, über neue JavaScript-Fenster informiert zu werden, dann erscheint eine Warnbox, die explizit vor dem Öffnen des Pop-Up-Fensters darauf hinweist, von welcher URL das zu öffnende Pop-Up-Fenster stammt.

Der besonders auf Sicherheit getrimmte kostenlose Internet-Explorer-Browser-Aufsatz Deepnet Explorer zeigt generell bei allen Pop-Up-Fenstern die URL in der Adressleiste, so dass man hier jederzeit leicht die tatsächliche Herkunft der Seite erkennt. Aber auch der gleichfalls kostenlose Internet-Explorer-Browser-Aufsatz Maxthon (früher MyIE2) kann immerhin so konfiguriert werden, dass Pop-Up-Fenster immer im Vollbildmodus erscheinen, so dass dann auch die Adressleiste automatisch erscheint und man auch hier die URL eines Pop-Up-Fensters direkt einsehen kann.

Auf einer von Secunia bereitgestellten Testseite wird die Arbeitsweise dieses Phishing-Tricks demonstriert. Über die Citibank-Homepage schleust Secunia anderen Code in eine Pop-Up-Webseite ein. Generell kann man sich in allen Browsern vor derartigen Attacken schützen, indem JavaScript respektive Active Scripting deaktiviert wird. Als weitere Abhilfe empfiehlt Secunia, dass man beim Besuch von Seiten, über die man vertrauliche Daten übermittelt, nur eine einzige Webseite geöffnet haben sollte, da so keine Angriffe über das hier beschriebene Verfahren möglich sind. Das zeigt auch die von Secunia entworfene Testseite: Schließt man vor dem Aufruf des entsprechenden Citibank-Pop-Ups die Secunia-Testseite, kommt es nicht zur Phishing-Attacke.

Nachtrag vom 9. Dezember 2004 um 13:55 Uhr:
In Firefox lässt sich die Adresszeile von Pop-Up-Fenstern einblenden, wenn dazu die Erweiterung Tabbrowser Preferences installiert und entsprechend konfiguriert wird. Dazu muss die Erweiterung so eingestellt werden, dass alle Pop-Up-Fenster in einem neuen Tab erscheinen, so dass dann die Adresszeile ständig sichtbar ist. Dann sorgt ein Pop-Up-Aufruf aber leider immer dafür, dass das Firefox-Hauptfenster die Größe des aufgerufenen Pop-Up-Fensters übernimmt und sich entsprechend anpasst. Weniger praktikabel ist hingegen der Workaround, alle neuen Seiten im gleichen Tab-Fenster zu öffnen, weil man dadurch sehr viele Komfortfunktionen von Firefox einbüßt.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 119,90€
  3. 1.299,00€

olleschote 08. Jan 2005

xxx

Santana 21. Dez 2004

Wie sieht es aus wenn man einen Popupblocker hat?? Ist dann das Risiko beseitigt?? Liebe...

q111 10. Dez 2004

Ohne F12 wäre Opera nicht Opera.

Anonymer Nutzer 10. Dez 2004

Das Argument, "ich habe Pop-ups ausgeschaltet" gilt jedenfalls bis zu einem bestimmten...

hamma 09. Dez 2004

Nutze die Extension SpoofStick und sehe so, auf welcher Seite ich wirklich bin


Folgen Sie uns
       


Lenovo Mirage Solo und Camera - Test

Wir haben laut Lenovo "die nächste Generation VR" getestet. Tipp: Sie ist nicht so viel besser als die letzte.

Lenovo Mirage Solo und Camera - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

    •  /