Abo
  • Services:
Anzeige

Neuer Phishing-Trick in zahlreichen Browsern gefunden

Phishing-Trick kann Inhalte von Pop-Up-Fenstern verändern

Die Sicherheitsspezialisten von Secunia haben eine neuartige Phishing-Variante in etlichen Web-Browsern entdeckt, die es einem Angreifer mit Hilfe spezieller Tricks erlaubt, den Inhalt eines Pop-Up-Fenstern zu verändern und sich so Zugriff auf vertrauliche Daten zu verschaffen. Je nach verwendetem Browser ist das tatsächliche Risiko unterschiedlich hoch.

Der Phishing-Trick funktioniert im Internet Explorer, in Mozilla, Firefox und Netscape sowie Opera, Safari und Konqueror. Es handelt sich dabei nicht etwa um ein Sicherheitsloch, sondern um eine geschickte Ausnutzung der Arbeitsweise der Web-Browser. Die Vorgehensweise in diesem Fall ähnelt dem der Cross-Domain-Sicherheitslücke in zahlreichen Browsern, die im Juli 2004 bekannt wurde und in zahlreichen aktuellen Browsern bereits behoben wurde.

Anzeige

In den genannten Browsern kann eine Webseite den Inhalt einer anderen Webseite austauschen, wenn der Quell-Webseite der Name des Zielfensters bekannt ist. Dadurch lässt sich der Inhalt eines Pop-Up-Fensters verändern und auch die tatsächliche Herkunft der Seite verschleiern, sofern die Quell-Webseite - die von dem Angreifer stammt - weiterhin geöffnet ist. Das Grundproblem ist, dass Pop-Up-Fenster in der Regel keine Adressleiste anzeigen, an der man sonst die hier beschriebene Phishing-Attacke leicht erkennen würde, weil dort die tatsächliche URL erscheint.

In Browsern wie Opera oder Konqueror lässt sich die Adressleiste auch in Pop-Up-Fenstern zumindest nachträglich einblenden, so dass man sich von der korrekten Herkunft der Seite informieren kann, wenn man auf Nummer sicher gehen will. Wenn man in Konqueror die Option aktiviert hat, über neue JavaScript-Fenster informiert zu werden, dann erscheint eine Warnbox, die explizit vor dem Öffnen des Pop-Up-Fensters darauf hinweist, von welcher URL das zu öffnende Pop-Up-Fenster stammt.

Der besonders auf Sicherheit getrimmte kostenlose Internet-Explorer-Browser-Aufsatz Deepnet Explorer zeigt generell bei allen Pop-Up-Fenstern die URL in der Adressleiste, so dass man hier jederzeit leicht die tatsächliche Herkunft der Seite erkennt. Aber auch der gleichfalls kostenlose Internet-Explorer-Browser-Aufsatz Maxthon (früher MyIE2) kann immerhin so konfiguriert werden, dass Pop-Up-Fenster immer im Vollbildmodus erscheinen, so dass dann auch die Adressleiste automatisch erscheint und man auch hier die URL eines Pop-Up-Fensters direkt einsehen kann.

Auf einer von Secunia bereitgestellten Testseite wird die Arbeitsweise dieses Phishing-Tricks demonstriert. Über die Citibank-Homepage schleust Secunia anderen Code in eine Pop-Up-Webseite ein. Generell kann man sich in allen Browsern vor derartigen Attacken schützen, indem JavaScript respektive Active Scripting deaktiviert wird. Als weitere Abhilfe empfiehlt Secunia, dass man beim Besuch von Seiten, über die man vertrauliche Daten übermittelt, nur eine einzige Webseite geöffnet haben sollte, da so keine Angriffe über das hier beschriebene Verfahren möglich sind. Das zeigt auch die von Secunia entworfene Testseite: Schließt man vor dem Aufruf des entsprechenden Citibank-Pop-Ups die Secunia-Testseite, kommt es nicht zur Phishing-Attacke.

Nachtrag vom 9. Dezember 2004 um 13:55 Uhr:
In Firefox lässt sich die Adresszeile von Pop-Up-Fenstern einblenden, wenn dazu die Erweiterung Tabbrowser Preferences installiert und entsprechend konfiguriert wird. Dazu muss die Erweiterung so eingestellt werden, dass alle Pop-Up-Fenster in einem neuen Tab erscheinen, so dass dann die Adresszeile ständig sichtbar ist. Dann sorgt ein Pop-Up-Aufruf aber leider immer dafür, dass das Firefox-Hauptfenster die Größe des aufgerufenen Pop-Up-Fensters übernimmt und sich entsprechend anpasst. Weniger praktikabel ist hingegen der Workaround, alle neuen Seiten im gleichen Tab-Fenster zu öffnen, weil man dadurch sehr viele Komfortfunktionen von Firefox einbüßt.


eye home zur Startseite
olleschote 08. Jan 2005

xxx

Santana 21. Dez 2004

Wie sieht es aus wenn man einen Popupblocker hat?? Ist dann das Risiko beseitigt?? Liebe...

q111 10. Dez 2004

Ohne F12 wäre Opera nicht Opera.

Anonymer Nutzer 10. Dez 2004

Das Argument, "ich habe Pop-ups ausgeschaltet" gilt jedenfalls bis zu einem bestimmten...

hamma 09. Dez 2004

Nutze die Extension SpoofStick und sehe so, auf welcher Seite ich wirklich bin



Anzeige

Stellenmarkt
  1. Karer Consulting AG, Weingarten, Göppingen (Home-Office möglich)
  2. Remira GmbH, Bochum
  3. über duerenhoff GmbH, München
  4. Robert Bosch GmbH, Abstatt


Anzeige
Hardware-Angebote

Folgen Sie uns
       


  1. VBB Fahrcard

    E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht

  2. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  3. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  4. Smach Z

    PC-Handheld nutzt Ryzen V1000

  5. Staatstrojaner und Quick-Freeze

    Österreich verschärft frühere Überwachungspläne

  6. Allensbach-Studie

    Altersvorsorge selbständiger IT-Experten ist sehr solide

  7. Maschinelles Lernen

    Biometrisches Captcha nutzt Sprache und Bild

  8. Gigabit

    Swisscom führt neue Mobilfunkgeneration 5G schon 2018 ein

  9. Bpfilter

    Linux-Kernel könnte weitere Firewall-Technik bekommen

  10. Media Broadcast

    Freenet TV kommt auch über Satellit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: Ich glaub, es hackt...

    Der Held vom... | 19:52

  2. Re: Um die Besucher brauchen die sich keine...

    Dungeon Master | 19:47

  3. Re: Und ich habe heute erfahren...

    Sven123 | 19:46

  4. Re: Jetzt sind Autos endlich leise

    tingelchen | 19:42

  5. IOT suche stuhl und klo

    Baron Münchhausen. | 19:40


  1. 18:21

  2. 18:09

  3. 18:00

  4. 17:45

  5. 17:37

  6. 17:02

  7. 16:25

  8. 16:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel