Auf der unerbittlichen Suche nach Anmeldeinformationen, Geheimschlüsseln und anderen wertvollen Nutzerinformationen halten Cyberkriminelle ständig Ausschau nach neuen Möglichkeiten, Benutzer zu täuschen. Normalerweise zielen alle cyberkriminellen Methoden auf Nutzer ab, die ihre Wachsamkeit aus den Augen lassen. Dabei können Phishing-Angriffe bereits durch die Prüfung weniger Details verhindert werden – in erster Linie durch die Kontrolle der Webadresse, auf der Sie aufgefordert werden, Ihre Zugangsdaten einzugeben.
Zumindest ist das eben beschriebene Szenario der Normalfall. Heute möchten wir Ihnen allerdings von einem Angriff berichten, bei dem die URL für das Opfer vollkommen legitim und sicher aussieht.
Warum bergen die Adressen von Phishing-Seiten Fehler?
Jede Domain-Adresse, die Ihnen in der Adressleiste angezeigt wird, ist einzigartig und ihrem Eigentümer zugeordnet. Möchte jemand eine Website erstellen, muss sich die Person zunächst an eine spezielle Organisation wenden, die Domainnamen registriert. Im Rahmen dieser Registrierung wird dann eine internationale Datenbank überprüft, um sicherzustellen, dass die Adresse nicht bereits vergeben ist. Ist dies nicht der Fall, wird sie dem Bewerber zugewiesen.
Das bedeutet, dass es unmöglich ist, eine Fake-Website mit derselben Adresse der imitierten Seite zu registrieren. Es ist aber durchaus möglich, eine Domain so zu erstellen, dass sie einer anderen sehr ähnlich ist, indem man – unter anderem – eine verwandte Domainzone wählt: zum Beispiel Kolumbien (.co) anstelle von Kanada (.ca). Wenn Sie sich eine URL-Adresse jedoch genauer ansehen, ist dieser kleine, aber feine Unterschied allerdings leicht zu erkennen.
Aus diesem Grund kamen Schlitzohre auf die Idee, Browserfenster zu simulieren, in denen die Adresse einer vertrauenswürdigen Website angezeigt wird.
Was ist ein BITB-Angriff?
Diese Art von Angriff, die unter dem Namen „Browser-in-the-Browser (BITB) Attack“ bekannt geworden ist, wurde von einem Infosec-Forscher und Pentester alias mr.d0x beschrieben. Er bemerkte, dass moderne Mittel zum Erstellen von Websites (HTML-, CSS- und JavaScript-Tools) so fortschrittlich geworden sind, dass sie praktisch alles auf der Seite anzeigen können: von Feldern in beliebigen Farben und Formen bis hin zu Animationen, die die sich bewegenden Komponenten der Benutzeroberfläche imitieren. Das bedeutet, dass ein Phisher damit auch eine vollwertige Seite eines anderen Dienstes innerhalb der eigenen Website simulieren kann.
Für das Experiment warf mr.d0x einen genaueren Blick auf Pop-up-Anmeldefenster. Diese Fenster erscheinen beispielsweise, wenn Sie eine Option wie „Mit Google anmelden“ oder „Mit Apple fortfahren“ auswählen, anstatt ein neues Konto auf einer Website zu erstellen. Die Option ist vor allem deshalb praktisch, weil kein neues Passwort erstellt oder auf Bestätigungslinks oder -codes gewartet werden muss. Zudem ist diese Anmeldemethode relativ sicher. Klicken Sie nämlich auf die Schaltfläche Anmelden mit, wird die Seite des jeweiligen Dienstes geöffnet, auf der Sie dann Ihre gewohnten Anmeldeinformationen eingeben; die Website, die Ihnen diese Anmeldeoption zur Verfügung stellt, erhält dabei keinen Zugriff auf Ihr Passwort.
Ein BITB-Angriff funktioniert folgendermaßen: Die Cyberkriminellen registrieren eine Website, indem sie einen Klon einer legitimen Seite erstellen. Alternativ können sie eine attraktive Adresse und Inhalte wählen, die besonders ansprechend auf Opfer wirken – wie z. B. exklusive Kaufangebote, Stellenangebote oder Nachrichten, die ein Benutzer vielleicht kommentieren möchte. Die Kriminellen richten die Seite dabei so ein, dass Besucher sich anmelden müssen, wenn sie etwas kaufen, kommentieren oder auf andere Funktionen zugreifen möchten, die sie interessieren. Darüber hinaus fügen sie ihrer Seite Schaltflächen hinzu, die es angeblich ermöglichen, sich über die legitimen Dienste anzumelden, von denen sie die Passwörter der Nutzer ernten wollen.
Wenn Opfer auf eine solche Schaltfläche klicken, wird ein ihnen vertrautes Anmeldefenster, wie z. B. eine Eingabeaufforderung von Microsoft, Google oder Apple, mit allen Bestandteilen der ihnen bekannten Benutzeroberfläche angezeigt. Das Fenster kann sogar korrekte Adressen darstellen, wenn Benutzer mit der Maus über die Schaltfläche „Anmelden“ und den Link „Passwort vergessen“ fahren.
Der Clou an der Sache? Es handelt sich hierbei nicht um ein separates Fenster. Gibt der Nutzer seine Zugangsdaten in diesem Fenster ein, werden diese nicht an Microsoft, Google oder Apple weitergeleitet, sondern direkt an den Server des Cyberkriminellen. Wie das aussehen kann, sehen Sie hier.
Wie erkennen Sie ein Fake-Fenster?
Obwohl das gefälschte Anmeldefenster vollkommen legitim aussieht, gibt es dennoch Möglichkeiten, es als solches zu identifizieren.
Echte Anmeldefenster sind Browserfenster und verhalten sich auch so. Sie können maximiert, minimiert und beliebig innerhalb des Bildschirms verschoben werden. Gefälschte Pop-up-Fenster sind an die Seite gebunden, auf der sie sich befinden. Zwar können die Fake-Fenster frei bewegt werden und Schaltflächen und Bilder verdecken, aber lediglich innerhalb ihrer Grenzen – d. h. innerhalb des Browserfensters. Dieser minimale Unterschied sollte Ihnen bei der Erkennung solcher Fake-Fenster helfen.
Um zu überprüfen, ob das Anmeldeformular auf Ihrem Bildschirm eine Fälschung ist, versuchen Sie Folgendes:
- Minimieren Sie das Browserfenster, auf dem das Formular aufgetaucht ist. Wenn das Anmeldeformular selbst verschwindet, (das übrigens in einem separaten Fenster erscheinen sollte), dann handelt es sich um einen Fake. Ein echtes Fenster sollte auf dem Bildschirm verweilen.
- Versuchen Sie, das Anmeldefenster über die Grenze des übergeordneten Fensters hinaus zu verschieben. Ein authentisches Fenster hat damit keinerlei Probleme, ein Fake-Fenster hingegen wird hierbei an seine Grenzen kommen.
Wenn sich das Fenster mit dem Anmeldeformular merkwürdig verhält – es minimiert sich mit den anderen Fenstern, bleibt unter der Adressleiste stecken oder verschwindet darunter –, handelt es sich um eine Fälschung, und Sie sollten Ihre Anmeldeinformationen unter keinen Umständen preisgeben.
Gibt es einen einfacheren Weg, mich zu schützen?
Tatsächlich ist der Angriff nicht so gefährlich, wie es auf den ersten Blick scheint. Obwohl es für Nutzer relativ schwierig ist, einen Browser-in-the-Browser-Angriff zu erkennen, kann Ihnen eine adäquate Sicherheitslösung Hilfe leisten. Denn ganz gleich, wie verlockend und authentisch Ihnen eine gefährliche Seite angezeigt wird, die tatsächliche Adresse bleibt die gleiche, und darauf kommt es einer Sicherheitslösung letztendlich an.
- Verwenden Sie einen Passwort-Manager für all Ihre Konten. Dieser verifiziert die authentische Adresse einer Website und gibt Ihre Anmeldeinformationen niemals auf einer unbekannten Seite ein – ganz gleich, wie legitim sie auf den ersten Blick erscheinen mag.
- Installieren Sie eine robuste Sicherheitslösung mit integriertem Anti-Phishing-Modul. Diese Lösung verifiziert die URL ebenfalls und warnt Sie vor einer potenziell gefährlichen Seite.
Darüber hinaus sollten Sie daran denken, wenn möglich die Zwei-Faktor-Authentifizierung zu aktivieren. Selbst wenn Angreifer Ihre Anmeldeinformationen entwenden, können sie ohne den an Sie gesendeten Einmal-Code nicht auf Ihr Konto zugreifen.
Wenn Sie einen stärkeren Schutz für besonders wichtige Konten suchen, empfehlen wir Ihnen den Einsatz von U2F-Hardware-Token (das bekannteste Beispiel ist YubiKey). Dieses System überprüft nicht nur die Adresse, sondern auch den Verschlüsselungs-Key einer Website. Somit ist es unmöglich, ein solches Authentifizierungssystem zu passieren, selbst wenn die ursprüngliche Website einen eineiigen Zwilling aufweist.