Progressive Phishing: So werden Passwörter mittels PWAs abgegriffen

Eine neue Phishing-Technik verwendet Progressive Web Apps (PWAs), um Browserfenster mit überzeugenden Webadressen nachzuahmen und Passwörter zu stehlen.

Ein Sicherheitsforscher namens mr.d0x hat einen Beitrag veröffentlicht, in dem eine neue Technik beschrieben wird, die für Phishing und weitere potenziell bösartige Aktivitäten verwendet werden kann. Die Technik stützt sich dabei auf das Ausnutzen sogenannter Progressive Web Apps (PWAs). In diesem Beitrag erfährst du, was das eigentlich für Programme sind, warum sie gefährlich sein können und wie ein Angreifer sie für seine eigenen Zwecke ausnutzen kann. Zusätzlich geben wir dir ein paar Tipps mit auf den Weg, damit du dich vor dieser Bedrohung schützen kannst.

Was sind Progressive Web Apps?

Progressive Web Apps oder PWAs sind Anwendungen, bei deren Entwicklung und Ausführung auf Web-Technologien gesetzt wird. Im Grunde handelt es sich dabei einfach um Websites, die aber genauso aussehen und funktionieren wie die native Programme, die du auf deinem Betriebssystem installiert hast.

Die Grundidee ist dabei dem Ansatz der auf dem Electron-Framework basierenden Apps nicht unähnlich, wobei es aber einen wesentlichen Unterschied gibt. Electron-Apps sind gewissermaßen „Sandwich“-Apps, bestehend aus einer Website (Füllung) und einem Browser (Brot). Da letzterer für die Darstellung der Website-Füllung erforderlich ist, verfügt jede Electron-App über einen integrierten Browser. Im Gegensatz dazu verwendet eine PWA zum Darstellen der gleichen Website die Funktionen des Browses, der bereits auf dem System des Benutzers installiert sind – quasi ein Sandwich ohne Brot.

PWAs werden von allen modernen Browser unterstützt, wobei Google Chrome und die Browser auf Chromium-Basis (einschließlich dem in Windows integrierten Microsoft Edge) die umfassendste Implementierung bieten.

Die Installation einer PWA (sofern von der entsprechenden Website unterstützt) geht dabei naturgemäß sehr schnell und einfach von der Hand. Es genügt, eine unauffällige Schaltfläche in der Adressleiste deines Browsers anzuklicken und die Installation anschließend zu bestätigen. Beispielhaft ist dies hier für die PWA von Google Drive dargestellt:

So installieren Sie eine PWA

Für die Installation einer PWA sind zwei Klicks ausreichend

 

Anschließend erscheint die PWA nahezu umgehend auf deinem System und sieht dabei so aus, als wäre es „echte“ Anwendung – mit eigenem Programmsymbol, eigenem Fenster und allen anderen Eigenschaften einer vollwertigen Desktop-Anwendung. Allein am Fenster einer PWA lässt sich nur schwer erkennen, dass es sich eigentlich nur um einen Browser handelt, in dem eine Website anzeigt wird.

So sieht eine Progressive Web App (PWA) aus

Die PWA von Google Drive sieht aus wie eine vollwertige Desktop-App.

 

So funktioniert das Phishing mittels PWAs

Ein entscheidender Unterschied zwischen einer PWA und der im Browser geöffneten gleichen Website wird im obigen Screenshot deutlich: Im Fenster der PWA fehlt die Adressleiste. Genau diese Eigenschaft bildet die Grundlage für die Phishing-Methode in diesem Beitrag.

Da im Fenster keine Adressleiste vorhanden ist, können Angreifer einfach eine eigene URL erstellen order irgendeine URL anzeigen, die gut zu ihren Phishing-Zielen passt. Zum Beispiel die folgende:

PWA imitiert login.microsoft.com

Mit einer PWA können Sie jede Seite überzeugend nachahmen – etwa der Anmeldeseite für das Microsoft-Konto. Quelle[/

Angreifer können die Täuschung intensivieren, indem sie für die PWA ein bekanntes Symbol verwenden.

Die einzige verbleibende Hürde besteht darin, das Opfer von der Installation der PWA zu überzeugen. Dies kann jedoch durch den Gebrauch von überzeugender Sprache und durchdacht platzierten Elementen in der Benutzeroberfläche leicht erreicht werden.

Selbst der App-Name, der eigentlich im Installationsdialog der PWA angezeigt wird, kann von Angreifern beliebig gewählt werden. Die wahre Herkunft wird lediglich durch die Website-Adresse in der zweiten, weit weniger auffälligen Zeile ersichtlich:

Installationsdialog für bösartige PWAs

Für die Installation einer bösartigen PWA können Angreifer den angezeigten Namen frei wählen. Quelle[/

Der Kennwortdiebstahl mittels PWA läuft im Allgemeinen in folgenden Schritten ab:

  • Das Opfer öffnet eine bösartige Website.
  • Die Website überzeugt das Opfer, die PWA zu installieren.
  • Die Installation erfolgt nahezu umgehend und das Fenster der PWA wird geöffnet.
  • Das Fenster der PWA zeigt eine Phishing-Seite an, die eine Fake-Adressleiste mit legitim aussehender URL enthält.
  • Das Opfer gibt seine Anmeldedaten in das Formular ein und gibt sie damit direkt an die Angreifer weiter.
Demonstration des Kennwortdiebstahls mittels PWAs

So funktioniert das Phishing mit einer bösartigen PWA. Quelle

 

Natürlich könnte man genauso versuchen, ein Opfer davon zu überzeugen, anstelle einer PWA eine native Desktop-App zu installieren. Es gibt aber ein paar Nuancen, die gerade PWAs für Phishing-Angreifer so attraktiv machen. Die Installation von PWAs läuft wesentlicher schneller ab und erfordert im Vergleich zur Installation herkömmlicher Desktop-Anwendungen weit weniger Benutzerinteraktion.

Darüber hinaus ist die Entwicklung von PWAs einfacher, da es sich im Grunde um Phishing-Websites handelt, die vom Betriebssystem unabhängig sind nur ein einige wenige Anpassungen benötigen. Diese vermeintlichen Vorteile machen bösartige PWAs zu einem mächtigen Werkzeug für Cyberkriminelle.

So schützt du dich vor PWA-Phishing

Der oben genannte mr.d0x hat sich übrigens schon einmal einen Namen gemacht: Nämlich als er eine als Browser-in-the-Browser bekannte Phishing-Technik beschrieb, über die wir vor einigen Jahren berichtet haben. Seitdem wurden mehrere Fälle gemeldet, in denen diese Technik von Angreifern nicht nur zum Diebstahl von Kontokennwörtern verwendet wurde, sondern auch zur Verbreitung von Ransomware.

Angesichts dieser Entwicklungen ist es sehr wahrscheinlich, dass Cyberkriminelle auch bösartige PWAs verwenden werden und sich neue Möglichkeiten ausdenken, diese Technik über das Phishing hinaus auszunutzen.

Das kannst du gegen diese Art von Phishing unternehmen:

  • Sei misstrauisch im Umgang mit PWAs und installiere auf keinen Fall PWAs von verdächtigen Websites.
  • Überprüfe regelmäßig die Liste der auf deinem System installierten PWAs. So kannst du etwa in Google Chrome in der Adressleiste chrome://apps eingeben, um installierte PWAs anzuzeigen und zu verwalten.
So zeigen Sie installierte PWAs in Google Chrome an und entfernen sie

Um in Google Chrome installierte PWAs anzuzeigen oder zu entfernen, kannst du chrome://apps in die Adressleiste eingeben.

 

  • Achte darauf, eine zuverlässige Sicherheitslösung zu verwenden, die Schutz vor Phishing und betrügerischen Websites bietet und dich bei drohenden Gefahren umgehend alarmiert.
Tipps
Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder