{"id":28507,"date":"2022-04-28T07:38:46","date_gmt":"2022-04-28T05:38:46","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28507"},"modified":"2022-04-28T07:38:46","modified_gmt":"2022-04-28T05:38:46","slug":"browser-in-the-browser-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/browser-in-the-browser-attack\/28507\/","title":{"rendered":"Neue Phishing-Methode: Browser-in-the-Browser-Angriff"},"content":{"rendered":"

Auf der unerbittlichen Suche nach Anmeldeinformationen, Geheimschl\u00fcsseln<\/a> und anderen wertvollen Nutzerinformationen halten Cyberkriminelle st\u00e4ndig Ausschau nach neuen M\u00f6glichkeiten, Benutzer zu t\u00e4uschen. Normalerweise zielen alle cyberkriminellen Methoden auf Nutzer ab, die ihre Wachsamkeit aus den Augen lassen. Dabei k\u00f6nnen Phishing-Angriffe bereits durch die Pr\u00fcfung weniger Details verhindert werden \u2013 in erster Linie durch die Kontrolle der Webadresse, auf der Sie aufgefordert werden, Ihre Zugangsdaten einzugeben.<\/p>\n

Zumindest ist das eben beschriebene Szenario der Normalfall. Heute m\u00f6chten wir Ihnen allerdings von einem Angriff berichten, bei dem die URL f\u00fcr das Opfer vollkommen legitim und sicher aussieht.<\/p>\n

Warum bergen die Adressen von Phishing-Seiten Fehler?<\/h2>\n

Jede Domain-Adresse, die Ihnen in der Adressleiste angezeigt wird, ist einzigartig und ihrem Eigent\u00fcmer zugeordnet. M\u00f6chte jemand eine Website erstellen, muss sich die Person zun\u00e4chst an eine spezielle Organisation wenden, die Domainnamen registriert. Im Rahmen dieser Registrierung wird dann eine internationale Datenbank \u00fcberpr\u00fcft, um sicherzustellen, dass die Adresse nicht bereits vergeben ist. Ist dies nicht der Fall, wird sie dem Bewerber zugewiesen.<\/p>\n

Das bedeutet, dass es unm\u00f6glich ist, eine Fake-Website mit derselben Adresse der imitierten Seite zu registrieren. Es ist aber durchaus m\u00f6glich, eine Domain so zu erstellen, dass sie einer anderen sehr \u00e4hnlich ist, indem man \u2013 unter anderem \u2013 eine verwandte Domainzone w\u00e4hlt: zum Beispiel Kolumbien (.co) anstelle von Kanada (.ca). Wenn Sie sich eine URL-Adresse jedoch genauer ansehen, ist dieser kleine, aber feine Unterschied allerdings leicht zu erkennen.<\/p>\n

Aus diesem Grund kamen Schlitzohre auf die Idee, Browserfenster zu simulieren<\/strong>, in denen die Adresse einer vertrauensw\u00fcrdigen Website angezeigt wird.<\/p>\n

Was ist ein BITB-Angriff?<\/h2>\n

Diese Art von Angriff, die unter dem Namen \u201eBrowser-in-the-Browser (BITB) Attack\u201c bekannt geworden ist, wurde von einem Infosec-Forscher und Pentester<\/a> alias mr.d0x<\/a> beschrieben. Er bemerkte, dass moderne Mittel zum Erstellen von Websites (HTML-, CSS- und JavaScript-Tools) so fortschrittlich geworden sind, dass sie praktisch alles auf der Seite anzeigen k\u00f6nnen: von Feldern in beliebigen Farben und Formen bis hin zu Animationen, die die sich bewegenden Komponenten der Benutzeroberfl\u00e4che imitieren. Das bedeutet, dass ein Phisher damit auch eine vollwertige Seite eines anderen Dienstes innerhalb der eigenen Website simulieren kann.<\/p>\n

F\u00fcr das Experiment warf mr.d0x einen genaueren Blick auf Pop-up-Anmeldefenster. Diese Fenster erscheinen beispielsweise, wenn Sie eine Option wie \u201eMit Google anmelden<\/em>\u201c oder \u201eMit Apple fortfahren<\/em>\u201c ausw\u00e4hlen, anstatt ein neues Konto auf einer Website zu erstellen. Die Option ist vor allem deshalb praktisch, weil kein neues Passwort erstellt oder auf Best\u00e4tigungslinks oder -codes gewartet werden muss. Zudem ist diese Anmeldemethode relativ sicher. Klicken Sie n\u00e4mlich auf die Schaltfl\u00e4che Anmelden mit<\/em>, wird die Seite des jeweiligen Dienstes ge\u00f6ffnet, auf der Sie dann Ihre gewohnten Anmeldeinformationen eingeben; die Website, die Ihnen diese Anmeldeoption zur Verf\u00fcgung stellt, erh\u00e4lt dabei keinen Zugriff auf Ihr Passwort.<\/p>\n

\"\"

So sieht ein echtes Anmeldefenster eines Drittanbieterdienstes aus<\/p><\/div>\n

\u00a0<\/p>\n

Ein BITB-Angriff funktioniert folgenderma\u00dfen: Die Cyberkriminellen registrieren eine Website, indem sie einen Klon einer legitimen Seite erstellen. Alternativ k\u00f6nnen sie eine attraktive Adresse und Inhalte w\u00e4hlen, die besonders ansprechend auf Opfer wirken \u2013 wie z. B. exklusive Kaufangebote, Stellenangebote oder Nachrichten, die ein Benutzer vielleicht kommentieren m\u00f6chte. Die Kriminellen richten die Seite dabei so ein, dass Besucher sich anmelden m\u00fcssen, wenn sie etwas kaufen, kommentieren oder auf andere Funktionen zugreifen m\u00f6chten, die sie interessieren. Dar\u00fcber hinaus f\u00fcgen sie ihrer Seite Schaltfl\u00e4chen hinzu, die es angeblich erm\u00f6glichen, sich \u00fcber die legitimen Dienste anzumelden, von denen sie die Passw\u00f6rter der Nutzer ernten wollen.<\/p>\n

Wenn Opfer auf eine solche Schaltfl\u00e4che klicken, wird ein ihnen vertrautes Anmeldefenster, wie z. B. eine Eingabeaufforderung von Microsoft, Google oder Apple, mit allen Bestandteilen der ihnen bekannten Benutzeroberfl\u00e4che angezeigt. Das Fenster kann sogar korrekte Adressen darstellen, wenn Benutzer mit der Maus \u00fcber die Schaltfl\u00e4che \u201eAnmelden\u201c und den Link \u201ePasswort vergessen\u201c fahren.<\/p>\n

Der Clou an der Sache? Es handelt sich hierbei nicht um ein separates Fenster. Gibt der Nutzer seine Zugangsdaten in diesem Fenster ein, werden diese nicht an Microsoft, Google oder Apple weitergeleitet, sondern direkt an den Server des Cyberkriminellen. Wie das aussehen kann, sehen Sie hier<\/a>.<\/p>\n

\u00a0<\/p>\n

Wie erkennen Sie ein Fake-Fenster?<\/h2>\n

Obwohl das gef\u00e4lschte Anmeldefenster vollkommen legitim aussieht, gibt es dennoch M\u00f6glichkeiten, es als solches zu identifizieren.<\/p>\n

Echte Anmeldefenster sind Browserfenster und verhalten sich auch so. Sie k\u00f6nnen maximiert, minimiert und beliebig innerhalb des Bildschirms verschoben werden. Gef\u00e4lschte Pop-up-Fenster sind an die Seite gebunden, auf der sie sich befinden. Zwar k\u00f6nnen die Fake-Fenster frei bewegt werden und Schaltfl\u00e4chen und Bilder verdecken, aber lediglich innerhalb ihrer Grenzen \u2013 d. h. innerhalb<\/strong> des Browserfensters. Dieser minimale Unterschied sollte Ihnen bei der Erkennung solcher Fake-Fenster helfen.<\/p>\n

Um zu \u00fcberpr\u00fcfen, ob das Anmeldeformular auf Ihrem Bildschirm eine F\u00e4lschung ist, versuchen Sie Folgendes:<\/p>\n