{"id":33253,"date":"2026-03-10T10:12:42","date_gmt":"2026-03-10T08:12:42","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33253"},"modified":"2026-03-10T10:12:42","modified_gmt":"2026-03-10T08:12:42","slug":"browser-in-the-browser-phishing-facebook","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/browser-in-the-browser-phishing-facebook\/33253\/","title":{"rendered":"Browser-in-the-Browser-Angriffe: von der Theorie zur Realit\u00e4t"},"content":{"rendered":"

Im Jahr 2022 haben wir uns ausf\u00fchrlich mit der Angriffsmethode Browser-in-the-Browser<\/a> besch\u00e4ftigt, die urspr\u00fcnglich von einem Cybersicherheitsforscher mit dem Pseudonym mr.d0x<\/em> entwickelt wurde. Damals gab es noch keine Hinweise auf den tats\u00e4chlichen Einsatz dieses Modells. Inzwischen sind vier Jahre vergangen: Browser-in-the-Browser-Angriffe sind in der Wirklichkeit angekommen und werden jetzt flei\u00dfig von Angreifern genutzt. Darum nehmen wir uns die Browser-in-the-Browser-Angriffe heute noch einmal vor: Was steckt dahinter, wie setzen Hacker sie ein und wie kannst du dich davor sch\u00fctzen?<\/p>\n

Was ist ein Browser-in-the-Browser-Angriff (BitB)?<\/h2>\n

Erst einmal zur Erinnerung: Was hat mr.d0x<\/em> tats\u00e4chlich erfunden<\/a>? Die Idee f\u00fcr diesen Angriff beruhte auf der Beobachtung, wie fortschrittlich moderne Web-Entwicklungstools (HTML, CSS, JavaScript und \u00e4hnliche) geworden sind. Diese Erkenntnis inspirierte den Forscher zu einem besonders ausgefeilten Phishing-Modell.<\/p>\n

Ein Browser-in-the-Browser-Angriff ist eine ausgekl\u00fcgelte Phishing-Methode: Mithilfe von Webdesign werden betr\u00fcgerische Websites erstellt, die Anmeldefenster f\u00fcr bekannte Dienste (Microsoft, Google, Facebook oder Apple) imitieren und t\u00e4uschend echt aussehen. Das Konzept sieht vor, dass ein Angreifer eine legitim wirkende Website als K\u00f6der anfertigt. Nutzer, die Kommentare hinterlassen oder Eink\u00e4ufe t\u00e4tigen wollen, m\u00fcssen sich zuerst \u201eanmelden\u201c.<\/p>\n

Die Anmeldung geht anscheinend ganz einfach \u00fcber die Schaltfl\u00e4che Anmelden mit {Name eines beliebten Dienstes}<\/em>. Und hier wird es interessant: Anstelle einer echten Authentifizierungs-Seite, die von einem legitimen Dienst bereitgestellt wird, schiebt die b\u00f6sartige Website dem Nutzer ein gef\u00e4lschtes Formular unter, das wie ein Browser-Pop-up aussieht. Dar\u00fcber hinaus zeigt die Adressleiste des Pop-ups, die ebenfalls von den Angreifern stammt, eine v\u00f6llig legitime<\/em> URL. Selbst eine genaue Untersuchung der Adresse kann den Trick nicht entlarven.<\/p>\n

Nun gibt der ahnungslose Nutzer in dem \u201egemalten\u201c Fenster seine Anmeldedaten f\u00fcr Microsoft, Google, Facebook oder Apple ein\u00a0\u2013 und schon haben die Cyberkriminellen ihr Ziel erreicht. Dieses Schema galt lange Zeit als reines Gedankenexperiment des Sicherheitsforschers. Aber jetzt haben echte Angreifer ihren Werkzeugkasten damit best\u00fcckt.<\/p>\n

Diebstahl von Facebook-Anmeldedaten<\/h2>\n

Angreifer haben das urspr\u00fcngliche Konzept von mr.d0x<\/em> auf ihre Art modifiziert: Die j\u00fcngsten Browser-in-the-Browser-Angriffe begannen mit E-Mails<\/a>, die die Empf\u00e4nger alarmieren sollten. Bei einer Phishing-Kampagne gab sich der Absender als eine Anwaltskanzlei aus. Der Empf\u00e4nger wurde dar\u00fcber informiert, er habe durch einen Facebook-Beitrag eine Urheberrechtsverletzung begangen. Der Link in dieser Nachricht wirkte glaubw\u00fcrdig und f\u00fchrte angeblich zu dem problematischen Posting.<\/p>\n

\"Phishing-E-Mail,<\/a>

Angreifer informierten im Namen einer Fake-Anwaltskanzlei \u00fcber mutma\u00dfliche Urheberrechtsverletzungen. Dazu geh\u00f6rte auch ein Link, der angeblich zu dem problematischen Facebook-Beitrag f\u00fchrte. Quelle<\/a><\/p><\/div>\n

Wer auf den Link klickte, erlebte zuerst ein kleines Ablenkungsman\u00f6ver: Es wurde nicht sofort eine gef\u00e4lschte Facebook-Anmeldeseite ge\u00f6ffnet. Zur Begr\u00fc\u00dfung gab es erst einmal ein gef\u00e4lschtes Meta-CAPTCHA. Erst anschlie\u00dfend wurde dem Opfer das gef\u00e4lschte Authentifizierungs-Pop-up-Fenster pr\u00e4sentiert.<\/p>\n

\"Gef\u00e4lschtes<\/a>

Dies ist kein echtes Browser-Pop-up-Fenster. Es ist ein Website-Element, das eine Facebook-Anmeldeseite nachahmt. Dieser Trick erm\u00f6glicht es Angreifern, eine absolut \u00fcberzeugende Adresse anzugeben. Quelle <\/a><\/p><\/div>\n

Nat\u00fcrlich folgte die gef\u00e4lschte Facebook-Anmeldeseite der Idee von mr.d0x<\/em>: Sie wurde vollst\u00e4ndig mit Webdesign-Tools erstellt und sollte die Anmeldeinformationen des Opfers stehlen. Dabei verwies die URL, die in der nachgemachten Adressleiste angezeigt wurde, auf die echte Facebook-Website www.facebook.com.<\/p>\n

So kannst du dich sch\u00fctzen<\/h2>\n

Es ist also so weit: Betr\u00fcger setzen Browser-in-the-Browser-Angriffe jetzt tats\u00e4chlich ein und entwickeln wie l\u00e4ngst bekannt ihre Trickkiste st\u00e4ndig weiter. Kein Grund zur Verzweiflung! Es gibt n\u00e4mlich eine Methode, um festzustellen, ob ein Anmeldefenster echt ist. Dabei hilft ein Passwort-Manager<\/a>, der unter anderem die Sicherheit von Websites unter die Lupe nehmen kann.<\/p>\n

Bevor ein Passwort-Manager automatisch die Anmeldedaten ausf\u00fcllt, \u00fcberpr\u00fcft er die tats\u00e4chliche URL und l\u00e4sst sich dabei nicht durch die in der Adressleiste angezeigte<\/em> URL oder das Aussehen der Seite hinters Licht f\u00fchren. Im Gegensatz zu einem menschlichen Nutzer kann ein Passwort-Manager<\/a>\u00a0nicht get\u00e4uscht werden\u00a0\u2013 weder durch Browser-in-the-Browser-Taktiken oder andere Tricks wie Dom\u00e4nen mit einer leicht abweichenden Adresse (Typosquatting) noch durch versteckte Phishing-Formulare in Anzeigen und Pop-ups. In diesem Kontext gibt es eine einfache Regel: Wenn dein Password-Manager anbietet, deinen Benutzernamen und dein Passwort automatisch einzugeben, bist du auf einer Website, f\u00fcr die du bereits Anmeldedaten gespeichert hast. Wenn er stumm bleibt, ist etwas faul.<\/p>\n

Au\u00dferdem haben wir einige bew\u00e4hrte Ratschl\u00e4ge, mit denen du dich gegen verschiedene Phishing-Angriffe verteidigen oder die Folgen eines erfolgreichen Angriffs zumindest minimieren kannst:<\/p>\n