Advanced Phishing: Gefälschte Browser-Komponenten
Die Tricks, um arglose Surfer auszutricksen, werden immer ausgefeilter. Mittlerweile fälschen die Angreifer ganze Komponenten eines Browsers, um die Anwender zu überlisten.
Die Tricks, um arglose Surfer auszutricksen, werden immer ausgefeilter. Mittlerweile fälschen die Angreifer ganze Komponenten eines Browsers, um die Anwender zu überlisten. So schildert ein am heutigen Freitag erschienenes Advisory, wie unter einem aktuellen Firefox-Browser die Statusbar gefälscht wird. Mit Hilfe von Phishing locken die Betrüger die Kunden beispielsweise auf gefälschte Bankseiten im Internet: Die Kunden sollen etwa eine neue Homebanking-Anwendung ihres Instituts nutzen. Tatsächlich landet der Kunde aber auf einer gefälschten Kopie der Originalseite, auf der er seine Kontodaten eingeben soll.
Der jetzt enthüllte Trick funktioniert über XUL-Dateien (XML User Interface Language), ein Proof-of-Concept-Exploit führt vor, wie die Statusbar von Firefox inklusive des SSL-Schlosses (Secure Pad Lock) geändert und ein falscher Eindruck beim User hervorgerufen wird. Klickt der Anwender auf das Schloss, wird auch ein entsprechend gefälschter Dialog mit den Zertifikatinformationen angezeigt. Die Machbarkeitsstudie zeigt ebenso gefälschte Menü- und Buttonleisten an, die aber in der derzeitigen Version noch nicht funktionieren. Laut Jeff Smith, einem der Entdecker der Lücke, sei es aber ohne weiteres möglich, das komplette Browserinterface unter die Kontrolle eines Angreifers zu bringen und damit einen falschen Eindruck beim Anwender zu erwecken.
Der Bug wurde bereits in Bugzilla aufgenommen und diskutiert. Die Entwickler nehmen das Problem ernst, da es sich auf ziemlich einfache Weise zum Phishing ausnutzen lässt; durch einen einfachen, gefälschten Passwortdialog können kritische Daten in verkehrte Hände gelangen. Prinzipiell gibt es mehrere Möglichkeiten, das Interface zu manipulieren, XUL und XML sind nicht zwingend notwenig. Eine andere Demonstration von Michael Lefevre zeigt gefälschte Menü- und Buttonleisten mit HTML.
So ist auch nicht nur Mozilla betroffen, auch beim Internet Explorer funktionieren vergleichbare Kniffe. Der Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität zeigt solche Fälschungs-Angriffe gegen den Internet Explorer 6. Hier werden drei Möglichkeiten vorgeführt, um das User-Interface des Explorer für einen Angriff zu manipulieren. Die einfachste Möglichkeit besteht darin, die Komponenten einfach durch Bilder zu ersetzen, was aber natürlich die Interaktivität einschränkt. Zwei weitere Methoden sind dynamisch, sie bilden die Browserkomponenten mit JavaScript beziehungsweise Flash nach.
Es ist zu befürchten, dass solche Tricks in Zukunft häufiger auftauchen, zumal Phishing in letzter Zeit immer mehr in Mode kommt. Neben den Browser-Herstellern sind also auch die Anwender gefragt, auf solche Tricks zu achten: Links in E-Mails sind besonders gefährlich, weil schon die Quelle des Links (Absender der E-Mail) gefälscht sein kann. Bei Seiten, die kritische Daten abfragen (Homebanking, PayPal, Börsenportale et cetera) sollte man immer die Seite direkt im Browser über Eingabe der URL aufrufen.
Siehe dazu auch: (pab)
- Advisory und Demonstration von Jeff Smith (Firefox)
- Advisory und Demonstration von Michael Lefevre (Mozilla/Firefox)
- Advisory der Ruhr-Universität Bochum (Internet Explorer 6)
- Bug-Report in Bugzilla
