Unter dem Radar der Phishing-Filter

Kriminelle setzen offenbar auf eine neue Masche beim Phishing, um die Warnung vor Phishing-Seiten in modernen Browsern wie Firefox und Chrome auszuhebeln. Dazu verschicken sie Mails, die statt eines Links ein HTML-Dokument im Anhang mitbringen. Das berichtet der Sicherheitsdienstleister M86Security in seinem Blog. Unbekannt ist allerdings, wieviele Anwender auf die Masche bislang hereingefallen sind.

Öffnet der Empfänger das HTML-Dokument im Browser, so präsentiert sich ihm etwa ein PayPal-Formular, in das er aus den üblichen vorgekaukelten Sicherheitsproblemen seine Zugangsdaten eingeben soll. Da das Formular lokal auf dem Rechner läuft, kann auch der Phishing-Filter nicht warnen, denn dieser springt nur auf externe URLs an. Ein Klick auf den Senden-Knopf schickt die eingegebenen Daten dann per POST-Request an ein PHP-Skript auf einem (gehackten) Server. Dabei warnt der Browser laut M86Security ebenfalls nicht.

Zwar sollte der Browser wenigstens beim Senden der Daten warnen, warum er es doch nicht tut, hat nach Meinung von M86Security aber zwei Gründe. Da Anwender die aufgerufenen URL bei POST-Requests nicht zu Gesicht bekommen, könnten sie die URL auch nicht melden. Daher fehle die URL in den Blacklists der Browser-Filter. Und mit dem HTML-Quellcode im Anhang der Mail könnten die wenigsten Anwender etwas anfangen.

Der zweite Grund sei, dass URLs zu einem PHP-Skript nur schwer als Phishing-Seite zu klassifizieren sei. Da es keinen HTML-Code zum Untersuchen gebe, ob die Seite etwa eine Bankenseite vortäuscht, sei eine abschließende Prüfung nur schwer möglich. Diese habe dazu geführt, dass offenbar seit Monaten zahlreiche Phishing-Kampagnen unentdeckt blieben. Der Sicherheitsdienstleister gibt jedoch nicht an, ob sich diese Einschätzung nur auf die Betreiber der Filterlisten für Chrome, Firefox und andere Browser bezieht oder auch auf die AV-Hersteller, die eigene Listen für ihre Filterprodukte führen. (dab)