Phishing per Browser-Tabs
Durch das Ändern des Inhalts und des Favicons eines gerade nicht im Fokus liegenden Browser-Tabs könnten Anwender in die Irre geführt werden und ihre Zugangsdaten auf einer Phishing-Seite eingeben. Eine Demo führt das Problem vor.
- Daniel Bachfeld
Einen Phishing-Trick der besonderen Art hat der Vordenker Aza Raskin, ehemals "Head of User Experience" der Mozilla Labs, veröffentlicht: Durch das Ändern des Inhalts und des Favicons eines gerade nicht im Fokus liegenden Browser-Tabs könnten Anwender in die Irre geführt werden und ihre Zugangsdaten auf einer Phishing-Seite eingeben. Raskin hat auf seiner Seite eine Demo des Tricks vorgestellt.
Ein echter Angreifer könnte ein Opfer indes auf seine Seite locken, beispielsweise ein Blog oder ein Forum. Wechselt das Opfer nach dem Besuch der vermeintlich harmlosen Seite zwischenzeitlich das Browser-Tab, um auf einer anderen Seite etwas zu lesen, kann der Angreifer die Inhalte seines Fensters austauschen, etwa gegen ein gefälschtes Login-Fenster für Google-Mail. Den Wechsel auf ein anderes aktuelles Tab kann die Seite per JavaScript feststellen. Selbst das eingeblendete Favicon lässt sich nachträglich per JavaScript austauschen.
Die URL lässt sich zwar nicht manipulieren, aber viele Anwender schauen oft nur auf die Bezeichnung der Tabs. Ob ein Opfer überhaupt ein Google-Mail-Konto hat, kann ein Angreifer per History Stealing feststellen. Mit weiteren, raffinierten Tricks wäre es sogar möglich herauszufinden, ob bereits in einem anderen Fenster Google-Mail geöffnet ist. Das könnte die Erfolgsquote eines Angriffs erhöhen, weil das Opfer nicht von einem plötzlichen Google-Mail-Login-Fenster überrascht ist – sofern es das bereits geöffnete, legitime Tabs dazu übersieht.
Der Trick funktioniert je nach verwendetem Browser unterschiedlich gut: Während sich unter Firefox sowohl der Inhalt der Seite als auch das Favicon eines Tabs austauschen lassen, reagieren der Internet Explorer 8 und Chrome 4 unterschiedlich auf die Manipulationsversuche des Favicon. Bei Chrome lässt es sich nicht nachträglich ändern, der Internet Explorer hatte im Test der heise-Security-Redaktion grundsätzlichere Probleme mit Raskins Favicon und blendete nur das blaue "E" ein. Raskin favorisiert zum Schutz vor derartigen Angriffen beispielsweise den Einsatz des kommenden Account Manager in Firefox. (dab)