Phishing mit Frames [Update]

Zu laxe Sicherheitsvorkehrungen in nahezu allen Browsern ermöglichen Manipulationen von angezeigten Fenstern -- selbst Online-Banking ist nicht davor sicher.

In Pocket speichern vorlesen Druckansicht 454 Kommentare lesen
Lesezeit: 2 Min.

Zu laxe Sicherheitsvorkehrungen in nahezu allen Browsern ermöglichen Manipulationen von angezeigten Fenstern. Selbst Seiten für Online-Banking lassen sich so manipulieren, dass die Anwender Passwörter, Kreditkartennummern oder PINs an fremde Server schicken.

Eigentlich sollte der Browser sicherstellen, dass parallel angezeigte Web-Seiten sich nicht gegenseitig manipulieren können, wenn sie aus unterschiedlichen Domains stammen. So sollte eine Heise-Seite keine Inhalte einer Online-Banking-Seite verändern können, die in einem anderen Fenster angezeigt wird. Doch diese Cross-Domain-Sperre ist löchrig und lässt sich bei Seiten austricksen, die sich aus Frames zusammensetzen. Anders als zunächst angenommen ist davon nicht nur der Internet Explorer betroffen, sondern nahezu jeder Browser, der Frames unterstützt, unabhängig vom verwendeten Betriebssystem: vom Internet Explorer über Mozilla/Firefox bis hin zu Opera, Konqueror und Safari. Uns bekannte Ausnahmen sind lediglich Mozilla 1.7 und Firefox 0.9.

Eine Demonstration auf dem Browsercheck erklärt die Problematik genauer und führt vor, dass sich sogar eine verschlüsselte Online-Banking-Seite manipulieren lässt. Der Anwender hat bei solchen Manipulationen kaum eine Chance, zu bemerken, dass er seine vertraulichen Daten nicht an den Server der Bank, sondern an einen beliebigen anderen Server schickt.

Zum Schutz vor solchen Manipulationen sollten Anwender bei allen Seiten, die die Eingabe kritischer Daten erfordern, nur ein Browser-Fenster öffnen und dort die URL von Hand eingeben oder aus den eigenen Favoriten/Bookmarks auswählen.

Update:
Dieses Problem ist nicht neu. Bereits 1998 berichteten c't und heise online darüber, dass bei nahezu allen Browsern Frame-Spoofing möglich sei. Microsoft hat im Dezember 1998 einen Patch veröffentlicht, der das Problem beseitigen sollte. Sechs Jahre später ist es jedoch offensichtlich immer noch aktuell. (ju)