Phishen mit Phlash
Phisher tricksen Anti-Phishing-Tools aus, indem sie statt herkömmlicher HTML-Formulare zum Klauen von Daten neuerdings Flash einsetzen.
- Daniel Bachfeld
Phisher haben sich eine neue Masche ausgedacht, um herkömmliche Anti-Phishing-Toolbars und Echtzeitanalysen, wie sie etwa der Internet Explorer 7 bietet, auszutricksen. Dazu fragen die Betrüger Log-in-Daten nicht mehr über herkömliche HTML-Forumlare ab, sondern setzen stattdessen auf Flash-Elemente, in die das Opfer seine Daten eingeben soll. Bislang untersuchen Anti-Phishing-Tools allenfalls HTML- und JavaScript-Code in einer Seite daraufhin, ob er Phishing-Merkmale aufweist. Bei Flash ist dies bislang noch nicht möglich.
Zwar funktioniert auf diesen Flash-Seiten nur das Eingabeformular, während sich alle anderen Links nicht anklicken lassen, dennoch sind die bereits aufgetauchten Seiten so gut gemacht, dass einige Anwender darauf reinfallen werden. Einzige Abhilfe ist, einen Flash-Blocker zu installieren, der verhindert, dass Flash-Filme automatisch starten, etwa das Plug-in FlashBlock für den Firefox .
Siehe dazu auch:
- Flash Phishing, Blogeintrag von F-Secure
- Studie: Anti-Phishing-Software schützt nicht zuverlässig, Meldung auf heise Security
(dab)