Doppelter Betrug: Phishing-Konzept mit Browser-In-The-Browser-Attacke ausgebaut
Ein Sicherheitsforscher stellt einen erweiterten Phishing-Ansatz zum Einkassieren von Passwörtern vor. Betrüger sollten jetzt aufhören zu lesen.
(Bild: evkaz/Shutterstock.com)
Schon länger sind die Zeiten vorbei, in denen man Phishing-Mails und -Websites zum Mitschneiden von Log-in-Daten aufgrund von Schreibfehlern und kryptischen URLs auf den ersten Blick enttarnen konnte. Leider haben Betrüger dazugelernt und liefern oft ziemlich gut gemachte Kopien von echten Websites ab. Mit einer von einem Sicherheitsforscher vorgestellten Technik könnte Phishing nun ein neues Level erreichen.
Das Vorspiel
In einem Beitrag führt der Sicherheitsforscher mit dem Pesudonym mr.d0X sein Konzept namens Browser-In-The-Browser-Attacke (BITB) aus. Als Basis baut er auf das OAuth-Anmeldeverfahren, um sich bei Online-Services einzuloggen.
(Bild: mr.d0x )
Dabei muss man sich auf einer Website keinen neuen Account anlegen, sondern nutzt zur Anmeldung etwa sein Google-Konto. Dafür klickt man auf die Schaltfläche "Mit Google anmelden". Im Anschluss öffnet der Webbrowser eine neue Instanz in Form eines Fensters, in dem man seine Log-in-Daten für Google eingibt.
Hinter den Kulissen gleicht OAuth die eingegebenen Daten mit Google ab. Passt alles, bekommt der neue Service einen Token und somit das Go serviert, dass der Nutzer sich erfolgreich gegenüber Google authentifiziert hat und der Zugang über diese Anmeldeform gewährt wird.
Die BITB-Phishing-Attacke
In seinem Beispiel macht sich der Sicherheitsforscher das OAuth-Fenster zunutze. In seiner Demo baut er es via HTML/CSS exakt nach und versieht es mit einer legitimen Google-URL inklusive HTTPS-Schloss-Symbol. Dadurch fällt es Opfern schwerer, den Betrug aufzudecken und eingegebene Passwörter landen bei Betrügern.
Einen Schwachpunkt hat dieser Ansatz aber: Der Ausgangspunkt von einer BITB-Attacke ist eine Phishing-Website, die das OAuth-Anmeldeverfahren mit dem Fake-Fenster anbietet. Dahin müssen Betrüger Opfer erst mal locken, ohne dass Verdacht aufkommt.
Fällt man darauf rein, kann man den Betrügern aber immer noch ein Schnippchen schlagen: Da es sich beim Fake-Fenster um keine neue Webbrowser-Instanz handelt, kann man das Fenster auch nicht aus dem eigentlichen Browser-Fenster mit der Phishing-Seite hinausschieben.
Gleichwohl ist der BITB-Ansatz ein weiterer Baustein, um eine Phishing-Attacke noch glaubhafter zu gestalten, um Opfer erfolgreich hinters Licht zu führen. Sicherheitsforscher von Zscaler berichten, dass Betrüger dieses Konzept bereits Anfang 2020 eingesetzt haben.
(des)
