Doppelter Betrug: Phishing-Konzept mit Browser-In-The-Browser-Attacke ausgebaut

Ein Sicherheitsforscher stellt einen erweiterten Phishing-Ansatz zum Einkassieren von Passwörtern vor. Betrüger sollten jetzt aufhören zu lesen.

In Pocket speichern vorlesen Druckansicht 128 Kommentare lesen

(Bild: evkaz/Shutterstock.com)

Lesezeit: 2 Min.

Schon länger sind die Zeiten vorbei, in denen man Phishing-Mails und -Websites zum Mitschneiden von Log-in-Daten aufgrund von Schreibfehlern und kryptischen URLs auf den ersten Blick enttarnen konnte. Leider haben Betrüger dazugelernt und liefern oft ziemlich gut gemachte Kopien von echten Websites ab. Mit einer von einem Sicherheitsforscher vorgestellten Technik könnte Phishing nun ein neues Level erreichen.

In einem Beitrag fĂĽhrt der Sicherheitsforscher mit dem Pesudonym mr.d0X sein Konzept namens Browser-In-The-Browser-Attacke (BITB) aus. Als Basis baut er auf das OAuth-Anmeldeverfahren, um sich bei Online-Services einzuloggen.

Vorsicht vor noch glaubhafteren Phishing-Websites: Von BetrĂĽgern nachgebaute QAuth-Log-in-Fenster sind vom Original nicht zu unterscheiden.

(Bild: mr.d0x )

Dabei muss man sich auf einer Website keinen neuen Account anlegen, sondern nutzt zur Anmeldung etwa sein Google-Konto. Dafür klickt man auf die Schaltfläche "Mit Google anmelden". Im Anschluss öffnet der Webbrowser eine neue Instanz in Form eines Fensters, in dem man seine Log-in-Daten für Google eingibt.

Hinter den Kulissen gleicht OAuth die eingegebenen Daten mit Google ab. Passt alles, bekommt der neue Service einen Token und somit das Go serviert, dass der Nutzer sich erfolgreich gegenüber Google authentifiziert hat und der Zugang über diese Anmeldeform gewährt wird.

In seinem Beispiel macht sich der Sicherheitsforscher das OAuth-Fenster zunutze. In seiner Demo baut er es via HTML/CSS exakt nach und versieht es mit einer legitimen Google-URL inklusive HTTPS-Schloss-Symbol. Dadurch fällt es Opfern schwerer, den Betrug aufzudecken und eingegebene Passwörter landen bei Betrügern.

Einen Schwachpunkt hat dieser Ansatz aber: Der Ausgangspunkt von einer BITB-Attacke ist eine Phishing-Website, die das OAuth-Anmeldeverfahren mit dem Fake-Fenster anbietet. Dahin mĂĽssen BetrĂĽger Opfer erst mal locken, ohne dass Verdacht aufkommt.

Fällt man darauf rein, kann man den Betrügern aber immer noch ein Schnippchen schlagen: Da es sich beim Fake-Fenster um keine neue Webbrowser-Instanz handelt, kann man das Fenster auch nicht aus dem eigentlichen Browser-Fenster mit der Phishing-Seite hinausschieben.

Gleichwohl ist der BITB-Ansatz ein weiterer Baustein, um eine Phishing-Attacke noch glaubhafter zu gestalten, um Opfer erfolgreich hinters Licht zu fĂĽhren. Sicherheitsforscher von Zscaler berichten, dass BetrĂĽger dieses Konzept bereits Anfang 2020 eingesetzt haben.

(des)