Demo: Phishing mit Frames
Ein Browser sollte sicherstellen, dass sich parallel angezeigte Web-Seiten von unterschiedlichen Servern nicht gegenseitig manipulieren können. So darf eine Web-Seite vom Heise-Server eigentlich keine Fenster oder Frames manipulieren, die von Microsoft stammen. Der Internet Explorer bis Version 6 erlaubt in seiner Default-Einstellung jedoch solche Cross-Domain-Zugriffe über Frames. Man bezeichnet dies auch als Frame-Spoofing. Bei anderen Browsern wurde dies mittlerweile abgestellt.
Viele Internet-Seiten setzen sich aus sogenannten Frames zusammen. So enthält oft ein links angeordneter Frame die Navigationsleiste, rechts davon erscheint der eigentliche Inhalt. Ist der Name eines Frames bekannt (zum Beispiel "navigation"), kann eine beliebige, fremde Web-Seite den Inhalt dieses Frames mit einer eigenen Web-Seite überschreiben. So kann ein Angreifer dem Anwender beispielsweise suggerieren, er befände sich auf einer vertrauenswürdigen Seite und ihn dort zur Eingabe von persönlichen Daten verleiten.
Demo:
Achtung: Die folgenden Demos zeigen keine spezifischen Sicherheitsprobleme der jeweiligen Seiten auf. Vielmehr lassen sich alle Seiten, die Frames verwenden, derart missbrauchen. Allerdings verzichten gerade in sicherheitsrelevanten Bereichen wie dem Online-Banking mittlerweile viele Anbieter unter anderem aus diesem Grund auf Frames.
- Der folgende Link öffnet die Startseite von Dedicated Cheque and Plastic Crime Unit (DCPCU). Nachdem die Seite geladen ist, wechseln Sie wieder in dieses Fenster und fahren mit Schritt 2 fort: Öffnen
- Klicken Sie nun auf den folgenden Link. Er lädt eine harmlose HTML-Seite in Ihr Browser-Fenster mit der DCPCU-Seite: Einfügen
Funktioniert die Demo, erscheint in Ihrem Browser-Fenster mit der DCPCU-Seite eine heise-Security-Seite mit der roten Überschrift: "Sie sind verwundbar". Dabei bleiben die anderen Frames unverändert und die Adressleiste des Browsers zeigt nach wie vor die URL der ursprünglichen (DCPCU-)Seite an. Bleibt die DCPCU-Seite jedoch ganz unverändert und öffnet sich die heise-Security-Seite in einem eigenen Fenster, hat die Demo nicht funktioniert.
Es wäre ohne großen Aufwand möglich, beide Schritte so zu automatisieren, dass der Anwender kaum eine Chance hat, die Manipulation zu bemerken. Es würde dann genügen, wenn er auf einer Web-Seite oder in einer Mail einen Link anklickt, der ihn auf die entsprechend vorbereitete Web-Seite führt. Außerdem funktioniert dieses Phishing mit Frames auch bei verschlüsselten Seiten. Stammt der eingeschmuggelte Frame ebenfalls von einer gültigen https-Seite, erscheint dabei nicht einmal eine Warnung.
Banken
Die Problematik ist seit 1998 bekannt, diese Demo illustriert den Sachverhalt seit Mitte 2004. Banken wie die Postbank, die Deutsche Bank und neuerdings auch die SEB haben mittlerweile ihre Seiten umgestellt und verzichten auf den Einsatz von Frames. Andere ergreifen spezielle Schutzmaßnahmen, um Missbrauch zu verhindern. So arbeitet die Hypo-Bank mit zufälligen Frame-Namen, die Dresdner überwacht via JavaScript die Integrität des Framesets.
Doch immer noch setzen einzelne Banken Frames auch völlig ungeschützt ein – teilweise sogar im Rahmen des Online-Bankings. Damit könnten Betrüger Phishing-Seiten aufsetzen, die von den echten Seiten der Bank kaum zu unterscheiden sind.
Abhilfe:
Wenn Sie in den Sicherheitseinstellungen des Internet Explorer die Option "Subframes zwischen verschiedenen Domänen bewegen" deaktivieren, verhindert der Browser das Frame-Spoofing. Ab Internet Explorer 7 ist dies voreingestellt.
Sie können sich vor solchen Manipulationen generell schützen, indem Sie bei sicherheitskritischen Vorgängen wie Online-Banking nur ein einziges Browser-Fenster öffnen. Verwenden Sie dabei keine Links sondern geben Sie die URL entweder von Hand ein oder wählen Sie die Seite über Ihre Favoriten/Bookmarks an.
Entwickler von Web-Seiten können ihre Seiten gegen diese Manipulationen absichern, indem sie auf Frames verzichten.