Hol Dir jetzt die neue kino.de App     Deutschland geht ins kino.de

Tabnapping: Phishing-Technik ändert Favicons und Seitentitel, zielt auf Power-User

commander@giga

Aza Raskin, seines Zeichens Entwickler bei Mozilla, demonstriert in einem aktuellen Blogeintrag eine neuartige Phishing-Technik, die insbesondere auf Vielsurfer abzielt. Der Trick: Webseiten, die sich und ihr eigenes Favicon dynamisch ändern, wenn in einen anderen Tab gewechselt wird.

Wohl kaum eine Browsertechnik hat die Surfgewohnheiten der Internetnutzer in den letzten zehn Jahren so geändert wie Tabbed Browsing. Heute ist es nicht ungewöhnlich mehr, wenn man 10, 20 oder mehr Browser-Tabs (im Microsoft-Jargon „Registerkarten“) gleichzeitig geöffnet hat. Dabei geht auch schon einmal die Übersicht verloren. Diese Tatsache macht sich ein neuer, „Tabnapping“ genannter, Phishing-Angriff zunutze, den Mozilla-Entwickler Aza Raskin heute in seinem Blog präsentiert – natürlich nicht um Nachahmer auf den Plan zu rufen, sondern um auf das Problem aufmerksam zu machen.

Konkret funktioniert die Attacke so, dass ein JavaScript-Code erkennt, wenn ein Tab von Aktiv auf Inaktiv wechselt (also ein anderer Tab angeklickt wird). Dann wechselt das Script im inaktiven Tab das Favicon, den Seitentitel und Inhalt aus. Das Favicon ist jenes kleine Symbol, welches in der Adresszeile der Browser, in Tabs und Bookmarks angezeigt wird. Aus einer Seite beliebigen Inhalts wird so etwa eine Seite, die aussieht wie eine Eingabemaske von Google Mail oder ähnlich (mithilfe anderer Techniken kann in vielen Browsern ausgelesen werden, welche Dienste, Webseiten und Social Networks jemand häufig nutzt). Wenn der Nutzer seine geöffneten Tabs nach dem Google Mail-Icon durchsucht, wird ihm mit relativ hoher Wahrscheinlichkeit nicht die falsche URL auffallen. Eine Eingabemaske kann dann Loginnamen und Passwort abfangen und – in diesem Beispiel – auf Google Mail weiterleiten. Ein Video verdeutlicht, wie der Angriff funktioniert, außerdem hat Raskin das Beispiel gleich in seinen Blogartikel eingebunden – wenn man von der Seite in einen anderen Tab wechselt, wird die Eingabemaske von Google Mail angezeigt.

Das Prinzip der Tabnapping-Phishing-Attacke setzt vor allem darauf, dass ein User sich psychologisch gesehen sicher wähnt, wenn Seitentitel und Favicon stimmen. Auf Userseite wird meist nicht angenommen, dass sich ein inaktiver Tab ändern kann.

An diesem Punkt sollten auch die Browserhersteller ansetzen, um diese gefährliche Lücke zu schließen: Es sollte generell nicht per JavaScript möglich sein, dass in inaktiven Tabs Favicon und Seitentitel geändert werden.

Weitere Themen: Phishing: Was ist das und wie erkenne ich den Betrug?

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz