"Browser in the browser"-Phishing-Methode

Sicherheit (Pexels, allgemeine Nutzung)[English]Ein Sicherheitsforscher hat kürzlich eine Technik entwickelt, um das Abfangen von Anmeldedaten per Phishing noch effizienter zu gestalten. Er nennt die Technik BitB, kurz für "Browser im Browser". Dabei wird ein gefälschtes Browserfenster innerhalb einer echten Anmeldeseite eingeblendet, um eine OAuth-Anmeldeseite zu fälschen. Damit lassen sich Anmeldedaten abgreifen, ohne dass der Nutzer das erkennt.


Anzeige

Ich hatte die Angriffsmethode die Tage bereits auf The Hacker News gesehen, da die das Thema im Beitrag New Browser-in-the Browser (BITB) Attack Makes Phishing Nearly Undetectable aufgegriffen hatten. Blog-Leser Alexander W. hat mich zudem per Mail auf diesen Sachverhalt aufmerksam gemacht (danke dafür).

ich bin gerade auf folgenden Artikel zu einer ausgefeilten Phishing-Methode gestoßen:

Behold, a password phishing site that can trick even savvy users

Vielleicht ein Thema für Ihren Blog.

Ein Sicherheitsforscher, der unter dem Namen mr.d0x auf Twitter auftritt, hat das Ganze Mitte März in folgendem Tweet öffentlich gemacht.

"Browser in the browser" Phishing

Der Sicherheitsforscher beschreibt das Ganze im Blog-Beitrag Browser In The Browser (BITB) Attack und hat entsprechende Vorlagen auf GitHub bereitgestellt.

Problem: OAuth-Anmeldefenster

Viele Nutzer kennen die Möglichkeit, sich per OAuth über Google, Microsoft, Apple usw. bei einer Website anzumelden. Dann erscheint oft ein Pop-up-Fenster, das den Benutzer auffordert, sich über seinen Zugang bei Google, Microsoft, Apple usw. zu authentifizieren. Nachfolgend ist eine solche Authentifizierung zu sehen.

OAuth popup
OAuth Popup, Quelle: mr.d0x

Das bei dieser Anmeldung angezeigte Anmeldefenster zeigt in der Adressleiste die URL des OAuth-Diensts, und fordert vom Benutzer die Eingabe der Anmeldedaten an. Bei erfolgreicher Anmeldung wird dann ein OAuth-Token zum Login in der gewünschten Zielseite zurückgeliefert. Für Phisher ist es aber recht einfach, das gesamte Fensterdesign mit grundlegendem HTML/CSS zu replizieren. Wird das Fensterdesign mit einem iframe, der auf den bösartigen Server verweist, auf dem die Phishing-Seite gehostet wird, kombiniert, ist es im Grunde nicht von der Original-Anmeldung unterscheidbar. In obigem Tweet zeigt das Bild das gefälschte Fenster im Vergleich zum echten Fenster. Nur sehr wenige Menschen werden die geringen Unterschiede zwischen den beiden Varianten bemerken.

BIBP demo
Demo des Angriffs


Anzeige

Obiges animiertes Bild zeigt ein Beispiels für einen solchen Angriff. Der Sicherheitsforscher beschreibt die Details dieses Ansatzes in seinem Beitrag und hat auf GitHub zwei Vorlagen für Windows und macOS als Beispiel veröffentlicht. Aktuell sieht das noch wie ein theoretisches Szenario aus, welches aber bald Wirklichkeit werden könnte. Auf Twitter schreibt aber jemand, dass er gesehen habe, dass diese Technik bereits seit Monaten bei Phishing-Angriffen zum Stehlen von Steam-Anmeldedaten verwendet wird.

Ein deutschsprachiger Artikel zum Thema findet sich bei den Kollegen hier. Dort findet sich auch der Hinweis, wie man das erkennen könnte: Browser als Fenster anzeigen lassen. Lässt sich das OAuth-Anmeldefenster nicht aus dem Browserfenster schiebe, handelt es sich wahrscheinlich um einen Phishing-Versuch.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu "Browser in the browser"-Phishing-Methode

  1. Anonymous sagt:

    Und so können auch Nicht-IT-Experten den Angriff erkennen:
    "Da es sich beim Fake-Fenster um keine neue Webbrowser-Instanz handelt, kann man das Fenster auch nicht aus dem eigentlichen Browser-Fenster mit der Phishing-Seite hinausschieben." (heise)

  2. janil sagt:

    Danke für den "Heise"-Tip, mal auch nachlesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.