Warnung vor einer neuen Art von Phishing

Phishing gehört seit jeher zu den ernsten Gefahren, die das Internet neben allen Errungenschaften, auf die wir weder verzichten können noch wollen, mit sich gebracht hat. Durch Phishing entstehen enorme Schäden, Tendenz steigend. Und: es entstehen immer neue Abarten, die auf die Arglosigkeit des Internetnutzers setzten und mit allen Mitteln versuchen, ihn zu täuschen.

Eine ganz neue, besonders tückische Variante des Phishings sieht folgendermaßen aus:

  • Der Benutzer gelangt auf eine ganz normal aussehende Internet Seite, der er – wie auch bei sonstigen Phishing-Attacken - nicht ansieht, dass sie Schadcode enthält.
  • Sobald er einen weiteren Tab im Browser öffnet und auf dieser neuen Seite navigiert, beginnt die Seite im ersten Tab im Hintergrund ihren Schadcode auszuführen: Sie ändert das kleine Favicon links in der Adresszeile des Browsers, den Seitentitel im Tab sowie den Inhalt der Seite.
  • Beispielsweise wird jetzt eine Anmeldeseite für ein Google-Konto oder auch die Login-Seite einer Bank angezeigt. Alles völlig im Hintergrund und unbemerkt durch den Benutzer, der ja gerade auf einer anderen Seite aktiv ist und vermutlich noch einige weitere Browser-Tabs geöffnet hat, die er kaum alle gleichzeitig im Blick hat.
  • Bis der Benutzer nun auf die Seite im ersten Tab zurückkommt, kann durchaus einige Zeit vergehen und er weiß gar nicht mehr so genau, welche Seiten er schon geöffnet hatte. Da der Benutzer ja davon ausgeht, dass sich eine einmal geöffnete Seite im Hintergrund nicht ändert, schöpft er also auch keinen Verdacht, wenn er nun eine Google-Seite oder die Login-Seite seiner Bank vorfindet. In dem Glauben, von der Seite „nur“ abgemeldet worden zu sein, gibt er seine Login-Daten arglos – vermeintlich erneut – ein. Damit hat der Phisher die Daten abgefangen.

Diese Art des Phishings setzt darauf, dass viele Internet-Nutzer die Vorzüge der Browser-Tabs nutzen und mit vielen geöffneten Seiten arbeiten, die sie nicht permanent im Blick haben und oft erst nach einiger Zeit wieder zu früher geöffneten Seiten zurückkehren. Außerdem werden hier offensichtliche optische Erkennungsmerkmale wie das Favicon und der Seitentitel im Tab manipuliert, also die Eye-Catcher, auf die sich das Auge beim Arbeiten mit vielen Tabs konzentriert. Dass sich die Internet-Adresse der Seite gar nicht geändert hat, wird kaum ein Benutzer beachten und bemerken.

Was gilt es angesichts dieses Szenarios beim Browsen im Web besonders zu beachten?

  1. Grundsätzlich immer darauf achten, welche Seiten besucht werden. Gerade auch bei bekannten Seiten aufmerksam sein, ob es ungewohnte Änderungen gibt, seien sie auch noch so klein. Gerade die kleinen Änderungen können entscheidend sein!
  2. Sich merken, welche Seiten man in Tabs geöffnet hat.
  3. IMMER die URL, also die Internet-Adresse der Seite in der Adresszeile des Browsers kontrollieren. Diese ändert sich in der beschriebenen Phishing-Attacke nicht und ist damit ein wichtiger Hinweis auf mögliche Ungereimtheiten.
  4. Insbesondere bevor man Login-Daten eingibt, die Internet-Adresse der Seite grundsätzlich immer kontrollieren. Um ganz sicher zu gehen, sollte die Adresse noch einmal neu eingegeben werden.

Möglicherweise klingen diese Tipps auf den ersten Blick wenig praktikabel, da sie Zeit und Aufmerksamkeit erfordern. Dennoch: es sind vergleichsweise kleine Investitionen in die Sicherheit, die sich am Ende in jedem Fall auszahlen.

Nicht auszudenken, wenn dieses Beispiel Schule machen sollte. Der Schaden wäre immens, z.B. im Hinblick auf Online-Banking, denn gerade Bankseiten melden ihre Nutzer – aus Sicherheitsgründen (!) - häufig automatisch ab, wenn längere Zeit keine Eingabe erfolgt ist. Gerade hier wird also kaum ein Nutzer Verdacht schöpfen. Eine neue Qualität des Phishings also, im negativen Sinn.

Um den Phishing-Vorgang „live“ nachzuvollziehen: Das Beispiel wird eindrucksvoll beschrieben und demonstriert auf: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/

Trackback URL for this post:

http://www.xlogon.net/de/trackback/107

Wikipedia

Völlig losgelöst vom Artikel, ich habe xlogon.net mal im OpenID-Artikel auf Wikipedia (en) eingetragen.