Phishing via Tabs – mal was anderes

Phishing ist nicht neu und viele Internet-Nutzer sind inzwischen sehr wachsam, was Phishing-Attacken angeht: Man bekommt eine E-Mail, die einen auffordert, auf einen Link zu klicken und auf einer Webseite die Anmeldeinformationen für Bank- oder eMail-Account ein einzugeben = alter Hut.

Einen ganz neuen Ansatz hat nun Aza Raskin, ehemals „Head of User Experience“ der Mozilla Labs, veröffentlicht: Mittels Java-Script ändert er den Inhalt und das FavIcon eines gerade nicht aktiven Tabs. Zwar läßt sich auch hier die URL nicht verändert, aber wenn man sich das Demo von Aza anschaut (einfach mal Link in neuem Tab öffnen und dann kurz den Tab wechseln), dann ist es schon erstaunlich, wie gut das Ganze funktioniert. Sogar versierte Internet-Nutzer können dabei in die Irre geführt werden, denn wer schaut schon auf den Link, wenn das FavIcon stimmt.

Zwar funktioniert die Attacke nicht in allen Browsern gleich, doch läßt sich mittels History Stealing und User-Agent die ganze Geschichte optimal steuern und z.B. durch ein schon geöffnetes Google-Mail-Fenster, FireFox als Browser und einer Attacke auf Google-Mail die Erfolgsquote deutlich erhöhen.

Als mögliche Gegenmaßnahme präferiert Aza den Einsatz des kommenden Account Manager in Firefox – was sich für mich auf den ersten Blick gar nicht schlecht anhört.