{"id":263781,"date":"2022-03-27T08:22:31","date_gmt":"2022-03-27T06:22:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263781"},"modified":"2022-03-27T12:05:02","modified_gmt":"2022-03-27T10:05:02","slug":"browser-in-the-browser-phishing-methode","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/27\/browser-in-the-browser-phishing-methode\/","title":{"rendered":""Browser in the browser"-Phishing-Methode"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ein Sicherheitsforscher hat k\u00fcrzlich eine Technik entwickelt, um das Abfangen von Anmeldedaten per Phishing noch effizienter zu gestalten. Er nennt die Technik BitB, kurz f\u00fcr \"Browser im Browser\". Dabei wird ein gef\u00e4lschtes Browserfenster innerhalb einer echten Anmeldeseite eingeblendet, um eine OAuth-Anmeldeseite zu f\u00e4lschen. Damit lassen sich Anmeldedaten abgreifen, ohne dass der Nutzer das erkennt.<\/p>\n

<\/p>\n

\"\"Ich hatte die Angriffsmethode die Tage bereits auf The Hacker News gesehen, da die das Thema im Beitrag New Browser-in-the Browser (BITB) Attack Makes Phishing Nearly Undetectable<\/a> aufgegriffen hatten. Blog-Leser Alexander W. hat mich zudem per Mail auf diesen Sachverhalt aufmerksam gemacht (danke daf\u00fcr).<\/p>\n

ich bin gerade auf folgenden Artikel zu einer ausgefeilten Phishing-Methode gesto\u00dfen:<\/p>\n

Behold, a password phishing site that can trick even savvy users<\/a><\/p>\n

Vielleicht ein Thema f\u00fcr Ihren Blog.<\/p><\/blockquote>\n

Ein Sicherheitsforscher, der unter dem Namen mr.d0x auf Twitter auftritt, hat das Ganze Mitte M\u00e4rz in folgendem Tweet<\/a> \u00f6ffentlich gemacht.<\/p>\n

\""Browser<\/a><\/p>\n

Der Sicherheitsforscher beschreibt das Ganze im Blog-Beitrag Browser In The Browser (BITB) Attack<\/a> und hat entsprechende Vorlagen auf GitHub bereitgestellt.<\/p>\n

Problem: OAuth-Anmeldefenster<\/h2>\n

Viele Nutzer kennen die M\u00f6glichkeit, sich per OAuth \u00fcber Google, Microsoft, Apple usw. bei einer Website anzumelden. Dann erscheint oft ein Pop-up-Fenster, das den Benutzer auffordert, sich \u00fcber seinen Zugang bei Google, Microsoft, Apple usw. zu authentifizieren. Nachfolgend ist eine solche Authentifizierung zu sehen.<\/p>\n

\"OAuth
\nOAuth Popup, Quelle: mr.d0x<\/p>\n

Das bei dieser Anmeldung angezeigte Anmeldefenster zeigt in der Adressleiste die URL des OAuth-Diensts, und fordert vom Benutzer die Eingabe der Anmeldedaten an. Bei erfolgreicher Anmeldung wird dann ein OAuth-Token zum Login in der gew\u00fcnschten Zielseite zur\u00fcckgeliefert. F\u00fcr Phisher ist es aber recht einfach, das gesamte Fensterdesign mit grundlegendem HTML\/CSS zu replizieren. Wird das Fensterdesign mit einem iframe, der auf den b\u00f6sartigen Server verweist, auf dem die Phishing-Seite gehostet wird, kombiniert, ist es im Grunde nicht von der Original-Anmeldung unterscheidbar. In obigem Tweet zeigt das Bild das gef\u00e4lschte Fenster im Vergleich zum echten Fenster. Nur sehr wenige Menschen werden die geringen Unterschiede zwischen den beiden Varianten bemerken.<\/p>\n

\"BIBP<\/a>
\nDemo des Angriffs<\/p>\n

Obiges animiertes Bild zeigt ein Beispiels f\u00fcr einen solchen Angriff. Der Sicherheitsforscher beschreibt die Details dieses Ansatzes in seinem Beitrag<\/a> und hat auf GitHub<\/a> zwei Vorlagen f\u00fcr Windows und macOS als Beispiel ver\u00f6ffentlicht. Aktuell sieht das noch wie ein theoretisches Szenario aus, welches aber bald Wirklichkeit werden k\u00f6nnte. Auf Twitter schreibt aber jemand, dass er gesehen habe, dass diese Technik bereits seit Monaten bei Phishing-Angriffen zum Stehlen von Steam-Anmeldedaten verwendet wird.<\/p>\n

Ein deutschsprachiger Artikel zum Thema findet sich bei den Kollegen hier<\/a>. Dort findet sich auch der Hinweis, wie man das erkennen k\u00f6nnte: Browser als Fenster anzeigen lassen. L\u00e4sst sich das OAuth-Anmeldefenster nicht aus dem Browserfenster schiebe, handelt es sich wahrscheinlich um einen Phishing-Versuch.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ein Sicherheitsforscher hat k\u00fcrzlich eine Technik entwickelt, um das Abfangen von Anmeldedaten per Phishing noch effizienter zu gestalten. Er nennt die Technik BitB, kurz f\u00fcr \"Browser im Browser\". Dabei wird ein gef\u00e4lschtes Browserfenster innerhalb einer echten Anmeldeseite eingeblendet, um eine … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263781","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263781","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263781"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263781\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263781"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263781"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263781"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}