Achtung: Neue Phishing-Methode ‚Inception Bar‘ fälscht die Adressleiste des mobilen Browsers (Video + Demo)

chrome 

Phishing ist seit vielen Jahren ein großes Problem im Web, obwohl es von Unternehmen wie Google durch viele Maßnahmen bekämpft wird und die meisten Nutzer mittlerweile auch sensibilisiert sein sollten. Ein Sicherheitsforscher hat nun eine neue Phishing-Methode für den mobilen Chrome-Browser vorgestellt, die durch eine perfekte Umsetzung sehr viele Nutzer täuschen kann und von Google kaum verhindert werden kann. Getauft wurde sie „Inception Bar“.


Das Phishing basiert stets darauf, dass dem Nutzer vorgespielt wird, sich auf einer bestimmten Seite zu befinden und dort Zugangsdaten oder wichtige Informationen wie etwa Kreditkarten-Daten eingeben zu müssen. Solche Webseiten bauen Login-Formulare bis auf kleinste Detail nach und sind rein von der Oberfläche im besten/schlimmsten (wie man es sieht) Fall nicht vom Original zu unterscheiden. Es hilft also nur ein Blick auf die Adressleiste. Wenn es denn die echte ist.

chrome phishing

Der Sicherheitsforscher James Fisher hat nun ein neues Konzept vorgestellt, das das Phishing im mobilen Chrome-Browser noch einmal auf ein neues Level hebt. Bei der „Inception Bar“-Methode wird die Adressleiste inklusive der Navigation des Browsers nachgebaut und dem Nutzer statt der echten Adresszeile angezeigt. Dadurch ergibt sich, wie in folgender Animation zu sehen ist, für den Phisher die Möglichkeit, die gesamte Navigation bzw. die vollständige Browsersitzung des Nutzers zu kapern.

Diese Methode macht es sich zunutze, dass der mobile Chrome-Browser die Adressleiste automatisch ausblendet, sobald der Nutzer weiter nach unten scrollt. Das ist praktisch und spart Platz auf dem Display ein, ist in diesem Fall aber sehr gefährlich. Scrollt der Nutzer wieder nach oben, blendet die Webseite ihre eigene Leiste ein und kann dank einem ganzseitigen DIV-Overlay sogar verhindern, dass die echte Adressleiste wieder angezeigt wird. Der Nutzer bekommt also die falsche Leiste zu sehen, ohne dies visuell merken zu können.



Daraus ergeben sich nun viele Szenarien: Der Nutzer verwendet die falsche Leiste und surft mit dieser weiter, ohne es zu bemerken. Dank iframes ist es für den Phisher möglich, die aufgerufenen URLs einfach im Container zu laden, sodass selbst die scheinbare Navigation vollständig kontrolliert wird. Ruft der Nutzer nun eine interessante Seite wie etwa das Onlinebanking auf, könnte er einfach auf die gefälschte Seite weitergeleitet werden und die Fake-Adressleiste noch immer die echte URL anzeigen.

Natürlich benötigt das eine perfekte Umsetzung dieser Leiste mit vielen kleinen Details und vielleicht auch Zusatzfunktionen, aber durch die Schwere dieser Methode dürfte das für die Phisher lohnenswert sein. Durch die Erkennung des Inkognito Modus und anderen Möglichkeiten, lässt sich die Leiste perfekt umsetzen, ohne dass der Nutzer den Austausch bemerkt. Wie Google, und auch andere Browserhersteller, diese Methode verhindern könnten, lässt sich schwer sagen. Die beste Möglichkeit wäre es, das Ausblenden der Leiste zu deaktivieren – zum Schaden aller Nutzer.

Wer möchte, kann sich unter folgendem Link eine Demoseite ansehen, auf der der Entwickler diese Methode umgesetzt hat und die potenzielle Gefahr demonstrieren möchte. Die Umsetzung ist nicht perfekt und im aktuellen Stadium noch erkennbar, aber das kann sich wie bereits gesagt schnell ändern. Aktuell wird die Methode wohl noch nicht ausgenutzt, dennoch sollten sich die mobilen Browserhersteller nun schleunigst etwas einfallen lassen.

» Demoseite (mit Chrome für Android aufrufen)

[AndroidPolice]




Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 3 Kommentare zum Thema "Achtung: Neue Phishing-Methode ‚Inception Bar‘ fälscht die Adressleiste des mobilen Browsers (Video + Demo)"

  • Eine Möglichkeit wäre die Leiste des Browsers unter Zwang anpassbar zu machen.
    Bei der PGP Software Mailvelope zum Beispiel legt man einen Hintergrund aus Symbolen in Farbe und Drehung der Symbole fest. Der Angreifer kann das nicht auslesen.

  • Das fällt doch auf: es wird nur ein Bild oben hin gehangen, wenn man ganz nach oben scrollt ist die eigentliche Leiste da. Am ehesten fiel es mir auf weil plötzlich das Home-icon und ich plötzlich nur 26 Tabs habe statt meiner eigentlichen 56.

    • Aktuell ist es auch noch „schlecht“ umgesetzt, ist ja auch nur eine Demo. Bis auf die Tab-Anzeige lässt sich aber alles aushebeln.

Kommentare sind geschlossen.