Phishing ist seit vielen Jahren ein großes Problem im Web, obwohl es von Unternehmen wie Google durch viele Maßnahmen bekämpft wird und die meisten Nutzer mittlerweile auch sensibilisiert sein sollten. Ein Sicherheitsforscher hat nun eine neue Phishing-Methode für den mobilen Chrome-Browser vorgestellt, die durch eine perfekte Umsetzung sehr viele Nutzer täuschen kann und von Google kaum verhindert werden kann. Getauft wurde sie „Inception Bar“.
Das Phishing basiert stets darauf, dass dem Nutzer vorgespielt wird, sich auf einer bestimmten Seite zu befinden und dort Zugangsdaten oder wichtige Informationen wie etwa Kreditkarten-Daten eingeben zu müssen. Solche Webseiten bauen Login-Formulare bis auf kleinste Detail nach und sind rein von der Oberfläche im besten/schlimmsten (wie man es sieht) Fall nicht vom Original zu unterscheiden. Es hilft also nur ein Blick auf die Adressleiste. Wenn es denn die echte ist.
Der Sicherheitsforscher James Fisher hat nun ein neues Konzept vorgestellt, das das Phishing im mobilen Chrome-Browser noch einmal auf ein neues Level hebt. Bei der „Inception Bar“-Methode wird die Adressleiste inklusive der Navigation des Browsers nachgebaut und dem Nutzer statt der echten Adresszeile angezeigt. Dadurch ergibt sich, wie in folgender Animation zu sehen ist, für den Phisher die Möglichkeit, die gesamte Navigation bzw. die vollständige Browsersitzung des Nutzers zu kapern.
Diese Methode macht es sich zunutze, dass der mobile Chrome-Browser die Adressleiste automatisch ausblendet, sobald der Nutzer weiter nach unten scrollt. Das ist praktisch und spart Platz auf dem Display ein, ist in diesem Fall aber sehr gefährlich. Scrollt der Nutzer wieder nach oben, blendet die Webseite ihre eigene Leiste ein und kann dank einem ganzseitigen DIV-Overlay sogar verhindern, dass die echte Adressleiste wieder angezeigt wird. Der Nutzer bekommt also die falsche Leiste zu sehen, ohne dies visuell merken zu können.
Daraus ergeben sich nun viele Szenarien: Der Nutzer verwendet die falsche Leiste und surft mit dieser weiter, ohne es zu bemerken. Dank iframes ist es für den Phisher möglich, die aufgerufenen URLs einfach im Container zu laden, sodass selbst die scheinbare Navigation vollständig kontrolliert wird. Ruft der Nutzer nun eine interessante Seite wie etwa das Onlinebanking auf, könnte er einfach auf die gefälschte Seite weitergeleitet werden und die Fake-Adressleiste noch immer die echte URL anzeigen.
Natürlich benötigt das eine perfekte Umsetzung dieser Leiste mit vielen kleinen Details und vielleicht auch Zusatzfunktionen, aber durch die Schwere dieser Methode dürfte das für die Phisher lohnenswert sein. Durch die Erkennung des Inkognito Modus und anderen Möglichkeiten, lässt sich die Leiste perfekt umsetzen, ohne dass der Nutzer den Austausch bemerkt. Wie Google, und auch andere Browserhersteller, diese Methode verhindern könnten, lässt sich schwer sagen. Die beste Möglichkeit wäre es, das Ausblenden der Leiste zu deaktivieren – zum Schaden aller Nutzer.
Wer möchte, kann sich unter folgendem Link eine Demoseite ansehen, auf der der Entwickler diese Methode umgesetzt hat und die potenzielle Gefahr demonstrieren möchte. Die Umsetzung ist nicht perfekt und im aktuellen Stadium noch erkennbar, aber das kann sich wie bereits gesagt schnell ändern. Aktuell wird die Methode wohl noch nicht ausgenutzt, dennoch sollten sich die mobilen Browserhersteller nun schleunigst etwas einfallen lassen.
» Demoseite (mit Chrome für Android aufrufen)