PHPGangsta - Der praktische PHP Blog

PHP Blog von PHPGangsta


Neue Phishing-Methode: Tabnabbing

with 4 comments

Stellt euch vor, ihr geht auf eine harmlose Webseite: www.flashspiele.de . Dann fällt euch ein, dass ihr noch euren GoogleMail Account prüfen wollt. Tab öffnen und bei GoogleMail einloggen. Dann möchtet ihr noch euren Social-Network-Account checken, ihr öffnet also einen neuen Tab und öffnet www.facebook.com . In der Zwischenzeit ändert die flashspiele.de Seite ihr Favicon auf das Icon von GoogleMail, den Seitentitle auf „Google Email“ und blendet das Google Loginformular ein.

Nachdem ihr nach einer halben Stunde mit Facebook fertig seid, seht ihr in der Browser-Tableiste zwei Google-Tabs, wechselt in den ersten und versucht euch einzuloggen. Durch die verstrichene Zeit habt ihr vergessen, dass ihr gar keinezwei GoogleMail Tabs geöffnet hattet. Nachdem ihr also eure Login-Daten eingegeben habt, loggt der Angreifer (flashspiele.de) euren Usernamen und Passwort und leitet euch auf die richtige GoogleMail Seite weiter. Und schon hat der Angreifer euren Login gestohlen.

Wie kann man das verhindern? Man achtet peinlich genau auf die URLs und lässt sich von Favicon, Titel und Aussehen der Webseite nicht blenden, denn die URL ist das einzig auffällige. Oder aber man deaktiviert Javascript (NoScript), dann wird es für einen Angreifer auch schwerer, aber nicht unmöglich, die Seite auszutauschen während ihr nicht hinschaut. Der Witz ist nämlich, dass der Inhalt ausgetauscht wird während ihr in anderen Tabs beschäftigt seid (das erkennt der Angreifer daran dass das Fenster den Focus verliert (window.onblur).

Damit der Angreifer seine Chancen erhöht prüft er vorher noch mit dem CSS-History-Hack, ob der User überhaupt GoogleMail, Citibank, Twitter etc. benutzt. Wenn der Angreifer weiß, welche Webseiten der User in der Vergangenheit aufgerufen hat, kann er auf ihn abgestimmte Phishing-Seiten präsentieren.

Etwas weiter geht sogar die Prüfung, ob ihr bereits einen anderen GoogleMail Tab offen habt. Normalerweise geht das (natürlich) nicht, aber wenn flashspiele.de bei sich das Bild mail.google.de/img/header.jpg einbinden würde, kann man mittels Javascript messen wie lange es dauert bis es geladen wurde. Sollte bereits ein Google-Mail Tab geöffnet sein, liegt das Bild bereits im Cache/Arbeitsspeicher, und der Zeitunterschied zu einem normalen HTTP-Request ins Internet ist durchaus messbar. Die Chancen steigen, dass ihr bereits einen GoogleMail-Tab geöffnet habt.

Auch ich habe teilweise 15-20 Tabs offen, wenn da plötzlich ein Tab sein Aussehen komplett verändert, würde ich wahrscheinlich drauf hereinfallen, denn man achtet nunmal nicht immer auf die URLs.

Der „Finder“ hat das ganze Tabnabbing genannt, weitere Informationen findet ihr in Aza Raskins Blog.

Aktuell sind alle Browser anfällig und es gibt keinen wirklichen Schutz. Also Augen auf, welche Seiten ihr aufruft!

PS: Hier noch eine tolle Seite, ihr könnt ja mal testen was man so über eure Browser-History herausfinden kann: http://whattheinternetknowsaboutyou.com/top20k

Written by Michael Kliewe

Mai 29th, 2010 at 5:25 pm

Posted in Allgemein

Tagged with , , , ,

4 Responses to 'Neue Phishing-Methode: Tabnabbing'

Subscribe to comments with RSS or TrackBack to 'Neue Phishing-Methode: Tabnabbing'.

  1. Raffiniert. So langsam verstehe ich diejenigen, die Javascript nur auf vertrauenswürdigen Seiten zulassen.

    Chris

    29 Mai 10 at 19:17

  2. wenn man den firefox benutzt, empfehle ich facebook, gmail, etc. mit der extension prism in eine seperate abgespeckte browser instanz zu packen.

    andy

    30 Mai 10 at 13:13

  3. Hinterhaeltige Betrueger warnen per Phishing-e-Mail vor Betrug…

    Die subjektive Wahrnehmung, dass die Internet-Kriminalität in jüngster Vergangenheit sukzessiv zugenommen hat wurde nun durch die Kriminalstatistik für das Jahr 2009 des Bundeskriminalamtes bestätigt. Seit langen wird beobachtet, dass Internet-Kriminel…

    virenschutz.info

    3 Jun 10 at 15:16

  4. Hey, danke für den spannenden Artikel!

    Felix

    5 Jun 10 at 19:00

Leave a Reply

You can add images to your comment by clicking here.