Neue Phishing-Art: Komplizierter aber erfolgreicher

Sicherheitsexperten haben vor einer neuen Methode gewarnt, mit der Phishing-Angriffe zum Erfolg führen können. Diese wird als In-session Phishing bezeichnet und verspricht mehr Erfolg, als gefälschte E-Mails.

Bisher versandten Angreifer stets große Mengen an E-Mails, die angeblich von einer Bank oder einem Payment-Dienstleister stammten. In diesen waren wiederum Links enthalten, die zu Webseiten führten, die den Originalen Angeboten weitgehend ähnelten. Hier wurden Nutzer aufgefordert, ihre Zugangsdaten einzugeben.


Allerdings hat diese Methode kaum noch Erfolg. Nahezu alle Phishing-Mails werden inzwischen von Spam-Filtern abgefangen. Kommt doch einmal eine hindurch, stehen mit Phishing-Filtern in den Browsern weitere Hürden im Weg. In-session Phishing bringt Kriminelle nun allerdings auf direktem Weg zum Erfolg.

Allerdings ist das Verfahren etwas komplizierter. Der Angreifer muss sich dazu in die Webseite des jeweiligen Betreibers hacken. Dort hinterlässt er Code, der ein Popup öffnet. Dieses kann beispielsweise einem echten Sicherheitshinweis einer Banking-Seite nachempfunden sein und zur Eingabe der Zugangsdaten auffordern.

Damit der Trick nicht auffällt, kann die Abfrage so in die Webseite eingebunden werden, dass der Anwender nach dem angeblichen Login wirklich mit seinen Daten Zugriff auf seinen Account bekommt. Dafür muss der Angreifer allerdings die Authentifizierung von Webseiten untereinander umgehen.

Möglich ist dies durch eine JavaScript-Funktion, die sich täuschen lässt, so der Sicherheitsexperte Amit Klein von der Firma Trustee. Das Problem ist in den JavaScript-Engines aller Browser enthalten. Die Hersteller habe man bereits unterrichtet, Patches seien demnächst zu erwarten.

Die Methode ist laut Klein nicht bei allen Anbietern anwendbar. Allerdings gebe es genügend Webseiten von Banken und anderen Dienstleistern, die auf diese Weise angreifbar sind.