Firefox & Opera für Phishing via Data-URI anfällig

Internet, Spam, Betrug, Phishing, Abzocke Bildquelle: betacontinua / Flickr
Henning Klevjer, ein Student der Universität von Oslo in Norwegen, hat eine Methode entdeckt, mit der Kriminelle einem Nutzer Phishing-Seiten unterjubeln können. Die einschlägigen Schutzmaßnahmen lassen sich damit unterlaufen - zumindest auf den Browsern Firefox und Opera, deren Anbieter hier einen Fix entwickeln müssten.
Die Phishing-Seite muss dafür nicht mehr auf einem eigenen Server gehostet werden, der schnell Gefahr läuft, von Behörden und Unternehmen stillgelegt zu werden. Statt dessen lassen sich mit manipulierten Seiten einfach seriöse Angebote überschreiben. Dafür nutzte der Student die so genannten Data URIs.

Über diese lassen sich Daten einfacher in HTML-Quellcode einbetten als über die bisher meist eingesetzten Methoden wie MIME. Grundsätzlich können diese Daten wiederum auch HTML-Codes oder Skripte sein, die als String integriert werden. Ein Klick durch den Nutzer genügt, um diese zu aktivieren und die eigentliche Webseite zu überschreiben.

Wegen der begrenzten Größe, die ein Data URI-Objekt haben kann, ist es noch kaum möglich, eine halbwegs komplex und echt wirkende Fake-Seite auf diesem Weg zu platzieren. Durch den Einsatz von Code, der über eine Short-URL nachgeladen wird, lasse sich die Datenmenge allerdings sehr klein halten, so Klevjer.

Wie er ausführte, ist es möglich, die meisten Schutz-Systeme mit dieser Phishing-Methode zu umgehen. Denn diese gleichen in der Regel geladene Seiten mit Blacklisten ab, die schnell aktualisiert werden. Allerdings wird hier nicht direkt eine gefälschte Webseite aufgerufen, sondern fremder Code unter dem Sicherungssystem durchgeschleust. Tests ergaben, dass dies zumindest beim Firefox und bei Opera möglich ist, während Google Chrome und der Internet Explorer einer solchen Attacke widerstanden.

Nach einer ersten Überprüfung des Sachverhalts durch den Security-Dienstleister Sophos warnte dieser davor, dass sich auf diesem Weg auch Java-Applets einschmuggeln lassen. Diese würden wegen der zuletzt aufgetauchten Sicherheitslücken in Java noch weit mehr Risiken eröffnen. Internet, Spam, Betrug, Phishing, Abzocke Internet, Spam, Betrug, Phishing, Abzocke betacontinua / Flickr
Mehr zum Thema: Firefox
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 13:00 Uhr LUOOV Mifree Q8 Smartwatch Wasserdicht Handgelenk Sportuhren für IOS und Android iphone 5c 6s und Huawei Samsung Edge-LG Smartphone(Klettern / Wandern / Laufen / Walking / Camping) []
LUOOV Mifree Q8 Smartwatch Wasserdicht Handgelenk Sportuhren für IOS und Android iphone 5c 6s und Huawei Samsung Edge-LG Smartphone(Klettern / Wandern / Laufen / Walking / Camping) []
Original Amazon-Preis
87,99
Im Preisvergleich ab
?
Blitzangebot-Preis
55,44
Ersparnis zu Amazon 37% oder 32,55
Nur bei Amazon erhältlich

Tipp einsenden