Sicherheit
Phishing 2.0 mit JavaScript
von
Thorsten
Eggeling - 26.03.2013
Per JavaScript können Angreifer Links so manipulieren, dass selbst Profis die Manipulation nicht erkennen. Dadurch werden Nutzer auf Seiten gelockt, die sie besser nicht besuchen sollten.
Phisher und andere Betrüger versuchen ihre Opfer mit unterschiedlichen Methoden auf bösartige Webseiten zu locken, um dort Nutzerdaten abzugreifen oder Schadcode einzuschleusen. Vorsichtige Gemüter prüfen Links daher vorher, indem Sie den Mauszeiger darüber bewegen. Dann sollte der Browser eigentlich die tatsächliche URL in der Statuszeile am unteren Rand des Bildschirms anzeigen. Wenn es sich um eine gekürzte Adresse etwa von bit.ly handelt oder um eine URL, die auf eine suspekte Seite führt, kann man sich dann für oder gegen den Klick auf den Link entscheiden.
Doch nun hat der Entwickler und Blogger Bilawal Hameed laut einem Blogeintrag einen kurzen JavaScript-Code geschrieben, der den Statusleisten-Check unwirksam macht. Mit der folgenden Funktion tauscht er dabei lediglich die href-Attribute der Links aus:
var links = document.links;
for(i in links) {
links[i].onclick = function(){
this.href = ‘http://bit.ly/141nisR’;
};
}Fährt man mit der Maus über einen Link, erscheint in der Statusleiste eine unverfängliche URL. Das Script bewirkt aber, dass ein Klick auf den Link eine andere Adresse öffnet. Wer es selber ausprobieren möchte, findet auf der Seite von Hameed einen Beispiel-Link, der augenscheinlich zu www.paypal.co.uk führt. Ein Klick darauf öffnet jedoch eine ganz andere Seite.
Hacker können mit diesem einfach einzubettenden Script selbst für Profis unerkennbar alle Links manipulieren und so Nutzer heimlich auf falsche Internetseiten locken. Hameed, der die Sicherheitslücke entdeckt hat, beschreibt sie damit als ein neues Werkzeug für Phisher und bezeichnet diesen Angriff als Phishing 2.0.
Hameed hat Mozilla bereits über die Sicherheitslücke informiert. Bisher hat er jedoch noch keine Antwort erhalten. Es gibt aber Gerüchte, dass zumindest Google an einem Fix arbeitet. Bis das Problem in allen Browsern beseitigt ist, sollte man über Links aufgerufene Webseiten besonders sorgfältig prüfen. Sicherheitskritische Websites etwa von Banken sollten Sie in jedem Fall direkt über die gewünschte URL aufrufen oder ein eigenes Lesezeichen verwenden.
Im Zweifelsfall gibt es eine einfache Methode das Script zu umgehen: Klicken Sie mit der rechten Maustaste auf einen Link. Wählen Sie im Kontextmenü „Link in neuem Tab öffnen“ (Firefox und Chrome) beziehungsweise „In neuer Registerkarte öffnen“ (Internet Explorer). Dann wird die im HTML-Code hinterlegte URL aufgerufen, wie Sie in der Statusleiste erscheint.
