Haben Sie schon einmal von einer sogenannten Browser-in-a-Browser-Attacke gehört? Dabei handelt es sich um eine findige Phishing-Methode, mit der Hacker vermehrt versuchen, Ihre Passwörter zu ergattern und sich somit Zugang zu den entsprechenden IT-Systemen zu verschaffen. Doch was erst einmal recht simpel klingt, erfordert dann doch etwas mehr Erklärung für das vollkommene Verständnis.
Was ist eine Browser-in-a-Browser-Attacke?
Über Phishing und Möglichkeiten für funktionierende Phishing-Angriffe haben wir mittlerweile schon mehr als einmal berichtet. Phishing ist und bleibt nach wie vor ein großes Thema, insbesondere in kleinen und mittelständischen Unternehmen. Dort sind Mitarbeiter ziemlich häufig nicht ausreichend geschult und bieten demnach die größten Chancen, Phishing als Angriffstor für etwaige Attacken auf die IT-Infrastruktur zu nutzen.
Doch wie passt da die Browser-in-a-Browser-Attacke ins Bild und was genau ist damit überhaupt gemeint? Eine Browser-in-a-Browser-Attacke, die übrigens oft auch einfach als BITB oder BITB-Angriff bezeichnet wird, ist eine Attacke, die einen Browser im Browser vortäuscht. Klingt wirklich merkwürdig, ist aber eigentlich ganz einfach und dennoch ziemlich clever.
Die Browser-in-a-Browser-Attacke täuscht nämlich vor, dass es ein zusätzliches Browser-Fenster gibt. Und zwar indem sie selbiges auf der Website selbst darstellt. Nämlich als eine Art von Pop-up, welches täuschend echt wirkt und eben ganz genauso wie ein Browser-Fenster aussieht. Doch schauen wir uns das noch einmal genauer an.
Funktionsweise der Browser-in-a-Browser-Attacke
Der Sicherheitsforscher, der die Möglichkeit publik machte (zu seiner Person später mehr) stellte ein Beispiel vor, in welchem er auf das OAuth-Anmeldeverfahren baute. Um sich damit einzuloggen, muss kein neuer Account erstellt werden. Vielmehr nutzen User einen bestehenden Account, beispielsweise einen von Google oder Facebook. Das allerdings kann gefährlich sein, wie die Browser-in-a-Browser-Attacke zeigt.
Nach dem Klick öffnet sich für das Login nämlich ein neues Browser-Fenster und genau dieses Fenster kann gefälscht werden. Wenn es geschickt gemacht ist, unterscheidet es sich zudem kaum vom Original. Zwar bekommen solche OAuth-Logins bei dem Original einen entsprechenden Token von Google und Co, doch den braucht der Hacker in solch einem Fall natürlich gar nicht.
Vielmehr wird nur das Formular originalgetreu nachgebaut. Das geht dann sogar so weit, dass auch die Google URL mitsamt Sicherheitsschloss für HTTPS simuliert wird. Es scheint also so, als wäre der Login auf der Website ein legitimer. In Wahrheit aber ist es ein Phishing-Versuch, um entsprechende Passwörter und Nutzernamen abzugreifen.
Wie das genau aussieht, zeigt ein Artikel auf dem Blog von mr.d0x, der übrigens ein Infosec-Forscher und Pentester ist. Einfach mal reinschauen, dort ist auch ein Beispiel in Bewegtbild zu sehen. Wirklich interessant, wie täuschend echt das gefälschte Browser-Fenster erscheint.
Schutz vor Browser-in-a-Browser-Attacken
Am wichtigsten ist, wie so oft beim Phishing, zu wissen, dass es solche Attacken überhaupt gibt, besonders in Zeiten von immer ausgeklügelteren Angriffen. Wer weiß, dass solche Fenster ein Fake sein können, kann diese entsprechend prüfen und sich bereits vor dem Login versichern, dass es kein Phishing-Versuch ist und somit keine bösartige Attacke.
Der zweite Punkt ist, dass solche Browser-in-a-Browser-Attacken nur auf Websites möglich sind, auf die der Hacker Zugriff erlangt. Große Websites sollten davon also ausgeschlossen sein. Bei kleineren wäre das aber durchaus denkbar, weshalb derartigen Login-Methoden vielleicht auch nicht überall vertraut werden sollte.
Das Pop-up für den Login ist zudem, anders als beim echten Login von OAuth, kein Browser-Fenster, sondern eben lediglich ein Pop-up. Es existiert also auch nicht als Fenster im System, sondern sieht nur so aus. Da es sich auf der Website öffnet, bemerkt man dies in der Regel nicht und kann selbiges auch verschieben. Es kann aber nicht aus dem Browser geschobene werden, wie das bei einem echten Browser-Fenster möglich wäre, sondern nur innerhalb der Website. Das ist ein klares Indiz für den Fake.
Bei der Browser-in-a-Browser-Attacke lässt sich daher erkennen, dass hier ein Phishing-Angriff stattfindet. Das Problem der Browser-in-a-Browser Attacke ist nur mal wieder, dass Sie diesen Angriff nicht vermuten und daher nicht gesondert auf das Fenster achten oder es gar noch einmal überprüfen.
Fazit
Um erfolgreich eine Browser-in-a-Browser-Attacke durchzuführen, benötigen Hacker Zugriff auf die jeweilige Website. Außerdem lässt sich die Browser-in-a-Browser-Attacke zwar nur schwer erkennen, kann aber auch nicht so einfach genutzt werden, wie es anfangs klingt. Manche Passwort-Manager prüfen die URL und solange Adressen nicht gefälscht werden, muss hier eine andere verwendet werden. Das Passwort wird demnach gar nicht erst automatisch eingetragen. Wenn dann noch eine Zwei-Faktor-Authentifizierung aktiviert ist, hilft den Angreifern das Passwort am Ende auch nichts. Gerade bei Google und Co ist diese oft aktiv, weshalb die Zugänge nicht unbedingt viel bringen. Wenn dann noch Hardware-Token im Einsatz sind, ist der Erfolg fast unmöglich.
Aufklärung sollten Sie in Ihrem Unternehmen aber dennoch leisten. Wann immer ein solches Login vorkommt, sollte er gesondert geprüft werden. Dies ist nicht schwer und allein mit dem Wissen im Hinterkopf, dass es sich um einen Fake handeln könnte, sind Browser-in-a-Browser-Attacke meist problemlos erkennbar.