„in-session phishing“: kein Webbrowser-Bug nötig
Mit dem heutigen Tag fand eine „neue Phishing-Variante“ über einen „weit verbreiteten Browser-Bug“ starke Resonanz in den IT-Nachrichten. Es wird eine nicht näher genannte Funktion in der JavaScript-Engine des Webbrowsers dazu verwendet festzustellen, ob der Webseitenbesucher an einer anderen Webseite angemeldet ist. Daraufhin kann ein Schadcode eine zur Zielseite passende und daher glaubwürdige Meldung einblenden die z.B. zur Eingabe der Nutzerdaten auffordert.
Zuerst enthalten einige dieser Meldungen (1, 2, 3) einen Fehler. Es wird gemeldet, dass die Zielseite manipuliert werden muss. Dass diese Behauptung falsch ist kann auch im originalen Dokument festgestellt werden.
Die Existenz dieses nicht näher genannten JavaScript-Bugs wird als Voraussetzung für diesen Angriff genannt. Dabei gibt es einige mehr (und seit Jahren bekannte) Möglichkeiten wie „protected images“ und „Seitenkanal-Analysen“ um festzustellen, ob jemand auf einer fremden Webseite angemeldet ist. Während dieser Bug bereinigt werden kann, sind diese zwei Methoden nicht so einfach durch ein Update des Webbrowsers zu verhindern sondern müssen von den Webseitenbetreiber behoben werden.
De Möglichkeiten dieser Art von „Phishing“ bestand seit Jahren, jetzt wurden vermutlich nur schlaffende Hunde geweckt. Und auch nach dem Beheben der Lücke in den Webbrowsern wird die Gefahr unvermindert bestehen bleiben.