Certitude Consulting GmbH
Neuartige Phishing-Methode mit Vollbild-Hijacking entdeckt.
Der Cyber-Security Spezialist Certitude Consulting hat eine neuartige Phishing-Methode entdeckt, die selbst technische Experten täuschen kann. Dabei wird die Vollbildfunktion des Browsers unbemerkt übernommen und deren Phishing-Schutzmaßnahmen vollständig umgangen. Angreifer können mit dieser Methode beispielsweise manipulierte Windows-Sperrbildschirme anzeigen. Certitude empfiehlt Phishing-resistente Authentifizierungsmethoden zu verwenden.
Zusammenfassung (TL; DR):
- Certitude entdeckt eine neuartige Sicherheitslücke, die Phishing Angriffe auf PC Login Daten ermöglicht.
- Browser Hersteller konnten das Problem bislang nicht lösen.
- Certitude empfiehlt Phishing-resistente Authentifizierungsmethoden zu verwenden.
Die zugrundeliegenden Designprobleme wurden bereits vor rund zwei Jahren von Certitude an die beiden großen Browserhersteller (Mozilla und das Chromium-Projekt, die Basis von Chrome, Edge, Opera usw.) gemeldet und die Schwachstellen wurden als solche bestätigt. Da bei der Behebung keine Fortschritte erzielt wurden und bereits ausreichend Zeit zur Lösung eingeräumt wurde, veröffentlicht Certitude die Informationen über diese Angriffsszenarien und gibt Hinweise, wie man sich vor solchen Angriffen bestmöglich schützen kann.
Cookie-Banner als Phishing-Trick
In einem Blogbeitrag beschreibt Certitude, wie die Angreifer durch diese Methode das Opfer zur Preisgabe seiner Windows-Anmeldedaten zu verleiten. Das Vorgehen sieht vor, dass ein ahnungsloses Opfer eine unauffällige Website besucht, die einen Cookie-Banner anzeigt. Nach dem Klicken auf „Akzeptieren“ oder „Ablehnen“ stürzt das System scheinbar ab, die Taskleiste verschwindet, die Benutzeroberfläche reagiert nicht mehr und schließlich erscheint ein Windows-Anmeldebildschirm. Es handelt sich jedoch nicht um den echten Anmeldebildschirm, und das System ist in Wirklichkeit nicht abgestürzt – all dies wurde durch den Phishing-Angriff verursacht. Wenn das Opfer dann sein Windows-Passwort eingibt, gibt es dieses somit an den Angreifer weiter.
Diese Angriffs-Technik nutzt Standard-Technologien, um den Angriff wie einen Systemabsturz aussehen zu lassen. Die Anzeige des Windows-Anmeldebildschirms nicht nur im Browserfenster, sondern die Kontrolle über den gesamten Bildschirm wird mithilfe der „Fullscreen API“ erreicht. Diese API (Programmierschnittstelle) ermöglicht beispielsweise das Ansehen von YouTube oder Netflix im Vollbildmodus. Wenn ein Browser in den Vollbildmodus wechselt, erscheint für einige Sekunden ein kleines Dialogfeld, das darauf hinweist, dass die Website im Vollbildmodus ist. Dies dient der Abwehr von Angriffen wie diesem. Um diese Schutzmaßnahme zu umgehen, wird WebGL genutzt – eine Funktion, die Websites eingeschränkten Zugriff auf die GPU ermöglicht, um 3D-Grafiken im Browser darzustellen. Durch das Rendern bewusst komplexer Szenen wird die GPU stark beansprucht, wodurch Windows für einige Sekunden nicht mehr reagiert. Da die GPU ausgelastet ist und somit die Grafikausgabe auf dem Bildschirm gestoppt wird, erscheint das Vollbilddialogfeld nicht. Kurz darauf wird ein gefälschter Windows-Anmeldebildschirm im Vollbildmodus angezeigt.
Der Windows-Anmeldebildschirm zeigt das Profilbild und den Namen des Benutzers an. Der Angreifer könnte „Google OneTap“ nutzen, um diese Informationen zu sammeln und in den Sperrbildschirm einzubinden, um ihn noch authentischer wirken zu lassen.
Einen gefälschten Windows-Sperrbildschirm anzuzeigen ist ein konkretes Angriffsszenario. Die Technik kann auch für andere Szenarien verwendet werden. Da der gesamte Bildschirm manipuliert wird, sind Phishing-Schutzmaßnahmen, die Warnungen anzeigen oder wichtige URL-Teile hervorheben, wirkungslos.
Certitude warnt Nutzer vor diesem und ähnlichen Angriffen und rät ihnen, ihre Kontosicherheit zu erhöhen. Die wirksamste Gegenmaßnahme wäre die Verwendung einer phishingresistenten Zwei-Faktor-Authentifizierung mit Technologien wie Passkeys, um zu verhindern, dass Angreifer, die ein Passwort gestohlen haben, sich in die Konten des Opfers einloggen können. Konfigurationsänderungen von Browser und Betriebssystem könnten gewisse Angriffsszenarien erschweren oder leichter bemerkbar machen. Weitere Details finden Sie auf unserem Blogpost.
