Dieses Chrome-Phishing-Kit ist höllisch gruselig
Es war noch nie einfacher, Menschen dazu zu bringen, ihre Zugangsdaten zu übergeben. Wie ein neues Phishing-Toolkit zeigt, lassen sich Single Sign-On (SSO)-Popups in Chrome unglaublich einfach fälschen, und die URL eines Anmeldefelds gibt möglicherweise nicht an, ob eine Website wirklich legitim ist.
Sie wissen, wie Sie sich auf einigen Websites mit Ihrem Google-, Apple-, Facebook- oder Amazon-Konto anmelden können? Das ist ein SSO-Login – es ist eine wertvolle Zeitersparnis, da es die Anzahl der Benutzernamen und Passwörter reduziert, die Sie sich merken müssen.
Hier ist das Problem; Hacker können diese SSO-Fenster perfekt in Chrome replizieren, sogar bis hinunter zur URL. Ein neues Phishing-Kit von dr.d0x, einem Sicherheitsforscher, enthält eine fertige Vorlage, die unerfahrene Hacker oder White Hats verwenden können, um schnell ein überzeugendes SSO-Popup zu erstellen. (Andere Vorlagen kursieren möglicherweise bereits in Hackerkreisen.)
Hacker, die diese gefälschten SSO-Fenster verwenden, werden sie in alle Arten von Websites einbauen. Ein Hacker kann Ihnen beispielsweise eine E-Mail zu Ihrem Dropbox-Konto senden und Sie auffordern, einen bestimmten Link zu besuchen. Dieser Link könnte auf eine gefälschte Dropbox-Webseite mit SSO-Anmeldeoptionen für Google, Apple und Facebook verweisen. Alle Informationen, die Sie in diese gefälschten SSO-Boxen eingeben, wie Ihr Google-Login, werden vom Hacker gesammelt.
Natürlich können Raubkopien von Video-Websites (und andere Websites, die „kostenlose” Inhalte anbieten) das häufigste Ziel für diese gefälschten SSO-Fenster sein. Ein Hacker kann beispielsweise eine Raubkopie-Video-Website erstellen, die eine SSO-Anmeldung erfordert, um Personen effektiv zur Hand zu zwingen über ihre Google- oder Facebook-Anmeldeinformationen.
Zur Klarstellung: dr.d0x hat den SSO- oder Browser-in-Browser-Phishing-Exploit nicht erfunden. Hacker haben vor einigen Jahren damit begonnen, SSO-Anmeldefenster zu fälschen. Dieses Phishing-Kit zeigt einfach, wie solche Exploits funktionieren. Darüber hinaus können Unternehmen dieses Kit verwenden, um die Fähigkeit ihrer Mitarbeiter zu testen, Phishing-Schemata zu erkennen.
Es kann schwierig sein, einen Phishing-Angriff zu vermeiden. Ich schlage vor, dass Sie mit der Installation eines Passwort-Managers beginnen, der häufig Phishing-Versuche erkennen kann und Ihnen hilft, eindeutige Anmeldeinformationen für jede Website zu verwenden (was den Schaden durch einen erfolgreichen Phishing-Angriff verringert). Sie sollten auch vermeiden, Links in E-Mails oder Textnachrichten zu öffnen, selbst wenn sie seriös oder legitim aussehen.
Quelle: mr.d0x über BleepingComputer