Phishing per Autofill: Chrome, Safari, Opera und LastPass betroffen

Browser, die auf Chromium basieren, sowie Safari und einige beliebte Browser-Erweiterungen wie der Passwortmanager LastPass geben über einen Trick mehr Informationen vom Nutzer preis, als dieser auf den ersten Blick erkennt. Der Finne Viljami Kuosmanen, Web-Entwickler und Hacker, hat eine Methode gefunden, um die Autofill-Anwendung in einigen Browsern und Erweiterungen auszutricksen. Dabei lassen sich persönliche Informationen des Nutzers abphishen.

Dazu muss das Opfer auf eine präparierte Webseite gelockt werden und dort einige Informationen in ein Formularfeld eingeben. Beispielsweise unkritische Informationen wie den Namen und die E-Mail-Adresse für eine Newsletter-Anmeldung.

Phishing per Autofill: Chrome, Safari, Opera und LastPass betroffen

Wenn das Opfer zum Ausfüllen der Felder die vom Browser angebotene Autofill-Methode nutzt, schafft es der Trick von Viljami Kuosmanen unbemerkt vom Nutzer weitere Informationen abzugreifen. Hintergrund: Autofill versucht stets, so viele Informationen in so viele Felder wie vorhanden einzutragen. Dazu gehören auch Textboxen, die für den Nutzer unsichtbar sind.

Das Opfer beim Phishing per Autofill sieht nur die Eingabe von zwei unwesentlichen Daten, wie Name und E-Mail-Adresse, während während im Hintergrund weitere Informationen abgegriffen werden, etwa die Adresse, die Telefonnummer oder sogar Kreditkartendaten.

Auf einer Demo-Webseite von Viljami Kuosmanen lässt sich der Angriff auf den Browser nachvollziehen. Den Code dazu hat der Finne auf GitHub bereit gestellt. Chrome-Nutzer sind besonders gefährdet, da der Browser von Google einfach alle Felder ausfüllt und der Benutzer von der Eingabe nichts mitbekommt. Laut Kuosmanen teilt Safari dem Opfer wenigstens mit, welche Informationen in ein Formular eingetragen werden, auch wenn diese nicht sichtbar sind. Firefox ist anscheinend immun gegen die Phising-Attacke, da dort der Anwender jedes Formularfeld manuell anklicken muss.

Persönliche Meinung

Hier gilt es vorsichtig zu sein. Schnell können bei dieser Phishing-Attacke sensible Daten verloren gehen. Als einziger Schutz dient das Abschalten der Autofill-Funktion bei den betroffenen Browsern. Benutzer müssen die Felder dann manuell ausfüllen, wissen dafür aber sicher, wo welche Informationen hinterlegt sind.

Quelle: Heise.de

Kommentar verfassen