PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Fir*fox lädt Phish*r ein



Burgerdri
12.02.07, 21:16
Phisher haben mit dem Fuchs leichtes Spiel

Sicherheitsexperten warnen vor einer Sicherheitslücke im Firefox-Browser, über die Phisher leichtes Spiel haben. Durch eine kleine Änderung der Schreibweise der Internetadresse kann das in den Browser eingebaute Warnsystem ausgetrickst werden. Lediglich das Hinzufügen eines einzigen Zeichens reicht aus, um Firefox eine gefälschte, betrügerische Webseite als vertrauenswürdig und original unterzuschieben.

Ein Strich genügt
Um eine Warnung des Browsers bei einer gefälschten Webseite zu vermeiden, muss der Betrüger nur eine kleine Manipulation an der Internetadresse vornehmen, um den Phishing-Filter in Firefox auszuhebeln. Hinzufügen eines einzelnen zusätzlichen Schrägstrichs ("Slash") reicht dafür bereits aus. Also statt der korrekten Schreibweise "http://www.phishing.seite/bank/confirm/index.html" könnte eine Phishing-Adresse so aussehen: "http://www.phishing.seite/bank//confirm/index.html". Dies würde bereits ausreichen, um dem Phishing-Filter eine Original-Webseite vorzutäuschen.

Listen erkennen die Betrüger

Der Phishing-Filter in Firefox 2.0 bedient sich zweier unterschiedlicher Listen, die von der Suchmaschine Google bereit gestellt werden. Die Erste wird "goog-black-url" genannt und enthält einfach nur die bereits bekannten Internetadressen von Phishing-Seiten und lässt sich mit dem genannten Trick leicht austricksen. Die zweite Liste wird als "goog-black-enchash" bezeichnet und soll eigentlich Variation einer Web-Adresse erkennen können. Doch das funktioniert offenbar nicht in allen Fällen so zuverlässig, wie vom Anwender erwartet. Zudem ist die Verwendung dieser Funktion in Firefox standardmäßig nicht aktiviert.

Update kommt in Kürze
In der neuesten Entwicklerversion ist der Fehler bereits behoben – es wird nicht lange dauern, bis ein Update für den beliebten Browser erscheint. Bis zum Erscheinen des Sicherheitspatches sollten Sie eMails, die scheinbar von Ihrer Bank oder von eBay kommen, sehr sorgfältig überprüfen. Bei eBay lässt sich das recht einfach bewerkstelligen – wenn Sie sich auf der echten eBay-Webseite anmelden, finden Sie die echten eBay-Mails auch dort in Ihrem Postfach. Für Banken gilt: Keine Bank wird Sie per Mail auffordern, Ihre Kontodaten irgendwo im Web anzugeben.

Quelle:
http://oncomputer.t-online.de/c/10/32/90/50/10329050,si=0.html