Blog

Was sind BITB-Angriffe?

/ Kategorie: Security Awareness, Threat Intelligence

Die «Produzenten» von Phishing Kampagnen scheinen mit der eigenen Erfolgsrate mittlerweile nicht mehr zufrieden zu sein. Auf jeden Fall haben sie dazugelernt, um es ihren Opfern schwerer zu machen, Phishing E-Mails zu entdecken. Dabei kommt die sogenannte Browser-in-the-browser (BITB) Technik zum Einsatz. Diese wurde zwar bereits im Jahr 2020 erstmals beobachtet, könnte aber aktuell gerade im Begriff sein, Phishing Angriffe auf ein neues «Qualitätsniveau» zu bringen.

Phishing ist eine weit verbreitete Bedrohung, die es schon seit vielen Jahren gibt. Dabei werden verschiedene Social-Engineering-Techniken eingesetzt, um ahnungslose Benutzer dazu zu bringen, auf einen Link zu klicken oder ein Dokument zu öffnen und ihre Anmeldedaten anzugeben. Diese werden dann an den Angreifer gesendet, der sie für böswillige Zwecke verwendet. Bei klassischen Phishing Angriffen wird ein Opfer direkt auf einen gefälschten Anmeldeserver gelotst, damit er dort seine Anmeldeinformationen eingibt. Dies passiert in der Regel über einen Webserver mit einer Fake-Domain, welcher der Zieldomäne sehr ähnlich ist. Die «Qualität» solcher Angriffe reicht dabei von raffiniert bis plump. Auf jeden Fall haben aufmerksame Benutzer beim klassischen Phishing die Möglichkeit, einen solchen Phishing-Angriff anhand der Fake-Domain zu erkennen.

BITB macht viele Social Engineering Angriffe «glaubwürdiger»

Browser-in-the-Browser-Angriffe dagegen sind eine Art der Täuschung, bei der ein Browserfenster innerhalb des Browsers simuliert wird, um eine legitime Domäne vorzutäuschen. Das Prinzip des BITB macht sich die Single Sign-on (SSO) Möglichkeiten zu Nutze, mit denen Anwender zunehmend vertraut sind. Zahlreiche Webservices bieten die Möglichkeit, sich mit bestehenden Accounts (z. B. Google, Microsoft, Facebook, etc.) anzumelden. Dies wird durch das Standard Protokoll Open Authentication oder kurz OAuth ermöglicht. SSO-Popups sind eine gängige Methode zur Authentifizierung bei der Anmeldung. Es ist einfach, ein zumindest vordergründig identisches, bösartiges Popup zu erstellen.

Bei einem BITB-Angriff läuft es ähnlich wie beim gewöhnlichen Phishing, allerdings muss der Angreifer den Benutzer zunächst dazu bringen, eine bösartige oder kompromittierte Seite zu besuchen. Um den Benutzer auf die betrügerische Seite zu locken, versenden die Angreifer in der Regel Links über E-Mails oder Instant-Messaging-Software. Diese Seite enthält einen Iframe, der auf den bösartigen Server verweist, der die Phishing-Seite hostet. Dort erscheint dann das bösartige Popup, das den Benutzer zum Eingeben seiner Daten auffordert.

Durch die BITB-Angriffstechnik können Cyberkriminelle Social-Engineering-Kampagnen noch besser durchführen. Die Opfer müssen zwar zunächst auf einer Phishing-Domain landen, aber viele Benutzer bemerken das nicht und geben ihre Anmeldedaten ein, weil sie das Authentifizierungsfenster sehen.

BITB-Angriffen entgegenwirken

Bislang lernten Anwender, dass sie Phishing Sites anhand von verdächtigen URLs erkennen können. Das funktioniert bei BITB nicht, da zunächst alles legitim wirkt. Allerdings gibt es eine einfache Methode, um zu überprüfen, ob das Authentifizierungs-Popup-Fenster echt oder falsch ist. Dazu muss man lediglich versuchen, das Popup-Fenster aus dem Inhaltsbereich des Browsers herauszuziehen. Wenn das Popup-Fenster gefälscht ist, kann man es nicht aus dem Browserfenster herausziehen und es bleibt am Rand stehen. Legitime Anmelde-Popups erlauben es hingegen, sie freier zu verschieben, da es sich um ein separates Fenster handelt und nicht in der Webseite verankert ist. Man sollte ausserdem in der Lage sein, auf die URL in der Adressleiste zuzugreifen. Unternehmen sollten ihre Mitarbeitenden im Rahmen von Cybersecurity-Schulungen auf die Bedrohung von BITB-Attacken hinweisen und ihnen vermitteln, worauf sie achten sollten, um nicht zum Opfer zu werden.

Zudem kann durch die Nutzung einer Multi-Faktor-Authentifizierung die Sicherheit weiter verbessert werden. Dennoch kann sie von Angreifern umgangen werden, z. B. durch den Einsatz von Malware. Auch der Einsatz von Passwortmanagern kann im speziellen Fall der BITB-Angriffe hilfreich sein. Da es sich bei der Phishing-Seite nicht um ein echtes Browser-Fenster handelt, reagieren Passwort-Manager mit Autovervollständigungsoptionen möglicherweise nicht auf sie und alarmieren den Benutzer, der sich dann wundert, warum die Autovervollständigungsfunktion nicht funktioniert. Dies ist praktisch und verhindert Schlimmeres.

Was hilft noch gegen BITB-Angriffe?

Die beste Art, sich vor BITB-Attacken zu schützen, ist es, die gleichen Methoden anzuwenden wie beim gewöhnlichen Phishing. Dementsprechend sollten Nutzer auf keine Links oder Dateien klicken, die von unbekannten Personen über E-Mail oder Instant Messaging Software verschickt wurden. Falls Zweifel an der Seriosität einer E-Mail bestehen, die angeblich von einem Bekannten oder Kollegen stammt, sollte man diese unter der angegebenen Nummer telefonisch überprüfen und sichergehen, dass sowohl der Absender seriös ist als auch der Link oder die Datei sicher.

Darüber hinaus sind Anti-Phishing-Lösungen ein wesentlicher Bestandteil des Schutzes vor Angriffen. Denn Phishing ist eine der häufigsten Cybercrime-Methoden und kann schwerwiegende Folgen für Unternehmen haben. Die Lösungen sollten es dem Benutzer ermöglichen, die IT-Abteilung oder sogar Anti-Phishing-Organisationen problemlos zu informieren. Auf diese Weise kann schnell reagiert und präventiv gehandelt werden.

Geschulte Mitarbeitende sind der beste Schutz

Phishing-Angriffe sind eine ernsthafte Bedrohung für jede Organisation. Um Ihre Mitarbeitenden vor diesen Angriffen zu schützen, ist es wichtig, sie regelmässig zu schulen und zu sensibilisieren. Durch Sensibilisierungstrainings werden Ihre Mitarbeitenden lernen, wie sie diese Angriffe erkennen und abwehren können. Diese Trainings sind entscheidend, um sicherzustellen, dass Ihre Mitarbeitenden die Sicherheitsrisiken verstehen und wie sie diese vermeiden können.

Zusammen. Sicher.

In den letzten Jahren ist die Zahl der Phishing-Angriffe stark gestiegen. Um die Sicherheit Ihrer Unternehmung zu gewährleisten, ist es wichtig, dass Ihre Mitarbeitenden regelmässig über die neuesten Bedrohungen und Schutzmassnahmen aufgeklärt werden. Gehören entsprechende Trainings bei Ihnen bereits zum Standard? Oder benötigen Sie Unterstützung bei der Planung und Durchführung? Dann kontaktieren Sie uns. Unsere Cybersecurity-Experten helfen Ihnen gerne.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.