Visual Spoofing

Geändert am 22.05.2008
Alle Anbieter moderner Internet-Browser (Internet-Explorer* 7, Firefox 2.0, Opera 9 u.a.) nutzen Bild- oder Schriftsymbole um gesicherte SSL-Verbindungen (»https://...«) im Internet zu kennzeichnen. Am bekanntesten ist das Schloss-Symbol, welches in der Statusleiste oder im Adressfeld bei besonders gesicherten Internetverbindungen eingeblendet wird.
Damit wird dem Nutzer ein einfaches und schnell zu erkennendes Hilfsmittel bereitgestellt, wenn er sich zum Beispiel bei seinem Bank-Konto einloggt.
Nur wenige Nutzer wissen aber von der erweiterten Funktion des Schloss-Symbols, denn bei einem Klick (oder Doppelklick) auf dieses kann man sich sehr ausführliche Informationen über die Sicherheits-Zertifikate abrufen und damit den Status der gesicherten Verbindung überprüfen.
Dadurch wird eine sehr hohe Sicherheit im Datenverkehr erreicht. Angreifer haben normalerweise keine Chance, über gesicherte SSL-Verbindungen Daten abzufangen.
Da es aber gerade für die Betrüger von hohem Interesse ist, an genau diese Daten zu kommen, benutzen sie die Methode des Visual Spoofing. Jeder Internet-Browser hat eine für ihn typische Bedienoberfläche, welche den persönlichen Bedürfnissen angepasst werden kann, aber insbesondere Gelegenheitsnutzer belassen es oft bei den vorgegebenen Standardeinstellungen. Diese Tatsache machen sich Angreifer zu nutze und blenden manipulierte Bedienoberflächen in vorhandene geöffnete Browserfenster ein. Einfache und leicht als Betrug zu erkennende Bedienoberflächen lassen sich durch simple Grafiken einblenden. Viel schwerer zu erkennen sind dagegen Manipulationen durch eingeschleustes JavaScript oder Flash, welches die bekannte Bedienoberfläche nur an wenigen gezielten Stellen verändert.
So kann durchaus eine falsche URL im Adressfeld dargestellt werden, genau so das schon oben genannte Schloss-Symbol oder sogar die eingeblendeten Sicherheits-Zertifikate können über manipulierte Fenster vorgetäuscht werden.
Eine besondere Form des Visual Spoofings mittels Flash oder auch JavaScript ist auf Handelsplattformen wie zum Beispiel bei eBay möglich. In die Artikelbeschreibungen lässt sich derzeit noch problemlos Flash einfügen, welches Einblendungen von Log-In-Seiten ermöglicht. Dabei wird die Ursprungs-URL in der Adresszeile einfach belassen, nur der Bildschirminhalt wird verändert und die Log-In-Daten abgefangen. Obwohl eBay die Verwendung von JavaScript in den Artikelbeschreibungen weitestgehend verboten hat und auch kontrolliert, gelingt es einigen Betrügern aber nach wie vor JavaScript einzufügen und damit Nutzer zu schädigen.
Ein Beispiel für Visual Spoofing bei eBay:

  Von einem Betrüger frisch angemeldetes Mitgliedskonto bei eBay erstellt sofort über 10.000 Angebote.


  Ein beliebiges Beispielangebot aus den über 10.000 Angeboten, hier ohne installierten Flash-Player betrachtet.


  Dasselbe Angebot, dieselbe originale eBay-URL, aber mittels Flash eingeblendetes Log-In-Fenster des Betrügers (Visual Spoof).

Gegenmaßnahmen
  • die Benutzeroberfläche des Internet-Browsers verändern, Symbole anders anordnen oder gegen andere austauschen, zum Beispiel im Internet-Browser Firefox durch andere Themes.
  • SSL-gesicherte Log-In-Seiten von Banken, Kreditkartenunter- nehmen oder Handelsplattformen nur über die vorher gespeicherten Lesezeichen (Favoriten) aufrufen und niemals derartigen Links in E-Mails vertrauen und auch bei Verlinkungen von anderen Webseiten vorsichtig sein.
  • genau auf den vorderen Teil der URL achten, nur wenn dieser mit »https://...« beginnt (statt einfach »http://...«) ist die Verbindung gesichert.
  • bei geringsten Zweifeln die Sicherheitszertifikate aufrufen und die darin angegebene URL mit der Browser-Adresszeile vergleichen, auf die Gültigkeit des Zertifikates achten und den Hinweis auf eine dem Internet-Browser vertraute Zertifizierungsstelle beachten.
  • JavaScript ausschalten, damit werden aber auch viele Webseiten nur ungenügend dargestellt.
  • keinen Flash-Player installieren, aber dadurch können auch keine Flash-Filme angesehen werden.
  • grundsätzlich ein ständig aktualisiertes Betriebssystem (Microsoft Windows* Update) und einen täglich aktualisierten Virenscanner verwenden.

* Microsoft, Windows und Internet-Explorer sind eingetragene Warenzeichen der Microsoft Corporation.

ZUM SEITENANFANG