So schützen Sie Ihre Website vor Tabnapping und Browser-Hijacking

Wie oft haben Sie einen Tab geöffnet, nur um ihn für ein paar Minuten, Stunden oder sogar über Nacht zu verlassen? Wenn Sie zu dieser Registerkarte zurückkehren, müssen Sie sich nicht unerwartet erneut anmelden. Wer verfolgt schließlich den Aktualisierungszeitplan und den Abmeldetimer jeder Seite? Nicht wir! Diese Art von Verhalten macht Webseiten jedoch anfällig für Tabnapping – und diese Art von Cyberangriff macht Jagd auf Benutzer von Websites, die mit privaten Informationen umgehen, wie z. B. E-Mail-Anbieter und Social-Media-Portale. Tabnapping basiert auf dem Vertrauen eines Benutzers in die Websites, mit denen er vertraut ist, sowie auf seiner Unaufmerksamkeit gegenüber Details, insbesondere wenn es um die geöffneten Registerkarten geht.

Hinweis: Manchmal wird „tabna pp ing“ als „tabna bb ing“ geschrieben. Der Begriff „Tabnapping“ ist eine Kombination aus „tab“ und „kidnapping“. Es liegt nahe, dass „Tabnabbing“ eine Kombination aus „tab“ und „nab“ ist. In beiden Fällen beziehen sich beide auf dasselbe Schema, und in unserem Fall verwenden wir die Version „tabna pp ing“.

Was ist Tabnapping?

Tabnapping ist eine bestimmte Art von Exploit- und Phishing-Angriffen. Beim Tabnapping erstellt der Angreifer Websites, die beliebte Websites imitieren. Dann überredet der Hacker Benutzer, ihre Anmeldeinformationen, einschließlich ihrer Passwörter, an die gefälschte Website zu übermitteln. Oft sehen die gefälschten Websites den echten Websites so ähnlich, wie sie die Benutzer gewohnt sind, dass sie den Unterschied nicht bemerken. Der Benutzer hält die Website für echt und zögert nicht, seine Anmeldeinformationen einzugeben, wie er es immer getan hat.

Was Tabnapping von anderen Arten von Phishing-Angriffen unterscheidet (wie z. B. das Klicken auf einen gefälschten Link in einer E-Mail), ist, dass der Benutzer normalerweise nicht erkennt, dass der Tab gefälscht ist. Die gefälschte Login-Seite lädt in einen Tab, der schon lange im Browser geöffnet ist . Die meisten Leute würden nicht glauben, dass ein Tab, den sie selbst geöffnet haben, übernommen wird.

Tabnapping-Angriffe sind besonders erfolgreich, wenn der Angreifer die Websites sehen kann, die der Benutzer häufig lädt – sie können dann die Websites simulieren, bei denen sich der Benutzer regelmäßig anmeldet.

Angenommen, Sie gehen auf die Website Ihrer Bank, um sich anzumelden. Sie gehen direkt zur Anmeldeseite, indem Sie die URL selbst eingeben. Aber dann werden Sie in einem anderen Tab oder Fenster mit etwas anderem beschäftigt. Nach ungefähr einer Stunde klickst du wieder auf den Bank-Tab, weil du bereit bist, dich anzumelden, um deine Konten zu überprüfen.

Im Falle eines Tabnapping-Angriffs hat der Browser zu diesem Zeitpunkt zu einer Seite navigiert, die sich als die Seite der Bank ausgibt. Aber Sie werden eine Seite sehen, die genauso aussieht wie die Seite der Bank, auf der Sie hundert Mal gewesen sind und die Sie früher an diesem Tag geöffnet haben.

Wie Tabnapping funktioniert

In Browsern können externe Links in neuen Tabs oder Fenstern geöffnet werden, wenn die HTML-HREF-Elemente Target=_blank- Attribute angegeben haben. Leider macht dies Benutzer anfällig für Tabnapping-Angriffe. Manchmal wird Tabnapping in einigen Browsern als Designfehler angesehen. Obwohl die Browser nicht absichtlich anfällig für Hacking und Manipulation sind, ist das Design, das Tabnapping ermöglicht, zweckmäßig.

Nachdem eine Seite geladen wurde und die Registerkarte lange Zeit geöffnet war, können Browser in diesen inaktiven Registerkarten über den Ursprung einer Seite navigieren. Wie? Es hat mit der Same-Origin-Policy zu tun, einem Online-Sicherheitskonzept. Dies ist der Fall, wenn ein Browser Skripten für eine Webseite Zugriff auf Daten von einer anderen Webseite gewährt, wenn beide Webseiten denselben Ursprung haben (Hostname, Portnummer und URI-Schema). Der Zweck der Richtlinie besteht darin, böswillige Aktivitäten zu verhindern . Wenn sich auf der ersten Seite ein schädliches Skript befindet, wird es daran gehindert, vertrauliche Daten von anderen Webseiten zu erhalten. Diese Sicherheitsmaßnahme ermöglicht jedoch auch das Tabnapping.

Bei einem Angriff sendet der Angreifer eine Webseite mit dem Attribut target=_blank und bettet darin einen schädlichen Link ein. Der Benutzer klickt auf den schädlichen Link, wodurch ein neuer Tab geöffnet wird. Dann ändert der Hacker den ersten Tab in eine gefälschte Phishing-Seite. Dadurch wird dem Benutzer vorgegaukelt, er habe sich von seinem Konto abgemeldet und müsse sich erneut anmelden.

Wie Website-Besitzer das Tabnapping mit dem Attribut rel=“noopener“ verhindern können

Einige Browser verfügen über Erweiterungen oder andere Sicherheitsmaßnahmen, die vor Tabnapping-Angriffen schützen. Allerdings erlauben nicht alle Browser das Deaktivieren von Weiterleitungen inaktiver Registerkarten, da es Fälle gibt, in denen sie legitim sind. Und da Tabnapping nicht sehr verbreitet ist (obwohl es für Präventionsmaßnahmen immer noch wichtig genug ist), wollen diese Browseranbieter nicht riskieren, ihre Anwendungen zur Verbesserung der Sicherheit zu beschädigen. Das bedeutet, dass einige Browser möglicherweise nie Lösungen oder Patches haben, um Tabnapping zu verhindern. Es gibt jedoch noch Maßnahmen, die Sie ergreifen können, um diese Art von Angriff auf Ihre Leser zu verhindern.

Um das Tabnapping auf Ihrer Website zu verhindern, fügen Sie das Attribut rel="noopener" zu jedem Link hinzu, der so eingestellt ist, dass er in einem neuen Tab oder Fenster geöffnet wird. WordPress fügt dieses Attribut automatisch für Sie hinzu, wenn Sie einen Link hinzufügen und dann In neuem Tab öffnen auswählen.

Da rel=“noopener“ jedoch nicht auf Firefox und einigen älteren Browsern funktioniert, gibt es ein weiteres Attribut, das Sie hinzufügen sollten: rel=“noreferrer“ , das WordPress auch zu Links in neuen Registerkarten hinzufügt, wenn Sie auf dem neuesten Stand sind.

Unabhängig davon, ob Sie WordPress verwenden oder nicht, sollten Ihre Links so aussehen, um Tabnapping zu verhindern:

Wie Benutzer sich vor Tabnapping schützen können

Die wichtigsten Browser verfügen normalerweise über eine Art Filter, um bösartige Websites sowie legitime Websites mit Infektionen auszusortieren. Solange die Blacklists dieser Seiten aktuell sind, werden Tabnapping-Angriffe wahrscheinlich blockiert. Wenn Sie jemals einen Hinweis sehen, dass eine Website, die Sie aufrufen möchten, kompromittiert wurde, beherzigen Sie diese Warnung. Es ist kein Witz.

Benutzer sollten auch immer die URL überprüfen, bevor sie ihre Anmeldeinformationen eingeben, insbesondere wenn sie Tabs haben, die lange geöffnet sind. Es ist unwahrscheinlich, dass die Angreifer in der Lage sein werden, die URL der legitimen Website zu fälschen, was ein sicheres Zeichen dafür sein kann, dass es sich um eine Fälschung handelt. Schließen Sie den Tab sofort, wenn die URL eine rote Flagge sendet. Nicht tippen, klicken oder interagieren. Schließen Sie es einfach.

Auch Passwort-Manager sind hilfreich. Wenn Ihre Anmeldeinformationen mit der legitimen Website verknüpft sind, sollten sie nur aufgefüllt werden, wenn Sie sich auf der tatsächlichen Website befinden – nicht, wenn Sie sich auf einer gefälschten Website befinden, die ähnlich aussieht. Passwort-Manager koordinieren mit der URL, nicht mit dem Firmennamen. Wenn das Popup-Fenster mit den Anmeldeinformationen nicht angezeigt wird, schließen Sie die Registerkarte und beginnen Sie von vorne.

Andere Arten von Browser-Hijacking-Bedrohungen

Tabnapping ist nicht die einzige Art von Browser-Hijacking-Bedrohung, der Sie sich bewusst sein sollten. Cyberangreifer haben alle möglichen Möglichkeiten, um Ihre Klicks zu erhalten und Ihre Informationen zu stehlen. Im Allgemeinen handelt es sich bei Browser-Hijacking um Software, die das Verhalten oder Aussehen eines Browsers ändert und möglicherweise auch Änderungen an den Einstellungen vornimmt. Dies alles geschieht natürlich ohne Ihre Zustimmung.

Infolgedessen kann der Hacker Einnahmen erzielen, Ihre Daten sammeln und sogar Ihre Tastatureingaben protokollieren. Letztendlich können sie Ihre Identität stehlen, wenn sie genügend Informationen sammeln, um ein vollständiges Profil von Ihnen zu erstellen. Zu den Arten von Browser-Hijacking gehören:

• Adware, die Ihren Browser mit Popup-Werbung überschwemmt, die pro Klick bezahlt wird. Diese Art von Angriff verlangsamt normalerweise Ihren Computer, weil er so viele Ressourcen verbraucht.
• Cookie-Tracking, um Ihre Online-Aktivitäten im Auge zu behalten. Bösewichte können alles herausfinden, von Ihrem Standort und Ihrer IP-Adresse bis hin zu den von Ihnen angezeigten Seiten und dem, wonach Sie suchen.
• Umleitung auf gefährliche Webseiten oder Suchmaschinen oder Ersatz Ihrer Homepage oder Standardsuchmaschine.
• Spyware, die Ihre privaten Daten sammelt, die dann auf Datenmärkten gehandelt werden (was oft auch in Identitätsdiebstahl endet).

Um sich zu verteidigen, achten Sie auf den Zustand Ihres Browsers und achten Sie auf die verräterischen Anzeichen eines Hacks, wie die oben beschriebenen. Behalten Sie auch die Add-Ons, Erweiterungen und Plugins des Browsers im Auge. Wenn nach der Installation von Software etwas schief geht, entfernen Sie es sofort. Sie sollten Ihren Browser auch durch regelmäßige Reinigung und Cache-Löschung sauber halten. Verwenden Sie natürlich regelmäßig Antivirensoftware und vermeiden Sie die Nutzung öffentlicher und/oder ungesicherter WLANs, wann immer dies möglich ist.

Einpacken

Um es noch einmal zusammenzufassen: Tabnapping-Angriffe lassen Benutzer glauben, dass sie den Tab selbst geöffnet haben und dass die Website gerade abgelaufen ist. Die Originalseite verlinkt auf eine zweite Seite, und die zweite Seite kann die Originalseite umschreiben und durch eine Phishing-Site ersetzen. Da der Benutzer auf der legitimen Seite gestartet ist, ist es unwahrscheinlich, dass er bemerkt, dass es sich um einen Ersatz handelt. Das Design der Seite sieht aus wie das Original. Wenn sich der Benutzer auf der „Original“-Seite anmeldet, werden seine Anmeldeinformationen an einen anderen Ort übertragen.

Um sich so gut wie möglich vor Tabnapping zu schützen, melden Sie sich niemals auf einem Tab an, den Sie nicht selbst geöffnet haben. Und selbst wenn Sie denken, dass Sie den Tab geöffnet haben, wenn Sie zu einer Anmeldeseite zurückkehren, nachdem sie eine Weile inaktiv war, schließen Sie sie sicherheitshalber und gehen Sie dann zurück zur Website, um eine neue zu öffnen. Überprüfen Sie auch immer die URL. Wenn es um andere Browser-Hijacking-Bedrohungen geht, praktizieren Sie eine gute Browser-Hygiene – beschränken und achten Sie auf die von Ihnen verwendete Software, löschen Sie regelmäßig den Browser-Cache und investieren Sie in hochwertige Antivirensoftware.

Vielleicht möchten Sie auch unseren Artikel über Cookie-Hijacking lesen und wie Sie es verhindern können.

Hatten Sie jemals Ihren Browser tabnapping? Erzähl uns davon in den Kommentaren!

Vorgestelltes Bild von Legend_art / Shutterstock.com