Wie oft haben Sie schon einen Tab geöffnet, um sie dann für ein paar Minuten, Stunden oder sogar über Nacht zu verlassen? Wenn Sie zu diesem Tab zurückkehren, ist es nicht verwunderlich, dass Sie sich erneut anmelden müssen. Wer behält schon den Überblick über den Aktualisierungszeitplan und den Abmelde-Timer jeder Seite? Wir nicht! Diese Art von Verhalten macht Webseiten jedoch anfällig für Tabnapping – und diese Art von Cyberangriff richtet sich gegen Nutzer von Websites, die mit privaten Informationen umgehen, wie E-Mail-Anbieter und Portale sozialer Medien. Tabnapping beruht auf dem Vertrauen der Nutzer in die ihnen vertrauten Websites und auf ihrer Unaufmerksamkeit, vor allem, wenn es um die geöffneten Tabs geht.

Hinweis: Manchmal wird “Tabnapping” auch als “Tabnabbing” geschrieben. Der Begriff “Tabnapping” ist eine Kombination aus “Tab” und “Kidnapping”. Es ist naheliegend, dass “tabnabbing” eine Kombination aus “tab” und “nab” ist. In jedem Fall beziehen sich beide auf dasselbe Schema, und in unserem Fall entscheiden wir uns für die Version “tabnapping”.

Was ist Tabnapping?

Tabnapping ist eine spezielle Art von Exploit und Phishing-Angriff. Beim Tabnapping erstellt der Angreifer Websites, die sich als beliebte Websites ausgeben. Dann überredet der Hacker die Benutzer, ihre Anmeldeinformationen, einschließlich ihrer Kennwörter, an die gefälschte Website zu übermitteln. Oft sehen die gefälschten Websites den echten Websites, die die Benutzer gewohnt sind, so sehr ähnlich, dass sie den Unterschied nicht bemerken. Der Benutzer hält die Website für echt und zögert nicht, seine Anmeldedaten einzugeben, so wie er es immer getan hat.

Der Unterschied zwischen Tabnapping und anderen Arten von Phishing-Angriffen (z. B. Klicken auf einen gefälschten Link in einer E-Mail) besteht darin, dass der Benutzer in der Regel nicht merkt, dass die Registerkarte gefälscht ist. Die gefälschte Anmeldeseite wird in einer Registerkarte geladen, die bereits seit längerer Zeit im Browser geöffnet ist. Die meisten Menschen würden nicht auf die Idee kommen, dass eine Registerkarte, die sie selbst geöffnet haben, übernommen wurde.

Tabnapping-Angriffe sind besonders erfolgreich, wenn der Angreifer die Websites sehen kann, die der Benutzer häufig aufruft – er kann dann die Websites simulieren, bei denen sich der Benutzer regelmäßig anmeldet.

Nehmen wir an, Sie besuchen die Website Ihrer Bank mit der Absicht, sich anzumelden. Sie gehen direkt auf die Anmeldeseite, indem Sie die URL selbst eintippen. Doch dann sind Sie in einer anderen Registerkarte oder einem anderen Fenster mit etwas anderem beschäftigt. Nach einer Stunde oder so klicken Sie wieder auf die Registerkarte der Bank, weil Sie sich anmelden möchten, um Ihre Konten zu überprüfen.

Im Falle eines Tabnapping-Angriffs ist der Browser zu diesem Zeitpunkt bereits auf eine Seite umgeleitet worden, die sich als die Seite der Bank ausgibt. Sie werden jedoch eine Seite sehen, die genauso aussieht wie die Seite der Bank, die Sie schon hundertmal besucht und an diesem Tag geöffnet haben.

Wie funktioniert Tabnapping?

In Browsern können externe Links in neuen Tabs oder Fenstern geöffnet werden, wenn die HTML-HREF-Elemente mit target=_blank-Attributen versehen sind. Leider macht dies die Benutzer anfällig für Tabnapping-Angriffe. Manchmal wird Tabnapping als Designfehler in einigen Browsern angesehen. Während die Browser jedoch nicht absichtlich anfällig für Hacking und Manipulation sind, ist das Design, das Tabnapping ermöglicht, absichtlich.

Nachdem eine Seite geladen wurde und die Registerkarte lange Zeit geöffnet war, können Browser in diesen inaktiven Registerkarten über den Ursprung einer Seite navigieren. Wie das? Das hat mit der Same-Origin-Policy zu tun, einem Online-Sicherheitskonzept. Dies bedeutet, dass ein Browser den Skripten einer Webseite Zugriff auf die Daten einer anderen Webseite gewährt, wenn beide Webseiten denselben Ursprung haben (Hostname, Portnummer und URI-Schema). Der Zweck dieser Richtlinie ist es, bösartige Aktivitäten zu verhindern. Wenn sich ein bösartiges Skript auf der ersten Seite befindet, wird es daran gehindert, sensible Daten von anderen Webseiten zu erhalten. Diese Sicherheitsmaßnahme macht jedoch auch Tabnapping möglich.

Bei einem Angriff sendet der Angreifer eine Webseite mit dem Attribut target=_blank und bettet darin einen bösartigen Link ein. Der Benutzer klickt auf den bösartigen Link, wodurch eine neue Registerkarte geöffnet wird. Dann ändert der Hacker die erste Registerkarte in eine gefälschte Phishing-Seite. Dies gaukelt dem Benutzer vor, dass er sich von seinem Konto abgemeldet hat und sich nun erneut anmelden muss.

Wie Website-Betreiber Tabnapping mit dem Attribut rel=”noopener” verhindern können

Einige Browser verfügen über Erweiterungen oder andere Sicherheitsmaßnahmen zum Schutz vor Tabnapping-Angriffen. Allerdings erlauben nicht alle Browser die Deaktivierung inaktiver Tab-Redirects, da es Fälle gibt, in denen diese legitim sind. Und da Tabnapping nicht sehr häufig vorkommt (aber immer noch wichtig genug ist, um Präventionsmaßnahmen zu ergreifen), wollen die Browserhersteller nicht riskieren, dass ihre Anwendungen um der Sicherheit willen beschädigt werden. Das bedeutet, dass es für einige Browser möglicherweise nie Lösungen oder Patches zur Verhinderung von Tabnapping gibt. Es gibt jedoch immer noch Maßnahmen, die Sie ergreifen können, um diese Art von Angriffen auf Ihre Leser zu verhindern.

Um Tabnapping auf Ihrer Website zu verhindern, fügen Sie das Attribut rel=”noopener” zu jedem Link hinzu, der in einem neuen Tab oder Fenster geöffnet werden soll. WordPress fügt dieses Attribut automatisch für Sie hinzu, wenn Sie einen Link hinzufügen und dann In neuem Tab öffnen auswählen.

Da jedoch rel=”noopener” bei Firefox und einigen älteren Browsern nicht funktioniert, sollten Sie ein weiteres Attribut hinzufügen: rel=”noreferrer”, das WordPress auch zu Links in neuen Tabs hinzufügt, wenn Sie auf dem neuesten Stand sind.

Unabhängig davon, ob Sie WordPress verwenden oder nicht, sollten Ihre Links so aussehen, um Tabnapping zu verhindern:

<a href="https://www.domain.de" rel="naopener noreferrer" target="_blank">meinlintext</a>

Wie Benutzer sich vor Tabnapping schützen können

Die gängigen Browser verfügen in der Regel über eine Art Filter, der sowohl bösartige Websites als auch legitime Websites mit Infektionen aussortiert. Solange die schwarzen Listen dieser Websites aktuell sind, werden Tabnapping-Angriffe wahrscheinlich blockiert. Wenn Sie jemals eine Meldung sehen, dass eine Website, die Sie besuchen wollen, kompromittiert wurde, sollten Sie diese Warnung beherzigen. Das ist kein Scherz.

Benutzer sollten außerdem immer die URL überprüfen, bevor sie ihre Anmeldeinformationen eingeben, insbesondere wenn sie Tabs haben, die schon lange offen sind. Es ist unwahrscheinlich, dass die Angreifer in der Lage sind, die URL der legitimen Website zu fälschen, so dass dies ein eindeutiger Hinweis darauf sein kann, dass es sich um eine Fälschung handelt. Schließen Sie die Registerkarte sofort, wenn die URL eine rote Flagge zeigt. Tippen, klicken oder interagieren Sie nicht. Schließen Sie sie einfach.

Passwort-Manager sind ebenfalls hilfreich. Wenn Ihre Anmeldedaten mit der legitimen Website verknüpft sind, sollten sie nur angezeigt werden, wenn Sie sich auf der tatsächlichen Website befinden – nicht, wenn Sie auf einer gefälschten Website sind, die ähnlich aussieht. Passwort-Manager koordinieren sich mit der URL, nicht mit dem Firmennamen. Wenn Sie die Anmeldedaten nicht sehen, schließen Sie die Registerkarte und beginnen Sie von vorn.

Andere Arten von Browser-Hijacking-Bedrohungen

Tabnapping ist nicht die einzige Art von Browser-Hijacking-Bedrohung, vor der man sich in Acht nehmen muss. Cyberangreifer haben alle möglichen Wege, um Ihre Klicks zu bekommen und Ihre Daten zu stehlen. Im Allgemeinen handelt es sich bei Browser-Hijacking um Software, die das Verhalten oder die Darstellung eines Browsers verändert und möglicherweise auch Änderungen an den Einstellungen vornimmt. Dies alles geschieht natürlich ohne Ihre Zustimmung.

Auf diese Weise kann der Hacker Einnahmen erzielen, Ihre Daten sammeln und sogar Ihre Tastatureingaben aufzeichnen. Letztendlich können sie Ihre Identität stehlen, wenn sie genügend Informationen sammeln, um ein vollständiges Profil von Ihnen zu erstellen. Zu den Arten von Browser-Hijacking gehören:

  • Adware, die Ihren Browser mit Popup-Werbung überflutet, die pro Klick bezahlt wird. Diese Art von Angriff verlangsamt in der Regel Ihren Computer, weil sie so viele Ressourcen verbraucht.
  • Cookie-Tracking, um zu verfolgen, was Sie online tun. Bösewichte können alles herausfinden, von Ihrem Standort und Ihrer IP-Adresse bis hin zu den Seiten, die Sie aufrufen, und den Suchbegriffen, die Sie eingeben.
  • Umleitung auf gefährliche Webseiten oder Suchmaschinen oder Ersetzung Ihrer Homepage oder Standardsuchmaschine.
  • Spionagesoftware, die Ihre privaten Daten sammelt, die dann auf Datenmärkten gehandelt werden (was oft auch zu Identitätsdiebstahl führt).

Um sich zu schützen, sollten Sie den Zustand Ihres Browsers im Auge behalten und auf die verräterischen Anzeichen eines Hacks achten, wie sie oben beschrieben wurden. Behalten Sie auch die Add-ons, Erweiterungen und Plug-ins Ihres Browsers im Auge. Wenn nach der Installation von Software etwas schief läuft, entfernen Sie es sofort. Außerdem sollten Sie Ihren Browser durch regelmäßiges Reinigen und Löschen des Cache sauber halten. Und natürlich sollten Sie regelmäßig Antiviren-Software verwenden und die Nutzung öffentlicher und/oder ungesicherter Wi-Fi-Verbindungen nach Möglichkeit vermeiden.

Zusammenfassung

Zusammenfassend lässt sich sagen, dass Tabnapping-Angriffe den Benutzern vorgaukeln, dass sie die Registerkarte selbst geöffnet haben und dass die Website nur eine Zeitüberschreitung hatte. Die ursprüngliche Seite verlinkt auf eine zweite Seite, und die zweite Seite kann die ursprüngliche Seite umschreiben und sie durch eine Phishing-Site ersetzen. Da der Benutzer auf der legitimen Seite begonnen hat, ist es unwahrscheinlich, dass er bemerkt, dass es sich um eine Ersatzseite handelt. Das Design der Seite sieht wie das Original aus. Wenn sich der Benutzer auf der “Originalseite” anmeldet, werden seine Anmeldedaten an einen ganz anderen Ort übertragen.

Um sich so gut wie möglich vor Tabnapping zu schützen, sollten Sie sich nie auf einer Registerkarte anmelden, die Sie nicht selbst geöffnet haben. Und selbst wenn Sie glauben, die Registerkarte geöffnet zu haben, sollten Sie sie sicherheitshalber schließen, wenn Sie zu einer Anmeldeseite zurückkehren, nachdem sie eine Zeit lang inaktiv war, und dann zur Website zurückkehren, um eine neue zu öffnen. Überprüfen Sie auch immer die URL. Was andere Browser-Hijacking-Bedrohungen angeht, sollten Sie auf eine gute Browser-Hygiene achten – schränken Sie die von Ihnen verwendete Software ein, leeren Sie regelmäßig den Browser-Cache und investieren Sie in hochwertige Antiviren-Software.