Thema: Phishen mit Phlash

[SiLæncer]

Phisher haben sich eine neue Masche ausgedacht, um herkömmliche Anti-Phishing-Toolbars und Echtzeitanalysen, wie sie etwa der Internet Explorer 7 bietet, auszutricksen. Dazu fragen die Betrüger Log-in-Daten nicht mehr über herkömliche HTML-Forumlare ab, sondern setzen stattdessen auf Flash-Elemente, in die das Opfer seine Daten eingeben soll. Bislang untersuchen Anti-Phishing-Tools allenfalls HTML- und JavaScript-Code in einer Seite daraufhin, ob er Phishing-Merkmale aufweist. Bei Flash ist dies bislang noch nicht möglich.

Über einen Rechtsklick erkennt der Anwender zwar, dass es sich um einen Flash-Film handelt, in der Regel wird man eine Seite aber nicht daraufhin überprüfen.

Zwar funktioniert auf diesen Flash-Seiten nur das Eingabeformular, während sich alle anderen Links nicht anklicken lassen, dennoch sind die bereits aufgetauchten Seiten so gut gemacht, dass einige Anwender darauf reinfallen werden. Einzige Abhilfe ist, einen Flash-Blocker zu installieren, der verhindert, dass Flash-Filme automatisch starten, etwa das Plug-in FlashBlock für den Firefox .

Siehe dazu auch:

    * Flash Phishing, Blogeintrag von F-Secure
    * Studie: Anti-Phishing-Software schützt nicht zuverlässig, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/83144

[Jürgen]

Es gibt auch schon Flash-Seiten, die eine komplexe Struktur und mehrere (scheinbare oder echte) Eingabe-Boxen enthalten.
Habe ich kürzlich auf 'ner wirklich legalen und sauberen polnischen Seite gesehen.

Also ist ein Flash-Blocker durchaus sinnvoll und dringend anzuraten.