JavaScript Trick nutzt freiwillige Usereingabe für Passwortklau aus!

Daten sollen von den Usern selbst eingegeben werden

Ein paar findigen Leuten ist mal wieder eine nette Idee eingefallen um Daten von Usern abzugreifen! Dafür erstellt man kleine Webseiten, welche angeblich sensible Informationen wie z.B. gehackte Passwörter enthalten. Jetzt ist natürlich der Drang groß die Webseite zu checken, ob das von einem selbst verwendete Passwort sich auch auf dieser Seite befindet, welche die angeblich gehackten Passwörter enthalten! Das Problem an der Sache ist jedoch, dass die angezeigten Passwörter alle sehr durcheinander angezeigt werden und man die Suche benutzen muss, um in den angezeigten Passwörtern zu suchen!

Genau hier ist jedoch die Krux an der Sache! Denn drückt man auf diesen Webseiten die [STRG]+[F] Taste um die Browser-Suche zu  starten, öffnet sich wie gewohnt die Eingabe-Maske für die Suche – jedoch wird diese nicht von der Browser-Software ausgegeben, sondern von der Webseite erzeugt! D.h. man gibt nun in der Suche sein “geheimes” Passwort ein, welches man checken möchte ob dieses auch gehacked worden ist!

So könnte solch eine Websuche aussehen:

 

..und so sieht die Suche normalerweise aus!

 

 

Diese Eingabe durchsucht natürlich ganz normal die Webseite und gibt die Ergebnisse dazu aus! Jedoch wird das gerade eingegebene Passwort in der Datenbank der Hacker gespeichert! Jetzt kommt der nächste Schritt! Ein Passwort alleine bringt noch nichts, wenn man keinen Benutzernamen oder eine Emailadresse hat, welcher das Passwort hinzugeordnet werden kann! Daher wird dem User nun einfach angeboten sich in einem Newsletter einzutragen, um ständig über aktuelle Sicherheitslücken informiert zu werden!

BINGO!! Genau nun hat der Hacker alle Daten welche er benötigt! So einfach kann Hacken sein! ;)

Was lernen wir daraus?! Zweimal gucken, wo man seine Daten eingibt und derzeit besser nicht die Tastenkombination [STRG]+[F] nutzen um Webseiten nach Inhalte zu durchsuchen! Zumindest dann, wenn es sensible Daten betrifft! Alternativ kann man bei allen Browsern die Suche auch über die Oberfläche auslösen, welche dann sicher ist!


Tags:

  • statt user eingabe passwort
Die mobile Version verlassen