Facebook Phishing – Mit URL Padding auf Passwörter abgesehen

Sicherheits-Experten von Phishlabs haben eine neue Art eines Facebook Phishing-Angriffs aufgedeckt, die es gezielt auf mobile Benutzer abgesehen hat. Dabei nutzen die Kriminellen eine “URL-Padding-Technik“, die den Anwender auf eine von Kriminellen ausgelegte Phishing-Seite entführt.

Dabei haben es die Bösewichter vornehmlich auf mobile Teilnehmer abgesehen, deren Ansicht auf dem Smartphone verkleinert dargestellt wird. Dieser Umstand auf dem Smartphone ermöglicht es den Kriminellen die echte Domain (Internetadresse) im Browser, durch anfügen von Bindestrichen soweit zu verlängern, dass das angefügte (Phishing) Ziel nicht mehr in der mobilen Ansicht der Browser-Adressleiste zu sehen ist.

PhishLabs zeigt folgendes Beispiel einer gefälschten URL:    

Hxxp: // m.facebook.com ——– validate – step9.rickytaylk [dot] com / sign_in.html

Bild: latesthackingnews.com – URL-Padding-Technik – Ansicht auf einem Smartphone

Wie in der Abbildung zu sehen, zeigt der mobile Browser nur “m.facebook.com” an. Die eigentliche Adresse der Kriminellen “rickytaylk.com” die auch letztendlich geöffnet wird, hängt nicht sichtbar hinter den endlos scheinenden Bindestrichen.

Mit diesem Trick werden in der Regel nur unaufmerksame Anwender getäuscht. Dennoch sollte man gut aufpassen, da die Phishingseiten der Kriminellen den originalen Login-Seiten kaum noch zu unterscheiden sind. Dort eingegebene Zugangsdaten werden direkt in die Hände der Kriminellen gespielt.

Beitrag: Blick schärfen – Spam und Phishing-Mails richtig erkennen

Laut den Experten wird die “URL-Padding-Technik” nicht nur bei der Facebook Community eingesetzt, auch Adressen von der Apple iCloud, Comcast, Craigslist und OfferUp werden für diesen Phishing-Trick missbraucht.

Bild: bleepingcomputer.com – Beispiele der URL-Padding-Technik

Wie können Sie sich vor diesem “URL-Padding-Technik” schützen?

  • Seien Sie kritisch beim Lesen dubioser E-Mails und deren Anhänge, auch wenn Sie persönlich angesprochen werden. Sehen Sie davon ab, Webseiten und Dienste über Links und Buttons aus gesendeten Nachrichten zu klicken.
  • Lassen Sie sich nicht von falschen Internetseiten oder Zertifikaten blenden, wenn diese so gar nichts mit dem eigentlichen Dienst zu tun haben. Geben Sie niemals auf hinter Links befindlichen Webseiten persönliche Daten weiter.
  • Wenn Sie sich der Echtheit der Webseite nicht sicher sind, rufen Sie die entsprechende Seite manuell im Browser auf.
  • Ändern Sie zeitnah alle Passwörter auf den Seiten, welche Sie auf der Phishing-Seite verwendet haben (Email-Adresse bzw. Facebook)