Wichtiger Fenster-Trick verhindert Passwort-Attacken
Angriffe auf Ihre Online-Konten können jederzeit vorkommen. Sie können das mit einem simplen Trick prüfen.
Sogenannte Browser-in-Browser-Attacken werden genutzt, um Nutzern Passwörter zu klauen. Angreifer zeigen Ihnen scheinbar legitime Pop-up-Fenster im Browser an, die Sie dazu auffordern, sich mit Facebook-, Google- oder Microsoft-Konto oder einem anderen Single-Sign-On-Dienst erneut anzumelden.
Der Vorgang ist für Nutzer soweit nicht ungewöhnlich, denn auch wenn man praktisch permanent bei vielen Diensten eingeloggt ist, muss man sich meist nach einer bestimmten Zeit wieder neu anmelden. Dann werden Mail-Adresse, Passwort und manchmal sogar 2FA-Codes abgefragt.
Doch bei den Browser-Attacken wird versucht, genau diese Infos zu stehlen. Wir erklären, wie die Angriffe funktionieren, wie man sie erkennt und abwehren kann.
Der Vorgang ist für Nutzer soweit nicht ungewöhnlich, denn auch wenn man praktisch permanent bei vielen Diensten eingeloggt ist, muss man sich meist nach einer bestimmten Zeit wieder neu anmelden. Dann werden Mail-Adresse, Passwort und manchmal sogar 2FA-Codes abgefragt.
Doch bei den Browser-Attacken wird versucht, genau diese Infos zu stehlen. Wir erklären, wie die Angriffe funktionieren, wie man sie erkennt und abwehren kann.
Bei den Angriffen handelt es sich um eine raffinierte Phishing-Methode. Nutzer sehen innerhalb eines echten Browser-Tabs ein täuschend echt aussehendes, aber gefälschtes Browser-Fenster. Meist wird der Angriff über eine Fake-Webseite losgetreten, auf die Nutzer durch das Anklicken von Links in Chats, E-Mails oder Communities gelangen.
Die erste Schutzmaßnahme ist also uralt: Sie sollten nicht vorschnell irgendwelchen Links folgen. Wenn Sie es doch tun, wird auf einer gefälschten Seite per HTML, CSS und JavaScript ein Fenster gerendert, das exakt wie ein separates Browser-Pop-up aussieht. Dabei wird der Stil von Single-Sign-On-Fenstern wie „Mit Google anmelden“ oder „Über Steam einloggen“ kopiert.
Die erste Schutzmaßnahme ist also uralt: Sie sollten nicht vorschnell irgendwelchen Links folgen. Wenn Sie es doch tun, wird auf einer gefälschten Seite per HTML, CSS und JavaScript ein Fenster gerendert, das exakt wie ein separates Browser-Pop-up aussieht. Dabei wird der Stil von Single-Sign-On-Fenstern wie „Mit Google anmelden“ oder „Über Steam einloggen“ kopiert.
In diesen gefälschten Fenstern wird auch die angezeigte Adressleiste manipuliert, sodass sie etwa die korrekte Adresse für Google-Anmeldungen samt Sicherheits-Schloss-Symbol anzeigt. Geben Nutzer arglos ihre sensiblen Daten wie Benutzernamen und Passwörter ein, werden diese direkt an den Server des Angreifers gesendet statt an den legitimen Dienst.
Aktuelle Trends zeigen, dass diese Methode zwar schon seit ein paar Jahren unterwegs ist, sich aber Anfang 2026 etwa in Gaming-Communities oder bei Facebook und Instagram größerer Beliebtheit erfreut, da die Angreifer ihre Technik auch immer weiter verfeinern. Neu ist zum Beispiel auch die Abfrage von 2FA-Codes durch die Angreifer.
Aktuelle Trends zeigen, dass diese Methode zwar schon seit ein paar Jahren unterwegs ist, sich aber Anfang 2026 etwa in Gaming-Communities oder bei Facebook und Instagram größerer Beliebtheit erfreut, da die Angreifer ihre Technik auch immer weiter verfeinern. Neu ist zum Beispiel auch die Abfrage von 2FA-Codes durch die Angreifer.
Ein kritischer Blick auf die URL reicht also nicht mehr aus, um sich zu schützen. Sie können aber das technische Wissen um den Angriff nutzen, um Attacken zu enttarnen, denn die Fake-Fenster sind keine echten Browser-Fenster. Es gibt zwei effektive Tests, um ein echtes von einem gefälschten Fenster zu unterscheiden.
- Verschiebe-Test: Man versucht dabei, das Login-Fenster mit der Maus über den Rand des eigentlichen Browser-Fensters hinaus zu verschieben. Ein echtes Fenster lässt sich frei auf dem gesamten Bildschirm bewegen, während ein Fake-Fenster im Browser-Tab gefangen ist und am Rand abgeschnitten wird oder verschwindet, sobald man es aus dem Hauptfenster bewegen möchte.
- Minimieren-Test: Wenn man das Hauptfenster des Browsers minimiert, verschwindet das gefälschte Login-Fenster mit ihm, weil es ein integraler Bestandteil der Webseite ist. Ein echtes Pop-up-Fenster hingegen bleibt als separates Element bestehen.
Hier zeigt sich wieder einmal, wie unverzichtbar Passwortmanager sind. Haben Sie dort Login-Daten abgespeichert, erkennt ein Passwortmanager wie Bitwarden die tatsächliche Domain im Hintergrund. Zugangsdaten werden in den gefälschten Fenstern also nicht automatisch ausgefüllt.
Bei einem anderen Tipp sollten Sie vorsichtig sein. Oft wird geraten, im Zweifelsfall absichtlich ein falsches Passwort einzutippen. Die Idee ist, dass die Diebe dann falsche Zugangsdaten stehlen und es nicht merken. In diesem Fall reagiert die Seite nicht mit einer Fehlermeldung, obwohl Sie ein falsches Passwort angegeben haben.
Das Problem: Verlassen Sie sich nicht darauf, dass Angreifer das falsche Passwort nicht bemerken. Fortgeschrittene Phishing-Kits können Ihre Eingabe in Millisekunden an die echte Login-Seite weiterleiten. Wenn die echte Seite den Fehler meldet, könnte der Angreifer diese Meldung an Sie durchreichen.
Bei einem anderen Tipp sollten Sie vorsichtig sein. Oft wird geraten, im Zweifelsfall absichtlich ein falsches Passwort einzutippen. Die Idee ist, dass die Diebe dann falsche Zugangsdaten stehlen und es nicht merken. In diesem Fall reagiert die Seite nicht mit einer Fehlermeldung, obwohl Sie ein falsches Passwort angegeben haben.
Das Problem: Verlassen Sie sich nicht darauf, dass Angreifer das falsche Passwort nicht bemerken. Fortgeschrittene Phishing-Kits können Ihre Eingabe in Millisekunden an die echte Login-Seite weiterleiten. Wenn die echte Seite den Fehler meldet, könnte der Angreifer diese Meldung an Sie durchreichen.
Quelle: Chip
WhatsApp plant Cloud-Revolution für die Chat-Backups
Entsperrmuster und PIN vergessen: So entsperrt man das Smartphone
Android: Apps im Hintergrund schließen – so geht's (und darum solltet ihr es nicht tun)
WhatsApp legt nach: Zwei neue Funktionen starten jetzt
Google rechnet Android-Backups auf Cloud-Speicher an
Google Play Store: Diese neuen Widgets sind für den Homescreen geplant
Android-Backups lassen sich künftig genauer steuern
Schlüsselsymbol auf dem Handy? Das sollten Sie jetzt sofort prüfen
Neuer Schutz in Android 17: Wer die PIN 20 Mal falsch eingibt, wird dauerhaft ausgesperrt
Hitze-Koller vermeiden: Der Router muss an die frische Luft
