Wichtiger Fenster-Trick verhindert Passwort-Attacken
Angriffe auf Ihre Online-Konten können jederzeit vorkommen. Sie können das mit einem simplen Trick prüfen.
Sogenannte Browser-in-Browser-Attacken werden genutzt, um Nutzern Passwörter zu klauen. Angreifer zeigen Ihnen scheinbar legitime Pop-up-Fenster im Browser an, die Sie dazu auffordern, sich mit Facebook-, Google- oder Microsoft-Konto oder einem anderen Single-Sign-On-Dienst erneut anzumelden.
Der Vorgang ist für Nutzer soweit nicht ungewöhnlich, denn auch wenn man praktisch permanent bei vielen Diensten eingeloggt ist, muss man sich meist nach einer bestimmten Zeit wieder neu anmelden. Dann werden Mail-Adresse, Passwort und manchmal sogar 2FA-Codes abgefragt.
Doch bei den Browser-Attacken wird versucht, genau diese Infos zu stehlen. Wir erklären, wie die Angriffe funktionieren, wie man sie erkennt und abwehren kann.
Der Vorgang ist für Nutzer soweit nicht ungewöhnlich, denn auch wenn man praktisch permanent bei vielen Diensten eingeloggt ist, muss man sich meist nach einer bestimmten Zeit wieder neu anmelden. Dann werden Mail-Adresse, Passwort und manchmal sogar 2FA-Codes abgefragt.
Doch bei den Browser-Attacken wird versucht, genau diese Infos zu stehlen. Wir erklären, wie die Angriffe funktionieren, wie man sie erkennt und abwehren kann.
Bei den Angriffen handelt es sich um eine raffinierte Phishing-Methode. Nutzer sehen innerhalb eines echten Browser-Tabs ein täuschend echt aussehendes, aber gefälschtes Browser-Fenster. Meist wird der Angriff über eine Fake-Webseite losgetreten, auf die Nutzer durch das Anklicken von Links in Chats, E-Mails oder Communities gelangen.
Die erste Schutzmaßnahme ist also uralt: Sie sollten nicht vorschnell irgendwelchen Links folgen. Wenn Sie es doch tun, wird auf einer gefälschten Seite per HTML, CSS und JavaScript ein Fenster gerendert, das exakt wie ein separates Browser-Pop-up aussieht. Dabei wird der Stil von Single-Sign-On-Fenstern wie „Mit Google anmelden“ oder „Über Steam einloggen“ kopiert.
Die erste Schutzmaßnahme ist also uralt: Sie sollten nicht vorschnell irgendwelchen Links folgen. Wenn Sie es doch tun, wird auf einer gefälschten Seite per HTML, CSS und JavaScript ein Fenster gerendert, das exakt wie ein separates Browser-Pop-up aussieht. Dabei wird der Stil von Single-Sign-On-Fenstern wie „Mit Google anmelden“ oder „Über Steam einloggen“ kopiert.
In diesen gefälschten Fenstern wird auch die angezeigte Adressleiste manipuliert, sodass sie etwa die korrekte Adresse für Google-Anmeldungen samt Sicherheits-Schloss-Symbol anzeigt. Geben Nutzer arglos ihre sensiblen Daten wie Benutzernamen und Passwörter ein, werden diese direkt an den Server des Angreifers gesendet statt an den legitimen Dienst.
Aktuelle Trends zeigen, dass diese Methode zwar schon seit ein paar Jahren unterwegs ist, sich aber Anfang 2026 etwa in Gaming-Communities oder bei Facebook und Instagram größerer Beliebtheit erfreut, da die Angreifer ihre Technik auch immer weiter verfeinern. Neu ist zum Beispiel auch die Abfrage von 2FA-Codes durch die Angreifer.
Aktuelle Trends zeigen, dass diese Methode zwar schon seit ein paar Jahren unterwegs ist, sich aber Anfang 2026 etwa in Gaming-Communities oder bei Facebook und Instagram größerer Beliebtheit erfreut, da die Angreifer ihre Technik auch immer weiter verfeinern. Neu ist zum Beispiel auch die Abfrage von 2FA-Codes durch die Angreifer.
Ein kritischer Blick auf die URL reicht also nicht mehr aus, um sich zu schützen. Sie können aber das technische Wissen um den Angriff nutzen, um Attacken zu enttarnen, denn die Fake-Fenster sind keine echten Browser-Fenster. Es gibt zwei effektive Tests, um ein echtes von einem gefälschten Fenster zu unterscheiden.
- Verschiebe-Test: Man versucht dabei, das Login-Fenster mit der Maus über den Rand des eigentlichen Browser-Fensters hinaus zu verschieben. Ein echtes Fenster lässt sich frei auf dem gesamten Bildschirm bewegen, während ein Fake-Fenster im Browser-Tab gefangen ist und am Rand abgeschnitten wird oder verschwindet, sobald man es aus dem Hauptfenster bewegen möchte.
- Minimieren-Test: Wenn man das Hauptfenster des Browsers minimiert, verschwindet das gefälschte Login-Fenster mit ihm, weil es ein integraler Bestandteil der Webseite ist. Ein echtes Pop-up-Fenster hingegen bleibt als separates Element bestehen.
Hier zeigt sich wieder einmal, wie unverzichtbar Passwortmanager sind. Haben Sie dort Login-Daten abgespeichert, erkennt ein Passwortmanager wie Bitwarden die tatsächliche Domain im Hintergrund. Zugangsdaten werden in den gefälschten Fenstern also nicht automatisch ausgefüllt.
Bei einem anderen Tipp sollten Sie vorsichtig sein. Oft wird geraten, im Zweifelsfall absichtlich ein falsches Passwort einzutippen. Die Idee ist, dass die Diebe dann falsche Zugangsdaten stehlen und es nicht merken. In diesem Fall reagiert die Seite nicht mit einer Fehlermeldung, obwohl Sie ein falsches Passwort angegeben haben.
Das Problem: Verlassen Sie sich nicht darauf, dass Angreifer das falsche Passwort nicht bemerken. Fortgeschrittene Phishing-Kits können Ihre Eingabe in Millisekunden an die echte Login-Seite weiterleiten. Wenn die echte Seite den Fehler meldet, könnte der Angreifer diese Meldung an Sie durchreichen.
Bei einem anderen Tipp sollten Sie vorsichtig sein. Oft wird geraten, im Zweifelsfall absichtlich ein falsches Passwort einzutippen. Die Idee ist, dass die Diebe dann falsche Zugangsdaten stehlen und es nicht merken. In diesem Fall reagiert die Seite nicht mit einer Fehlermeldung, obwohl Sie ein falsches Passwort angegeben haben.
Das Problem: Verlassen Sie sich nicht darauf, dass Angreifer das falsche Passwort nicht bemerken. Fortgeschrittene Phishing-Kits können Ihre Eingabe in Millisekunden an die echte Login-Seite weiterleiten. Wenn die echte Seite den Fehler meldet, könnte der Angreifer diese Meldung an Sie durchreichen.
Quelle: Chip
WhatsApp bekommt Logout-Funktion
Sechsstelliger Code beim Login: Das steckt dahinter
WhatsApp-Änderung: Verfügbare Kontakte direkt erkennbar
Wo bitte geht's zum nächsten Schutzraum? Warn-App bekommt Navi-Funktion
Weniger Ruckler im Netz: Vodafone startet „Latenz-Booster“
Früher als der Nachbar jubeln: Mit diesem Trick sehen Vodafone-Kunden Tore bei der WM 2026 als erstes
Große GigaTV-Umstellung: Vodafone tauscht alte TV-Receiver
Vodafone startet Google One
WhatsApp: Neues praktisches Feature für Gruppen-Chats
WhatsApp Plus startet: Diese Funktionen kosten ab jetzt Geld
