NERDMANForscher klauen Windows-Passwörter über den Browser
Seit zwei Jahren kennen Sicherheitsforscher eine Phishing-Technik, die Windows-Passwörter direkt über den Browser abgreift. Gepatcht hat das bis heute niemand.
Was passiert ist
Ein Forscherteam hat eine Methode demonstriert, mit der Angreifer Windows-Zugangsdaten über den Browser stehlen können. Die Technik nutzt bekannte Mechanismen — aber kombiniert sie so geschickt, dass Nutzer kaum eine Chance haben, den Angriff zu erkennen. Betroffen ist unter anderem Firefox.
Die Fakten
- Entdeckt:** Vor über zwei Jahren
- Patch:** Keiner. Weder von Microsoft noch von Browser-Herstellern.
- Angriffstyp:** Phishing — Nutzer werden auf präparierte Seiten gelockt
- Ziel:** Windows-Passwörter
Was das bedeutet
Zwei Jahre ohne Fix ist kein Versehen, das ist Desinteresse. Solange kein Patch existiert, liegt die Verantwortung komplett beim Nutzer. Wer auf den falschen Link klickt, gibt sein Passwort ab — ohne es zu merken.
Pro (aus Angreifer-Sicht)
- Kein Zero-Day nötig, funktioniert mit bekannten Mechanismen
- Seit zwei Jahren ungepatcht — offenes Scheunentor
- Schwer zu erkennen für normale Nutzer
Con (für alle anderen)
- Kein offizieller Fix in Sicht
- Browser-Hersteller ducken sich weg
- Nutzer können sich kaum schützen außer durch Misstrauen
Wer ist schuld?
Nicht die Forscher. Die haben ihren Job gemacht. Microsoft und die Browser-Hersteller sitzen seit 2024 auf dem Problem. Zwei Jahre sind in der IT-Security keine Grauzone — das ist Arbeitsverweigerung.
