Nach wie vor haben Hacker großen Erfolg, mit gefälschten Webseiten Login-Daten von bekannten Diensten zu erbeuten. Die Taktik ist einfach: Beispielsweise schickt der Angreifer millionenfach E-Mails an iCloud-Kunden, die auf den ersten Blick wie eine echte E-Mail von Apple aussehen. Darin bittet der Hacker um Anmeldung bei iCloud und liefert in der E-Mail auch einen Link mit. Dieser führt aber nicht auf icloud.com, sondern auf eine eigene Seite des Angreifers. Beachtet der Nutzer nicht die Webseitenadresse und versucht sich auf dieser Internetseite mit seinem echten Nutzernamen und Passwort anzumelden, hat der Hacker die Anmeldedaten erbeutet.


Normalerweise lassen sich solche Versuche recht einfach erkennen, indem man vor der Anmeldung noch einmal genau die Adresse im Web-Browser anschaut. Nur wenn dort der tatsächlich richtige Domain-Name angegeben ist, sollte man mit dem Login fortfahren.

Manipulierte Adresszeile in Safari und Edge
Leider ist es Angreifern möglich, die Adresszeile von Safari für iOS und beim "Microsoft Edge"-Browser zu manipulieren: Über einen Fehler lässt sich ein beliebiger Domain-Name einblenden, obwohl eine völlig andere Webseite geladen wurde. Bei einem Angriff würde der Nutzer tatsächlich "icloud.com" in der Adresszeile sehen, obwohl eine gefälschte Seite des Hackers dargestellt wird.

Um dem Nutzer eine falsche URL zu präsentieren, muss die gefälschte Webseite den Nutzer per Javascript auf die echte Webseite weiterleiten, aber unter Angabe eines nicht existenten Ports. Die gefälschte Webseite bleibt eingeblendet, als Domain-Name findet sich aber die echte Webseite in der Adresszeile wieder. Einzig der sichtbare Ladebalken ist für den Nutzer ein Indiz, dass etwas nicht stimmt.


Microsoft aktualisiert, Apple reagiert nicht
Der Sicherheitsforscher Rafay Baloch meldete den Mangel an Apple und Microsoft und gab den Konzernen 90 Tage Zeit, den Fehler in einem Update zu korrigieren. Microsoft veröffentlichte am 14. August eine Aktualisierung, welche die Lücke aus der Welt schaffte. Bislang reagierte Apple nicht auf den Fehlerbericht von Baloch. Der Sicherheitsforscher hat nun die Informationen zu der Lücke öffentlich gemacht, aber ohne Code-Beispiel. Dies will Baloch publizieren, nachdem Apple die Lücke in einem iOS-Update geschlossen hat.