medienkompetenz-lernplattform/backend/lessons/configs/browser-in-browser-attack.yaml

lessonKey: "browser-in-browser-attack"
title: "Browser-in-the-Browser (BitB) Angriff"
description: "Lernen Sie, ausgeklügelte Phishing-Angriffe zu erkennen, die legitime Browserfenster nachahmen"
difficultyLevel: "advanced"
estimatedDuration: 25
module: "browser-in-browser-attack"

steps:
  - id: "intro"
    type: "content"
    title: "Was ist Browser-in-the-Browser?"
    content: |
      Browser-in-the-Browser (BitB) ist eine fortgeschrittene Phishing-Technik, die ein gefälschtes Browserfenster innerhalb einer Webseite erstellt. Sie ist darauf ausgelegt, Benutzer dazu zu bringen, zu glauben, sie würden mit einem legitimen OAuth/SSO-Login-Popup interagieren.

      Warum es gefährlich ist:
      • Sieht identisch aus wie echte Browser-Popup-Fenster
      • Zeigt eine gefälschte Adressleiste mit HTTPS-Schloss-Symbol
      • Imitiert vertrauenswürdige Dienste (Google, Microsoft, Facebook)
      • Kann Anmeldedaten auch von sicherheitsbewussten Benutzern stehlen
      • Umgeht traditionelle Phishing-Erkennung

      Dieser Angriff wurde 2022 bekannt und wurde in gezielten Angriffen gegen Organisationen eingesetzt.      

  - id: "how-it-works"
    type: "content"
    title: "Wie der Angriff funktioniert"
    content: |
      Traditioneller OAuth-Ablauf:
      1. Benutzer klickt auf "Mit Google anmelden" auf einer Website
      2. Browser öffnet ein ECHTES Popup zu google.com
      3. Benutzer gibt Anmeldedaten auf der tatsächlichen Google-Seite ein
      4. Google leitet mit Authentifizierungstoken zurück

      BitB-Angriff-Ablauf:
      1. Benutzer klickt auf "Mit Google anmelden" auf bösartiger Seite
      2. Seite erstellt ein GEFÄLSCHTES Popup mit HTML/CSS/JavaScript
      3. Gefälschtes Popup zeigt gefälschte Adressleiste mit "accounts.google.com"
      4. Benutzer gibt Anmeldedaten auf der gefälschten Seite des Angreifers ein
      5. Angreifer erfasst Anmeldedaten und simuliert Erfolg

      Das gesamte "Browserfenster" ist eigentlich nur HTML-Elemente, die so gestaltet sind, dass sie wie ein Browser aussehen!      

  - id: "bitb-demo"
    type: "interactive"
    title: "Interaktive BitB-Demo"
    interactiveComponent: "BitBDemo"
    content: |
      Unten sehen Sie zwei Login-Szenarien. Eines verwendet ein ECHTES Browser-Popup (sicher), und eines verwendet einen BitB-Angriff (bösartig).

      Können Sie die Fälschung erkennen? Achten Sie genau auf die Details!      

  - id: "question-1"
    type: "question"
    questionType: "multiple_choice"
    question: "Was sind die wichtigsten Indikatoren, die helfen können, einen Browser-in-the-Browser-Angriff zu erkennen?"
    options:
      - id: "https-lock"
        text: "Das Vorhandensein von HTTPS und einem Schloss-Symbol in der Adressleiste"
        isCorrect: false
        points: 0
      - id: "window-behavior"
        text: "Das Popup-Fenster kann nicht außerhalb des Hauptbrowserfensters gezogen werden"
        isCorrect: true
        points: 20
      - id: "inspect-element"
        text: "Rechtsklick ermöglicht 'Element untersuchen' auf der Adressleiste"
        isCorrect: true
        points: 20
      - id: "domain-name"
        text: "Der in der Adressleiste angezeigte Domainname"
        isCorrect: false
        points: 0
    maxPoints: 40
    feedback:
      correct: "Ausgezeichnet! Echte Browserfenster können überall hin bewegt werden und ihre Benutzeroberfläche kann nicht als HTML-Elemente untersucht werden."
      incorrect: "Denken Sie darüber nach, was ein echtes Browserfenster von HTML/CSS-Elementen auf einer Webseite unterscheidet. Das Schloss-Symbol und die Domain können beide gefälscht werden!"

  - id: "detection-techniques"
    type: "content"
    title: "BitB-Angriffe erkennen"
    content: |
      Wie man einen Browser-in-the-Browser-Angriff erkennt:

      1. **Versuchen Sie, das Fenster zu ziehen**
         • Echte Popups können außerhalb des Browsers gezogen werden
         • Gefälschte Popups sind im Hauptfenster gefangen

      2. **Prüfen Sie, ob die Adressleiste auswählbar ist**
         • Echte Adressleisten: Text ist auswählbar
         • Gefälschte Adressleisten: normalerweise nur ein Bild oder gestyltes div

      3. **Klicken Sie mit der rechten Maustaste auf die Adressleiste**
         • Echter Browser: keine "Element untersuchen"-Option
         • Gefälschter Browser: zeigt HTML-Inspektionsmenü

      4. **Achten Sie auf pixelgenaue Details**
         • Gefälschte Fenster können leichte Styling-Unterschiede haben
         • Schatteneffekte, Schriftarten oder Abstände könnten abweichen

      5. **Überprüfen Sie die Taskleiste Ihres Browsers**
         • Echte Popups erscheinen als separate Fenster in der Taskleiste
         • Gefälschte Popups erstellen keine neuen Fenstereinträge

      6. **Verwenden Sie Browser-Erweiterungen**
         • Einige Erweiterungen können gefälschte Browser-Benutzeroberflächen erkennen      

  - id: "question-2"
    type: "question"
    questionType: "single_choice"
    question: "Eine Website fordert Sie auf, sich 'Mit Microsoft anmelden' und ein Popup erscheint. Was ist der SICHERSTE Ansatz?"
    options:
      - id: "trust-https"
        text: "In der Adressleiste nach HTTPS suchen und fortfahren, wenn vorhanden"
        isCorrect: false
        points: 0
      - id: "test-window"
        text: "Versuchen, das Popup außerhalb des Browserfensters zu ziehen, um zu überprüfen, ob es echt ist"
        isCorrect: true
        points: 35
      - id: "check-domain"
        text: "Den Domainnamen sorgfältig lesen, um sicherzustellen, dass es Microsofts echte Domain ist"
        isCorrect: false
        points: 0
      - id: "close-and-manual"
        text: "Das Popup schließen und manuell zur Microsoft-Seite navigieren"
        isCorrect: false
        points: 10
    maxPoints: 35
    feedback:
      correct: "Perfekt! Zu testen, ob das Fenster außerhalb des Browsers gezogen werden kann, ist die zuverlässigste Schnellprüfung. Obwohl manuelle Navigation auch sehr sicher ist!"
      incorrect: "Während die Überprüfung der Domain hilft, kann sie bei einem BitB-Angriff gefälscht werden. Das physische Verhalten des Fensters (kann es herausgezogen werden?) offenbart die Wahrheit."

  - id: "prevention"
    type: "content"
    title: "Schutz vor BitB-Angriffen"
    content: |
      Für Benutzer:
      • Testen Sie immer, ob Popup-Fenster frei bewegt werden können
      • Verwenden Sie Passwort-Manager (sie prüfen tatsächliche Domains)
      • Aktivieren Sie 2FA/MFA für zusätzliche Sicherheitsebene
      • Seien Sie misstrauisch bei unerwarteten Login-Aufforderungen
      • Navigieren Sie manuell zu Seiten, anstatt auf Links zu klicken

      Für Entwickler:
      • Schulen Sie Benutzer über OAuth-Popup-Verhalten
      • Verwenden Sie OAuth-Redirect-Flow statt Popups, wenn möglich
      • Implementieren Sie zusätzliche Verifizierungsschritte
      • Erwägen Sie passwortlose Authentifizierungsmethoden
      • Zeigen Sie klare Sicherheitsindikatoren in Ihrer App

      Für Organisationen:
      • Schulen Sie Mitarbeiter, fortgeschrittenes Phishing zu erkennen
      • Setzen Sie Anti-Phishing-Browser-Erweiterungen ein
      • Verwenden Sie Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn)
      • Überwachen Sie verdächtige Authentifizierungsversuche
      • Implementieren Sie bedingte Zugriffsrichtlinien      

scoring:
  passingScore: 55
  maxTotalPoints: 75