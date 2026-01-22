Täuschend echte Login-Fenster im Browser rauben Passwörter und umgehen sogar Zwei-Faktor-Schutz. Die Betrugswelle nimmt zu – doch es gibt einfache Tricks zur Entlarvung.

Browser-in-Browser-Attacken haben sich zu einer raffinierten Methode entwickelt, mit der Cyberkriminelle Passwörter und sensible Daten erbeuten. Diese Phishing-Variante täuscht Nutzer durch gefälschte Login-Fenster, die sich von echten Browser-Popups kaum unterscheiden lassen. Die Angreifer zielen dabei auf Zugangsdaten für Facebook-, Google- oder Microsoft-Konten sowie andere Single-Sign-On-Dienste ab und versuchen zusätzlich, Zwei-Faktor-Authentifizierungscodes abzugreifen.

Obwohl diese Angriffstechnik bereits seit einigen Jahren bekannt ist, verzeichnen Sicherheitsexperten Anfang des Jänners 2026 einen deutlichen Anstieg solcher Attacken, besonders in Gaming-Communities sowie bei Facebook- und Instagram-Nutzern. Die Angreifer haben ihre Methoden kontinuierlich verfeinert und integrieren mittlerweile auch die Abfrage von 2FA-Codes. Die früher empfohlene Überprüfung der URL-Leiste reicht als Schutzmaßnahme nicht mehr aus.

Das Prinzip dieser Attacken basiert auf einer visuellen Täuschung: Innerhalb eines legitimen Browser-Tabs wird ein täuschend echtes, aber gefälschtes Browser-Fenster dargestellt. Der Angriff beginnt typischerweise auf einer präparierten Webseite, zu der Nutzer über Links in Chats, E-Mails oder Online-Communities gelangen. Dort erzeugen die Angreifer mittels HTML, CSS und JavaScript ein virtuelles Fenster, das optisch nicht von einem echten Browser-Popup zu unterscheiden ist.

Effektive Schutzmethoden

Zum Schutz vor diesen Angriffen sollten Internetnutzer grundsätzlich vorsichtig mit Links aus unbekannten Quellen umgehen. Technisches Verständnis der Angriffsmethode hilft, die Fälschungen zu erkennen, da die simulierten Fenster keine eigenständigen Browser-Instanzen sind. Besonders effektiv sind zwei einfache Tests: Beim Verschiebe-Test versucht man, das verdächtige Login-Fenster über den Rand des Hauptbrowsers hinauszuziehen – echte Popups lassen sich frei auf dem gesamten Bildschirm bewegen, während gefälschte Fenster innerhalb des Browser-Tabs verbleiben.

Der Minimieren-Test zeigt ebenfalls Unterschiede: Wird der Hauptbrowser minimiert, verschwindet auch das gefälschte Fenster, während ein echtes Popup sichtbar bleibt.

Zusätzliche Sicherheit

Die Verwendung eines Passwortmanagers wie Bitwarden bietet zusätzlichen Schutz, da diese Programme die tatsächliche Domain im Hintergrund erkennen und Anmeldedaten in gefälschten Fenstern nicht automatisch ausfüllen. Eine weitere Strategie ist, bei Verdacht zunächst ein falsches Passwort einzugeben. Allerdings können fortgeschrittene Phishing-Kits diese Eingabe in Echtzeit an die legitime Login-Seite weiterleiten und die resultierende Fehlermeldung an den Nutzer zurücksenden, wodurch dieser Schutzansatz umgangen werden kann.