How can I tell if a login popup is fake if it looks exactly like the real thing?

Try to interact with the popup window as you would a real browser window. Attempt to drag it outside your browser's visible area, right-click on the address bar or window controls, or check if it appears in your operating system's window switcher (Alt+Tab). Fake BitB popups are trapped within the webpage and won't behave like independent windows. Additionally, use your browser's developer tools (F12) to inspect the page structure—fake popups will appear as div or iframe elements in the HTML.

If I've already entered my credentials in a fake popup, what should I do immediately?

Change your password immediately on the legitimate service website by typing the URL directly into your browser. Enable or update two-factor authentication if you haven't already. Check your account's recent activity logs and active sessions, terminating any unfamiliar access. Monitor linked accounts (email, banking, social media) for suspicious activity and consider placing fraud alerts with financial institutions. If business or financial accounts were compromised, report the incident to relevant authorities and your organization's security team.

Are mobile devices vulnerable to Browser-in-Browser attacks?

Yes, mobile browsers are equally vulnerable and potentially more dangerous because mobile interfaces make verification harder. The smaller screen size makes it difficult to distinguish embedded popups from system-level authentication flows, and users cannot easily drag windows or access developer tools. Mobile users should be especially cautious about clicking SSO login buttons on unfamiliar websites and should prefer using dedicated apps with built-in authentication rather than mobile browser-based logins.

Can antivirus software or browser security extensions detect these attacks?

Traditional antivirus software typically cannot detect BitB attacks because they don't involve malware installation—just malicious HTML and JavaScript. However, specialized browser security extensions that monitor for suspicious DOM manipulation, CSP violations, or behavioral anomalies can provide some protection. The most reliable protection remains user awareness and verification techniques like attempting to drag login windows or checking the browser's window manager for legitimate popup instances.

Why do these attacks target SSO and OAuth login flows specifically?

SSO credentials provide attackers access to multiple services through a single compromised account, maximizing their return on effort. Users have been trained to trust SSO popups as secure, making them less suspicious of these authentication flows. Additionally, the legitimate SSO process already involves popup windows and redirects, making fake versions harder to distinguish. Compromising a Google or Microsoft account can give attackers access to email, cloud storage, financial services, and numerous third-party applications simultaneously.

Hohes Risiko Durchschnittlicher Schaden: $3,000 Typische Dauer: 1-3 days

Browser-in-Browser-Angriff: Die unsichtbare Phishing-Bedrohung

Browser-in-Browser (BitB)-Angriffe stellen eine Weiterentwicklung der Phishing-Raffinesse dar, die 2022 besonders prominent wurde. Diese Angriffe erstellen überzeugende gefälschte Browser-Fenster auf legitimen Websites und verleiten Benutzer dazu, Anmeldedaten einzugeben, die angeblich für vertrauenswürdige Dienste wie Google, Microsoft oder Facebook bestimmt sind. Anders als bei traditionellen Phishing-Seiten müssen Opfer keine verdächtigen Links anklicken oder offensichtlich gefälschte Domains besuchen. Stattdessen injizieren diese Angriffe realistisch aussehende Popup-Fenster, die die Single-Sign-On-(SSO)-Authentifizierungsabläufe nachahmen, die Benutzer zu vertrauen gelernt haben. Die Technik nutzt die Vertrautheit von Benutzern mit OAuth- und SSO-Login-Abläufen aus, bei denen das Klicken auf "Mit Google anmelden" oder "Mit Microsoft fortfahren" ein neues Browser-Fenster öffnet. Betrüger rekonstruieren diese Fenster mithilfe von HTML, CSS und JavaScript, die über legitimen Websites positioniert sind – vollständig mit gefälschten Adressleisten, die https:// und den korrekten Domainnamen anzeigen. Cybersecurity-Forschungsunternehmen zufolge haben diese Angriffe eine Erfolgsquote, die 3- bis 4-mal höher ist als traditionelle Phishing, da sie viele Sicherheitsprüfungen umgehen, die Benutzer durchführen. Finanzinstitute, Kryptowährungsplattformen und Enterprise-SaaS-Anwendungen haben erhebliche Incidents mit Credential-Diebstahl durch BitB-Methoden gemeldet. Das Internet Crime Complaint Center des FBI verzeichnete 2023 einen Anstieg von 47 % bei ausgefeilten Phishing-Angriffen, wobei BitB-Techniken in Business-Email-Compromise-Szenarien mit durchschnittlichen Verlusten von 3.000 Euro pro Opfer eingesetzt wurden. Der Angriff ist besonders gefährlich, da er auf jeder kompromittierten oder böswilligen Website bereitgestellt werden kann und das gefälschte Fenster sich unmittelbar nach der Datenerfassung selbst zerstört und minimale forensische Spuren hinterlässt.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Wo melden

Häufige Methoden

• Betrüger betten böswilligen JavaScript-Code auf kompromittierten legitimen Websites ein oder erstellen gefälschte Landing Pages, die mit beliebten Diensten verknüpft erscheinen, und warten darauf, dass Benutzer SSO-Login-Abläufe starten.
• Sie erstellen pixelgenaue Nachbildungen von Authentifizierungs-Popup-Fenstern von Google, Microsoft, Apple oder Facebook mithilfe von HTML und CSS, einschließlich gefälschter Adressleisten, SSL-Schlosssymbole und sogar simulierter Ladeanimationen, die dem echten Login-Erlebnis entsprechen.
• Angreifer positionieren diese gefälschten Fenster als Überlagerungen über der eigentlichen Webseite mittels absoluter Positionierung und hohen z-index-Werten, um sie als echte Browser-Popups und nicht als eingebettete Seitenelemente zu präsentieren.
• Sie implementieren ausgefeilte Erkennungsskripte, die die Benutzerinteraktion überwachen und automatisch das gefälschte Login-Fenster auslösen, wenn Benutzer auf "Anmelden"-Schaltflächen klicken oder auf Features zugreifen, die Authentifizierung erfordern.
• Betrüger erfassen eingegebene Anmeldedaten in Echtzeit durch Tastenanschläge-Protokollierung und Formulareingabe-Abfangung und übertragen die Daten sofort an von Angreifern kontrollierte Server, während sie gefälschte Lade- oder Fehlermeldungen anzeigen.
• Nach dem Credential-Diebstahl entfernen Angreifer das gefälschte Fenster schnell und leiten Benutzer entweder zur legitimen Login-Seite um, um die Authentifizierung abzuschließen (wodurch der Diebstahl verborgen wird), oder zeigen generische Fehlermeldungen an, die Benutzer auffordern, es später erneut zu versuchen.

So erkennen Sie es

Das Login-Popup-Fenster kann nicht außerhalb der Browser-Grenzen gezogen oder unabhängig vom Hauptseiteninhalt verschoben werden, was zeigt, dass es sich um ein eingebettetes HTML-Element und nicht um ein echtes Browser-Fenster handelt.
Das Rechtsklick-Menü auf der Adressleiste, dem Fensterrahmen oder den Minimieren-/Maximieren-Schaltflächen des Popups zeigt das Standard-Webseiten-Kontextmenü statt Browser-spezifischer Optionen oder gar kein Menü.
Die URL in der Adressleiste des Popups ändert sich nicht, wenn Sie versuchen, sie zu markieren oder zu kopieren, und das Klicken auf die Adressleiste erlaubt keine Textbearbeitung oder URL-Änderung, wie echte Browser-Fenster erlauben würden.
Die Verwendung von Browser-Entwicklungstools (F12) zeigt, dass das Popup-Fenster als div- oder iframe-Element in der DOM-Struktur der Seite existiert und nicht als separater Browser-Fenster-Prozess.
Das Popup erscheint augenblicklich ohne die typische Browser-Fenster-Animation oder bleibt perfekt zentriert, auch wenn Sie die Größe des Hauptfensters ändern, was darauf hindeutet, dass es an das Koordinatensystem der Seite gebunden ist.
Die Überprüfung des Browser-Fenster-Managers (Alt+Tab unter Windows, Command+Tab auf Mac) zeigt keine zusätzliche Fenster-Instanz für das Popup, was bestätigt, dass es sich nicht um ein echtes separates Browser-Fenster handelt.

So schützen Sie sich

Verwenden Sie immer einen dedizierten Password Manager mit Domain-Matching-Funktionen, die sich weigert, Anmeldedaten in gefälschten eingebetteten Fenstern automatisch auszufüllen, da diese Tools die tatsächliche URL und nicht nur Grafiken überprüfen.
Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) auf allen Konten, die dies unterstützen, vorzugsweise mit Hardware-Keys oder Authentifizierungs-Apps statt SMS-Codes, was den Schaden begrenzt, falls Anmeldedaten gestohlen werden.
Geben Sie Login-URLs manuell direkt in die Browser-Adressleiste ein, statt auf "Mit [Service] anmelden"-Schaltflächen auf unbekannten Websites zu klicken, um sicherzustellen, dass Sie die authentische Authentifizierungsseite in einem echten Browser-Fenster besuchen.
Versuchen Sie vor der Eingabe von Anmeldedaten in einem Popup-Fenster, das Fenster außerhalb der Browser-Grenzen zu ziehen oder auf die URL-Leiste zu klicken, um zu überprüfen, dass es sich um ein echtes Browser-Fenster und nicht um eine HTML-Überlagerung handelt.
Installieren Sie Browser-Erweiterungen, die verdächtiges JavaScript-Verhalten erkennen oder Content-Security-Policy-Validierung implementieren, um Sie zu warnen, wenn Seiten versuchen, gefälschte Fenster-Überlagerungen zu erstellen.
Vermeiden Sie nach Möglichkeit die Verwendung von SSO-Login-Abläufen auf unbekannten Websites und erstellen Sie stattdessen einzigartige Konten mit unterschiedlichen Passwörtern, um den Wert gestohlener Anmeldedaten auf einen einzelnen Dienst zu reduzieren.

Reale Beispiele

Eine freiberufliche Grafikdesignerin besuchte eine Portfolio-Website, die angeblich Premium-Design-Ressourcen bot. Als sie auf "Mit Google anmelden" klickte, um Downloads zu erhalten, erschien ein professionell aussehendes Google-Login-Fenster. Sie gab ihre Anmeldedaten ein, doch das Fenster zeigte eine Fehlermeldung und verschwand. Innerhalb von zwei Stunden wurde auf ihr Gmail-Konto von einer IP-Adresse in Osteuropa zugegriffen, und der Angreifer versuchte, Passwörter für ihre PayPal- und Bankkonten zurückzusetzen, die mit dieser E-Mail-Adresse verknüpft waren.

Ein IT-Berater erhielt eine E-Mail über ein angebliches Sicherheits-Update für sein Microsoft-365-Konto mit einem Link zur Überprüfung der jüngsten Anmeldungsaktivitäten. Die verlinkte Seite zeigte ein überzeugend wirkendes Microsoft-Login-Popup mit der korrekten microsoft.com-URL in der gefälschten Adressleiste. Nach der Eingabe seiner Anmeldedaten wurde er zur legitimen Microsoft-Seite weitergeleitet. Drei Tage später entdeckte sein Unternehmen, dass 47 Kundenkontaktdatensätze exfiltriert worden waren, und Erpressungsschreiben wurden an diese Kunden verschickt, behauptend, dass der Berater kompromittiert worden sei.

Ein Kryptowährungsinvestor klickte auf ein bezahltes Suchergebnis für eine beliebte Handelsplattform. Die Landing Page sah identisch mit der Exchange-Website aus und forderte das Login über ein Google-SSO-Popup auf. Nach der Eingabe der Anmeldedaten wurde das Fenster mit einer "Verbindungszeitüberschreitung"-Meldung geschlossen. Am nächsten Morgen stellte der Investor fest, dass auf sein Exchange-Konto zugegriffen worden war und Bitcoin im Wert von 8.400 Euro auf ein unbekanntes Wallet übertragen worden waren. Der Angreifer hatte die gestohlenen Google-Anmeldedaten verwendet, um die E-Mail-basierte Verifizierung der Exchange zu umgehen.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), browser-in-browser-angriff: die unsichtbare phishing-bedrohung is described at https://scamlens.org/de/encyclopedia/browser-in-browser-attack.

https://scamlens.org/de/encyclopedia/browser-in-browser-attack

Hier starten

Sicherheitsprüfung

Intelligence

Tools & Berichte

Premium-Dienste

Erweiterung & API

Browser-in-Browser-Angriff: Die unsichtbare Phishing-Bedrohung

Häufige Methoden

So erkennen Sie es

So schützen Sie sich

Reale Beispiele

Wo melden — Deutschland

BSI Bürger-CERT

Polizei Online-Wache

Verbraucherzentrale

BaFin Verbraucherschutz

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide