Phishing-Tricks vom Phishmarkt [2. Update]

Die Seite "Phishmarkt" demonstriert bei mehr als 70 Webauftritten, wie sich Cross-Site-Scripting-Lücken für Phishing-Attacken ausnutzen lassen. 30 der aufgeführten Seiten gehören zu deutschen Banken.

In Pocket speichern vorlesen Druckansicht 221 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Mindestens 30 deutsche Banken haben ein Sicherheitsproblem auf ihren Webseiten: Mittels Cross-Site-Scripting (XSS) lassen sich in die Frames der Seiten beliebige Inhalte anderer Seiten einblenden. Die Mitglieder der Gruppe Electrical Ordered Freedom (EOF) haben die Seite "Phishmarkt" ins Netz gestellt, die bei mehr als 70 Webauftritten das Problem illustriert, 30 der Seiten gehören zu deutschen Banken, darunter die Sparkasse Dachau, Berliner Volksbank und die Deutsche Kreditbank.

Phisher können über Cross-Site-Scripting etwa in die Original-Seiten der Banken ihre Inhalte einblenden und Opfer gezielt nach PIN und TAN fragen. Aber auch missliebige oder verleumderische Inhalte lassen sich so in Seiten einblenden. In der Regel genügt es dazu, in der URL einer Seite die Frame-Set-Angaben zu manipulieren, um externe Inhalte einzublenden:

https://server/frameset.php?L=1&H=http://angriff/inhalt

Da der eingebundene Inhalt vom Originalserver ausgeliefert wird, funktioniert in vielen Fällen auch SSL fehlerfrei. Ein Opfer kann dann selbst durch die Prüfung des Zertifikates nicht feststellen, dass seine Daten bei Phishern landen.

Oft lässt sich zudem die Suchfunktion der Seite missbrauchen, um eigene Inhalte in die Originalseite einzubinden. Damit das Opfer die manipulierte Seite im Browser zu sehen bekommt, muss es allerdings auf einen präparierten Link klicken. Das fällt aber in den wenigsten Fällen auf. Zuletzt sorgte eine derartige XSS-Lücke im Internetauftritt der Bundesregierung für Aufsehen. Auch T-Mobile und die Seiten der SPD zeigten sich für Angriffe verwundbar.

Cross-Site-Scripting-Probleme auf Webservern sind nicht neu, im Grunde existieren sie, seit Webserver Inhalte dynamisch zusammensetzen. Gerade deshalb sollten Anwendungsentwickler eigentlich wissen, wie man sie vermeidet, etwa indem man die Herkunft eingebetteter Inhalte und Nutzereingaben prüft und filtert. Insbesondere bei den weiter im großen Stil durchgeführten Phishing-Attacken sollten Banken auf solche Schwachstellen achten.

Nach Angaben von Electrical Ordered Freedom wurden die meisten Anbieter über das Problem auf ihren Seiten informiert, in der Regel wurde die Hinweise jedoch ignoriert. Daher wolle man nun die Informationen veröffentlichen. Einige der Demos auf "Phishmarkt" habe man jedoch sicherheitshalber deaktiviert.

[Update]
Zumindest die in der Meldung genannten Banken Sparkasse Dachau und Deutsche Kreditbank haben offenbar reagiert. Beim Aufruf der manipulierten Links werden keine externen Inhalte mehr eingeblendet.

[2.Update]
Auch die Berliner Volksbank und die SEB haben nachgezogen und die bekannten XSS-Lücken auf ihren Seiten geschlossen.

Siehe dazu auch: (dab)