Phishing-Schutz: Postbank baut Website um
Phisher hätten mit speziellen Links Opfer über die Postbank-Homepage auf ihre Seiten leiten können.
Die Postbank hat eine Funktion ihrer Homepage umgebaut, die Datenphishern hätte in die Hände spielen können. So war es lange Zeit möglich, Surfer mit einem präparierten Link der Form
http://www.postbank.de/std/funcs/external.html?d=verschleierte Adresse
über die Postbank-Homepage auf eine Phishing-Site zu führen. Die auf der Postbank-Site implementierte Redirect-Funktion überprüfte übergebene Parameter nicht, sondern leitete an jede übergebene Adresse weiter.
Mit einer geschickt verschleierten Weiterleitungsadresse hätte ein Adressat eine Phishing-Mail zumindest an den enthaltenen URLs nicht sofort erkannt. Die wenigsten Internet-Nutzer dürften anhand der URL durchschauen, dass sie unter der Adresse
http://www.postbank.de/std/funcs/external.html?d=http%3A%2F%2F193%2e99%2e144%2e80
nicht bei der Postbank landeten, sondern bei heise online.
Mittlerweile hat die Postbank die Weiterleitungs-Funktion auf der Homepage so umgebaut, dass sie mittels einer Whitelist prüft, ob der folgende Hyperlink erlaubt oder verboten ist. Sollte der Hyperlink nicht von der Postbank autorisiert sein, wird der Kunde auf eine Hinweisseite geleitet, die ihn über die Gefahren belehrt.
heise online sind keine Betrugsfälle bekannt, die die Lücke ausgenutzt haben. Dass die Postbank dieses potenzielle Problem dennoch beseitigt hat, ist jedenfall zu begrüßen. Es hätte aber schneller gehen können: Bereits im Januar hatte ein Leser das Problem bemerkt, worüber heise online die Bank umgehend informiert hatte. (jo)
