Viele Banken-Seiten weiter unzureichend gegen Missbrauch gesichert [Update]
Die Web-Seiten von Dresdner Bank, Volksbank, Postbank, Comdirect und einer Stadtsparkasse lassen sich teilweise recht freizügig umgestalten oder anderweitig für Phishing missbrauchen.
Banken betonen gerne die Notwendigkeit, Anwendern mehr Sicherheitsbewusstsein zu vermitteln, um die Phishing-Problematik in den Griff zu bekommen. Dabei wären sie gut beraten, auch einmal systematisch vor der eigenen Tür zu kehren. Denn Schwachstellen in den Web-Seiten von Banken und anderen Finanzdienstleistern, die sich für Phishing missbrauchen lassen, sind nach wie vor weit verbreitet. So hat jetzt ein gewisser "JdM" von "23sr - security research" mehrere Lücken dokumentiert, die sich für Phishing-Angiffe ausnutzen ließen. Über spezielle URLs lassen sich bei Dresdner und Comdirect-Bank einzelne Frames mit eigenen Inhalten versehen. Eine Volksbanken-Seite kann man über eingeschleusten Skript-Code neu gestalten, und Postbank und Stadtsparkasse Düsseldorf bieten einen URL-Weiterleitungsservice auf externe Seiten. Damit könnten Phisher eine URL basteln, die zwar auf die Bank verweist, Internetnutzer aber schlussendlich auf ihren Phishing-Server lockt.
Ein Teil des Problems liegt sicherlich darin, dass beispielsweise Cross Site Scripting (XSS) nach wie vor als Kavaliersdelikt gilt und die Banken beziehungsweise deren Dienstleister nicht systematisch dagegen vorgehen, sondern nur jeweils die gerade bekannt gewordenen Lücken stopfen. Und manche tun nicht einmal dies. So veröffentlichten Unbekannte im Februar eine Reihe von XSS-Lücken, die zum Teil immer noch nicht geschlossen sind. Eine davon findet sich auf einem System der Fiducia – nach eigenen Aussagen einer der "führenden IT-Anbieter für Finanzdienstleister in Deutschland", der unter anderem viele Volksbanken betreut.
Update:
Das Security Management der Postbank hat heise Security informiert, dass die URL-Weiterleitung eine erwünschte Funktion sei, die über eine Whitelist abgesichert wird. Heise hatte bereits über diesen Schutzmechanismus berichtet. Er erlaubt zwar die von JdM demonstrierte Weiterleitung auf Google, blendet aber beim Versuch, unbekannte Seiten anzusteuern, eine Hinweisseite ein. Die ComDirect-Bank hat den Fehler unterdessen behoben, ein Aufruf der präparierten URL führt nur noch auf eine Fehlerseite. Auch die Dresdner hat das Loch mittlerweile gestopft.
2. Update: Der Web-Auftritt der Dresdner Bank lässt sich auch nach dem schnellen Fix weiterhin missbrauchen. heise Security hat die neuerliche Lücke gemeldet, sodass bald mit einem weiteren Fix zu rechnen ist.
Die Stadtsparkasse Düsseldorf hat das Sicherheitsproblem auf ihren Seiten behoben. Auch die Fiducia hat die Lücke auf dem Job-Portal www.vr-karriere.de geschlossen.
Eine kleine, unvollständige Auswahl von heise-Security-Meldungen illustriert das Problem:
- Phishing-Tricks vom Phishmarkt heise Security am 30.10.2006
- Bank-Websites weiterhin anfällig für Cross Site Scripting heise Security am 18.02.2007
- Phishing-Loch in Volksbanken-Seiten geschlossen heise Security am 13.03.2007
- Sparkassen schlampen bei Online-Banking-Sicherheit heise Security am 18.05.2007
(ju)
