Cross-Site-Scripting-Lücke im Volksbanking [Update]

Eine Cross-Site-Scripting-Lücke im Online-Banking-Portal der Volksbanken ermöglicht Phishern, eigene Gauner-Webseiten unter dem Label des Volksbank-Banking-Portals laufen zu lassen.

In Pocket speichern vorlesen Druckansicht 155 Kommentare lesen
Lesezeit: 2 Min.
Von

Das Online-Banking-Portal der Volksbanken ist anfällig für eine Cross-Site-Scripting-Lücke (XSS), die Phisher missbrauchen können, um echt wirkende Gauner-Webseiten zu erstellen. Durch die XSS-Lücke ist es etwa möglich, die URL einer gefälschten Seiten so erscheinen zu lassen, als stamme sie aus dem Volksbank-Banking-Portal.

In unseren Tests ist jedoch etwa im Firefox die https-URL in der Adresszeile nicht gelb unterlegt; wer nicht genau hinsieht, erkennt das durchgestrichene Schloss nicht als solches. In einem Blog-Eintrag stellt der Entdecker der Schwachstelle, Constantin Hofstetter, gleich vier funktionierende Links zur Demonstration des Fehlers bereit.

Laut einem heise Security vorliegenden Schriftwechsel hat Hofstetter die VR-Networld schon vor zwei Monaten über die Lücke informiert. Allerdings wurden bis zur Veröffentlichung dieser Meldung noch keine Gegenmaßnahmen ergriffen, da die Beispiele da noch funktionierten. Karin Stempfhuber, Sprecherin des Volksbank-IT-Dienstleisters Fiducia, erklärte gegenüber heise Security, Ihr würden keine Informationen über eine Benachrichtigung vorliegen. Sie konnte allerdings kurz darauf das Problem bestätigen und versicherte, man arbeite jetzt an dessen Behebung. Es ist bis jetzt noch unklar, wo die Meldung in dem Bermuda-Dreieck zwischen Autor, VR-Networld und Fiducia verschollen ist.

Online-Banking-Portale sollten generell nur aus Bookmarks heraus angesurft beziehungsweise die Adresse manuell in die Adresszeile des Browsers eingeben werden. Banken versenden grundsätzlich keine E-Mails, die Kunden zur Eingabe von TANs auffordern – solche E-Mails sollten umgehend gelöscht oder der Bank weitergeleitet werden, damit diese Maßnahmen ergreifen kann.

Update:
Wenige Stunden nach der Benachrichtigung durch heise Security hat Fiducia das Problem nach eigenen Aussagen durch einen Patch beseitigt. Tatsächlich funktionierte daraufhin keine von Hofstetters XSS-Demos mehr.

Siehe dazu auch: (dmk)