Britische Banken schlampen bei Web-Site-Sicherheit

Bei einem Test der Web-Seiten britischer Banken hat heise Security/UK erstaunliche Lücken aufgedeckt: Bei nur drei von neun Banken waren die Web-Auftritte immun gegen einfachste Angriffe, mit denen sich nahezu perfekte Phishing-Seiten aufsetzen ließen.

In Pocket speichern vorlesen Druckansicht 63 Kommentare lesen
Lesezeit: 2 Min.

Mit einem Test der Web-Seiten großer britischer Banken hat heise Security/UK erstaunliche Lücken aufgedeckt: Von den neun untersuchten, großen Banken waren nur drei Web-Auftritte immun gegen allereinfachste Angriffe, mit denen sich nahezu perfekte Phishing-Seiten aufsetzen ließen.

Die Tests kratzten dabei nur an der Oberfläche und konzentrierten sich auf seit Jahren bekannte Probleme, die eigentlich jeder Web-Entwickler kennen sollte. Doch die britischen Banken-Sites ignorieren teilweise einfachste Sicherheitsregeln: Selbst Anmeldeseiten für das PIN/TAN-Verfahren verwenden Frames oder übernehmen Benutzereingaben völlig ungefiltert. Das Resultat: Mit einfachen Tricks wie Frame Spoofing oder Cross Site Scripting könnten Phisher täuschend echte Fälschungen aufsetzen, die selbst von erfahrenen Anwendern nicht mehr als solche zu erkennen sind.

Auch in Deutschland gibt es noch immer schwarze Schafe wie die DiBa, die Frames völlig ungeschützt einsetzen (siehe Browsercheck-Demo), doch insgesamt ist mittlerweile das Sicherheitsniveau der Web-Seiten auf einem höheren Stand. In den vergangenen Jahren haben viele Banken ihre Seiten überarbeitet und verzichten entweder ganz auf Frames oder schützen diese zumindest durch zusätzliche Maßnahmen. Auch wenn immer noch hier und da Cross-Site-Scripting-Lücken aufgedeckt werden, gehört das Filtern von Benutzereingaben doch bereits zum Standard.

Siehe dazu auch: (ju)