zurück zum Artikel

Nach einer Welle von Phishing-Mails warnt die Postbank alle Kunden davor, ihre persönlichen Daten auf fremden Websites einzugeben.

Nach einer Welle von Phishing-Mails warnt die Postbank [1] alle Kunden davor, ihre persönlichen Daten auf fremden Websites einzugeben. Eine -- eigentlich schlecht gemachte -- englische Mail forderte den Empfänger auf, seine Daten für das Online-Banking inklusive PIN der EC-Karte einzugeben, um seine E-Mail-Adresse zu bestätigen. Dazu sollte er einen Link anklicken, der angeblich zu einem Postbank-Server führt, tatsächlich aber eine Seite auf einem russischen Server öffnete.

Jetzt erscheint beim Besuch der Postbank-Seiten ein Popup-Fenster, das versichert, die Postbank fordere ihre Kunden niemals per E-Mail auf, persönliche Daten im Internet einzugeben. Auf der Seite mit den weiterführenden Informationen [2] zeigt die Bank eine typische Phishing-Seite und gibt Tipps, woran man diese erkennt.

Eine konkrete Gefahr erwähnt die Bank jedoch nicht: Viele Browser -- inklusive Internet Explorer, Mozilla bis 1.6, Konqueror, Safari und Opera (<7.52)-- sind immer noch anfällig für das so genannte Frame-Spoofing [3]. Da die Postbank auch auf ihren Online-Banking-Seiten Frames einsetzt, können Angreifer Postbankkunden manipulierte Seiten unterschieben, die sich nur schwer enttarnen lassen.

Die Browsercheck-Demo Phishing mit Frames [4] illustriert dieses Problem und erzeugt eine verschlüsselte Online-Banking-Seite, deren angezeigte URL auf die Postbank verweist. Trotzdem würden alle dort eingegebenen Daten auf dem Heise-Server landen. Diese Demo ist so aufgebaut, dass der Anwender die einzelnen Fenster nacheinander selbst öffnet; echte Phisher würden diesen Vorgang so automatisieren, dass ein Klick auf die falsche URL genügt.

Grundsätzlich sollten Anwender niemals Links vertrauen, die sie via E-Mail erhalten. Denn oft landet man beim Anklicken nicht dort, wo man hin will. Der Emailcheck [5] demonstriert einige Tricks, wie sich das wahre Ziel eines Links verschleiern lässt. Seiten, die die Eingabe von Passwörtern oder PINs erfordern, sollte man grundsätzlich über abgespeicherte Favoriten/Bookmarks anwählen, bei denen man sich über Besitzer und Urheber der Seite sicher ist.

Update:
Die Postbank hat ihre Online-Banking-Seiten umgestellt und verwendet dort jetzt keine Frames mehr. Die Browsercheck-Demo für das Online-Banking der Postbank funktioniert also nicht mehr. (ju [6])

URL dieses Artikels:
https://www.heise.de/-99250

Links in diesem Artikel:
[1] http://www.postbank.de
[2] http://www.postbank.de/sicherheitshinweis/
[3] https://www.heise.de/news/Phishing-mit-Frames-Update-103975.html
[4] http://www.heise.de/security/dienste/browsercheck/demos/ie/frame.shtml
[5] http://www.heise.de/security/dienste/emailcheck/
[6] mailto:ju@ct.de

Copyright © 2004 Heise Medien