Phishing-Loch in Volksbanken-Seiten geschlossen

Zahlreiche Webauftritte der Volks- und Raiffeisenbanken mussten Ende letzer Woche aktualisiert werden, um eine Phishing-Lücke zu schließen. Über eine präparierte URL war es möglich, Inhalte anderer Server in die Seiten der Banken einzublenden. Eine vom Sicherheitsspezialisten Constantin Hofstetter der Redaktion von heise Security zur Verfügung gestellte, nicht öffentliche Cross-Site-Scripting-Demo veranschaulichte das Problem. Dabei wurde im Kontext der Bankenseite ein IFrame eingeblendet, in dem nach einer PIN und mehreren TANs gefragt wurde.

Ein Phisher hätte auf diese Weise an die Zugangsdaten der Kunden gelangen können. Allerdings hätte das Opfer dazu einem manipulierten Link folgen müssen – leider passiert dies trotz aller Sicherheitshinweise immer noch viel zu häufig. Online-Banking-Portale sollten generell nur aus Bookmarks heraus angesurft beziehungsweise die Adresse manuell in die Adresszeile des Browsers eingeben werden.

Der für die Webauftritte einiger Volks- und Raiffeisenbanken verantwortliche IT-Dienstleister Fiducia wurde am 8. März von heise Security informiert und beseitigte das beschriebene Problem noch am gleichen Tage. Zudem wurden am 9. März weitere Sicherheitsfixes eingebaut. Laut Fiducia war die Software eines Zulieferers fehlerhaft. Die Webauftritte der von der GAD betreuten Volks- und Raiffeisenbanken waren nicht betroffen.

Bereits Ende 2005 musste Fiducia eine von Hofstetter entdeckte Cross-Site-Scripting-Lücke in den Webseiten der Volksbanken schließen. Damals war der Zeitraum zwischen der Benachrichtigung und dem Beseitigen des Fehlers erheblich länger.

Siehe dazu auch:

• Sicheres Volksbanking: Die Zweite, Fehlerbericht von Constantin Hofstetter
• Cross-Site-Scripting-Lücke im Volksbanking , Meldung auf heise Security

(dab)