Bestandsaufnahme zu Phishing mit Frames
In den letzten Jahren haben die Banken gelernt, mit dem Frame-Spoofing-Problem des Internet Explorer umzugehen. Die meisten verwenden keine Frames, andere schützen sie. Doch einzelne Bankenauftritte sind noch immer verwundbar.
In den letzten Jahren haben die Banken gelernt, mit dem Frame-Spoofing-Problem des Internet Explorer umzugehen. Die meisten verwenden keine Frames, andere schützen sie. Doch einzelne Bankenauftritte sind noch immer verwundbar.
Normalerweise sollte eine Webseite den Inhalt anderer, parallel angezeigter Seiten aus anderen Domains nicht manipulieren können. So sollte eine Heise-Seite keine Inhalte einer Online-Banking-Seite verändern können, die in einem anderen Fenster angezeigt wird. Besteht die Seite jedoch aus einzelnen Frames, geht genau das. Bereits 1998 berichtete heise online über dieses Problem, Mitte 2004 stellte man fest, dass sich an der Situation nichts geändert hatte und immer noch nahezu alle Browser anfällig waren.
Mittlerweile haben die meisten Browser-Hersteller nachgebessert, lediglich beim Internet Explorer ist die Voreinstellung immer noch, solche Cross-Domain-Manipulationen zu gestatten. Auf Seiten, die Frames einsetzen, lassen sich also nach wie vor perfekte Phishing-Fallen einrichten. Dabei zeigt die Adressleiste des IE die ursprüngliche URL an, der Frame mit dem Eingabeformular wird jedoch von den Fälschern kontrolliert.
Als heise Security 2004 das Problem im Browsercheck demonstrierte, waren auch diverse Bankenseiten anfällig für Frame-Spoofing, unter anderem die Postbank, die Deutsche Bank und die SEB. Die verzichten mittlerweile jedoch auf den Einsatz von Frames. Aber auch zu den meisten Banken, die noch Frames einsetzen, ist das Wissen um die damit verbundenen Probleme vorgedrungen. So verwendet die Hypo-Bank zufällig erzeugte Frame-Namen, um gezielte Zugriffe auf einzelne zu verhindern. Bei der Dresdner Bank läuft im Hintergrund eine JavaScript-Routine, die regelmäßig die Integrität des Frame-Sets überwacht. Findet sie dabei URLs, die nicht aus dem eigenen Hoheitsgebiet stammen, wird die Seite komplett neu geladen. Eine unrühmliche Ausnahme sind die Volksbanken Raiffeisenbanken einschließlich diverser Filialen. Dort kommen Frames immer noch ohne Vorsichtsmaßnahmen zum Einsatz, sodass sich sogar verschlüsselte Login-Seiten zum Online-Banking von Phishern missbrauchen ließen.
Um sich vor derartigen Fallen zu schützen, kann man in den Einstellungen des Internet Explorer die Option "Subframes zwischen verschiedenen Domänen bewegen" deaktivieren. Der c't-Browsercheck demonstriert dieses und andere Sicherheitsprobleme und hilft Ihnen bei der Konfiguration Ihres Webbrowsers.
Siehe dazu auch: (ju)
- Phishing mit Frames auf dem c't-Browsercheck
