Vom ausgezeichneten Online-Banking zum Security-Desaster
Angelockt von der Auszeichnung für die "sehr gute Qualität" des Webauftritts der SEB schaute ich genauer hin. Die Neugier verwandelte sich erst in Verwunderung und dann in blankes Entsetzen: Die Seiten strotzen nur so so vor Sicherheitsproblemen.
Auf der Startseite der SEB-Bank prangte das Gütesiegel "SEHR GUTE WEBSITE" mit einem Hinweis auf eine kürzlich erteilte Auszeichnung. Neugierig geworden, klickte ich mit der mittleren Maustaste auf "Lesen Sie mehr", um die Seite in einem neuen Reiter zu öffnen.
Ooops -- das war nicht ganz das, was ich mir von einer ausgezeichneten Website versprochen hatte. Beim zweiten Hinsehen blieb mein Blick an der Fehlermeldung hängen: Was war das? In der Adresszeile stand http://www.seb-bank.de/home.html?meldung.php und der Server konnte meldung.php.html nicht finden? Konnte ich dem Server etwa über Parameter in der URL sagen, was er in die Seite nachladen sollte? Mein Jagdinstinkt erwachte!
Tatsächlich: Ein kurzer Test mit http://www.seb-bank.de/home.html?heisec lieferte:
The requested URL /heisec.html was not found on this server
Ob der wohl auch externe Seiten nachlädt? Bei der Übergabe von "http://www.heisec.de" beschwerte sich der Server erstmal nur, dass /http://www.heisec.de.html nicht zu finden sei. Aber das "http://" braucht es ja auch nicht unbedingt; Minuten später war es vollbracht: http://www.seb-bank.de/home.html?//www.heise.de/security/dienste/browsercheck/demos/ie/verwundbar.html öffnete diese Seite:
Betrüger könnten damit Phishing-Seiten bauen, die man kaum noch als Fälschung erkennen kann: Die URL verweist tatsächlich auf die SEB-Bank, im Adressfeld steht die SEB-Bank -- doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat). Mal sehen, was da sonst noch geht -- die Nacht war noch jung.
