Postbank warnt vor Phishing [Update]
Nach einer Welle von Phishing-Mails warnt die Postbank alle Kunden davor, ihre persönlichen Daten auf fremden Websites einzugeben.
Nach einer Welle von Phishing-Mails warnt die Postbank alle Kunden davor, ihre persönlichen Daten auf fremden Websites einzugeben. Eine -- eigentlich schlecht gemachte -- englische Mail forderte den Empfänger auf, seine Daten für das Online-Banking inklusive PIN der EC-Karte einzugeben, um seine E-Mail-Adresse zu bestätigen. Dazu sollte er einen Link anklicken, der angeblich zu einem Postbank-Server führt, tatsächlich aber eine Seite auf einem russischen Server öffnete.
Jetzt erscheint beim Besuch der Postbank-Seiten ein Popup-Fenster, das versichert, die Postbank fordere ihre Kunden niemals per E-Mail auf, persönliche Daten im Internet einzugeben. Auf der Seite mit den weiterführenden Informationen zeigt die Bank eine typische Phishing-Seite und gibt Tipps, woran man diese erkennt.
Eine konkrete Gefahr erwähnt die Bank jedoch nicht: Viele Browser -- inklusive Internet Explorer, Mozilla bis 1.6, Konqueror, Safari und Opera (<7.52)-- sind immer noch anfällig für das so genannte Frame-Spoofing. Da die Postbank auch auf ihren Online-Banking-Seiten Frames einsetzt, können Angreifer Postbankkunden manipulierte Seiten unterschieben, die sich nur schwer enttarnen lassen.
Die Browsercheck-Demo Phishing mit Frames illustriert dieses Problem und erzeugt eine verschlüsselte Online-Banking-Seite, deren angezeigte URL auf die Postbank verweist. Trotzdem würden alle dort eingegebenen Daten auf dem Heise-Server landen. Diese Demo ist so aufgebaut, dass der Anwender die einzelnen Fenster nacheinander selbst öffnet; echte Phisher würden diesen Vorgang so automatisieren, dass ein Klick auf die falsche URL genügt.
Grundsätzlich sollten Anwender niemals Links vertrauen, die sie via E-Mail erhalten. Denn oft landet man beim Anklicken nicht dort, wo man hin will. Der Emailcheck demonstriert einige Tricks, wie sich das wahre Ziel eines Links verschleiern lässt. Seiten, die die Eingabe von Passwörtern oder PINs erfordern, sollte man grundsätzlich über abgespeicherte Favoriten/Bookmarks anwählen, bei denen man sich über Besitzer und Urheber der Seite sicher ist.
Update:
Die Postbank hat ihre Online-Banking-Seiten umgestellt und verwendet dort jetzt keine Frames mehr. Die Browsercheck-Demo für das Online-Banking der Postbank funktioniert also nicht mehr.
(ju)
