Schauen wir uns doch ein wenig um, was da so alles fuer Schwachsinn
betrieben wird:
Als ich bei meiner Bank das Online-Banking beantragt habe, habe ich
unterschrieben, dass ich (aus Sicherheitsgruenden) das Online-Banking
nur von der Startseite meiner Bank aufrufen darf. Klingt gut, denn
damit kann mich ja vermeintlich niemand auf eine Phishing-Seite
locken.
Bei genauerem Blick offenbaren sich jedoch Sicherheitsmaengel, die
zum Himmel schreien. Die Startseite meiner Bank kann ich ueber
ungesichertes HTTP prima erreichen, wahrscheinlich ist das die
einzige Variante, die von den Herren jemals jemand ausprobiert hat.
Versuche ich, bei der URL das `http' durch ein `https' auszutauschen,
bekomme ich sofort ein ``The server's certificate did not match its
hostname.''
Logische Konsequenz eines sicherheitsbewussten Benutzers sollte sein,
die Kommunikation sofort abzubrechen und bei der Bank Bescheid zu
geben. Doch als solcher Benutzer haette ich wahrscheinlich nie eine
Chance, mein Online-Banking zu nutzen.
Der Link auf das eigentliche Online-Banking kann somit jederzeit
leicht gefaelscht werden (da auf einer ungesicherten Seite). Er zeigt
auf den Server https://www.vr-networld-ebanking.de/, frueher hiess
der Server sogar ``onlinebankservice.de''. Wohlklingende Namen sind
das, doch habe ich selbst mit dem SSL-Zertifikat keine echte Chance
rauszufinden, ob das auch wirklich der Server ``meiner'' Bank ist.
Das Zertifikat ist ausgestellt auf ``FIDUCIA AG'', meine Bank ist
aber die Volksbank.
Spaetestens jetzt sollte ich eigentlich schon wieder die
Kommunikation abbrechen und meiner Bank Bescheid geben, doch der
Unfug geht weiter.
Damit diese ``komischen Sicherheitsklamotten'' nicht so auffallen,
haben die IT-Leute der Bank ganze Arbeit geleistet. Das
Online-Banking oeffnet sich als PopUp-Fenster. Ohne die URL-Leiste,
ohne das Symbol mit dem offenen/geschlossenen Schloss. Nur mit Muehe
kann ich so Sicherheitsprobleme (oder z.B. eine Phishing-Attacke)
entdecken.
Um der Sache noch einen draufzusetzen, bedient sich zumindest meine
Bank auch noch eines weiteren raffinierten Tricks: In den paar
Jahren, in denen ich mein Online-Banking bereits benutze, hat sich
immer mal wieder von einem Tag auf den anderen urploetzlich das
Aussehen der Banking-Startseite veraendert. Phishing-Attacken ist
damit natuerlich Tuer und Tor geoeffnet, denn die Jungs muessen sich
noch nicht mal Muehe machen die Seite exakt der Original-Seite
nachzuempfinden. Schliesslich ueberrascht es keinen Online-Banker
mehr, wenn die Startseite ploetzlich ganz anders aussieht. Bitte,
liebe Banken, kuendigt sowas vorher an. Normalerweise muesste ich in
solchen Faellen schon wieder das Banking beenden und bei meiner Bank
anrufen.
So arbeiten leider die IT-Beauftragten der Banken traumhaft den
Phishern (sagt man so?) in die Haende. Mal sehen, ob da irgendwann
ein Umdenk-Prozess zu sehen ist...
betrieben wird:
Als ich bei meiner Bank das Online-Banking beantragt habe, habe ich
unterschrieben, dass ich (aus Sicherheitsgruenden) das Online-Banking
nur von der Startseite meiner Bank aufrufen darf. Klingt gut, denn
damit kann mich ja vermeintlich niemand auf eine Phishing-Seite
locken.
Bei genauerem Blick offenbaren sich jedoch Sicherheitsmaengel, die
zum Himmel schreien. Die Startseite meiner Bank kann ich ueber
ungesichertes HTTP prima erreichen, wahrscheinlich ist das die
einzige Variante, die von den Herren jemals jemand ausprobiert hat.
Versuche ich, bei der URL das `http' durch ein `https' auszutauschen,
bekomme ich sofort ein ``The server's certificate did not match its
hostname.''
Logische Konsequenz eines sicherheitsbewussten Benutzers sollte sein,
die Kommunikation sofort abzubrechen und bei der Bank Bescheid zu
geben. Doch als solcher Benutzer haette ich wahrscheinlich nie eine
Chance, mein Online-Banking zu nutzen.
Der Link auf das eigentliche Online-Banking kann somit jederzeit
leicht gefaelscht werden (da auf einer ungesicherten Seite). Er zeigt
auf den Server https://www.vr-networld-ebanking.de/, frueher hiess
der Server sogar ``onlinebankservice.de''. Wohlklingende Namen sind
das, doch habe ich selbst mit dem SSL-Zertifikat keine echte Chance
rauszufinden, ob das auch wirklich der Server ``meiner'' Bank ist.
Das Zertifikat ist ausgestellt auf ``FIDUCIA AG'', meine Bank ist
aber die Volksbank.
Spaetestens jetzt sollte ich eigentlich schon wieder die
Kommunikation abbrechen und meiner Bank Bescheid geben, doch der
Unfug geht weiter.
Damit diese ``komischen Sicherheitsklamotten'' nicht so auffallen,
haben die IT-Leute der Bank ganze Arbeit geleistet. Das
Online-Banking oeffnet sich als PopUp-Fenster. Ohne die URL-Leiste,
ohne das Symbol mit dem offenen/geschlossenen Schloss. Nur mit Muehe
kann ich so Sicherheitsprobleme (oder z.B. eine Phishing-Attacke)
entdecken.
Um der Sache noch einen draufzusetzen, bedient sich zumindest meine
Bank auch noch eines weiteren raffinierten Tricks: In den paar
Jahren, in denen ich mein Online-Banking bereits benutze, hat sich
immer mal wieder von einem Tag auf den anderen urploetzlich das
Aussehen der Banking-Startseite veraendert. Phishing-Attacken ist
damit natuerlich Tuer und Tor geoeffnet, denn die Jungs muessen sich
noch nicht mal Muehe machen die Seite exakt der Original-Seite
nachzuempfinden. Schliesslich ueberrascht es keinen Online-Banker
mehr, wenn die Startseite ploetzlich ganz anders aussieht. Bitte,
liebe Banken, kuendigt sowas vorher an. Normalerweise muesste ich in
solchen Faellen schon wieder das Banking beenden und bei meiner Bank
anrufen.
So arbeiten leider die IT-Beauftragten der Banken traumhaft den
Phishern (sagt man so?) in die Haende. Mal sehen, ob da irgendwann
ein Umdenk-Prozess zu sehen ist...