Banking-Portale anfällig für Phishing-Tricks
Als Grund nannte heise.de gestern sind sogenannte Cross-Site-Scripting-Lücken (XSS) auf. Michael Ott hat nach dieser Entdeckung die Banken auf das Problem aufmerksam gemacht. Gegenüber heise Security erklärte er, dass die Fehler in den Suchfunktionen der Webseiten zu finden seien, die Benutzereingaben nicht ausreichend filtern. Die Lücke bei der Sparda-Bank demonstriert Ott in verschleierter Form auch in einem Blog-Eintrag.
Bei einem XSS-Angriff lockt ein Angreifer seine Opfer mit Hilfe manipulierter Links in E-Mails oder Webseiten auf die anfällige Website. Durch die Schwachstelle ist es ihm möglich, im Browser der Opfer eigenen Skript-Code im Kontext der Website ausführen zu lassen. So kann er unter Umständen etwa an Log-in-Cookies oder andere vertrauliche Daten der Opfer gelangen, wenn er mit seinen Skripten beispielsweise Eingabemasken für PINs und TANs nachahmt. Für Bankkunden könnte leicht der Eindruck entstehen, es handle sich um eine vorgesehene Funktion des Banking-Portals.
Während die jüngst bekannt gewordenen XSS-Lücken bei Mobilfunkanbietern und auf Partei- und Regierungswebseiten noch vergleichsweise harmlos sind, bedeuten derartige Lücken bei Banking-Portalen sogar Gefahr für die Konten der Anwender. Diese können sich gegen solche Angriffe schützen, indem sie die Online-Banking-Seiten nicht über Links in fremden E-Mails oder Webseiten ansteuern. Am sichersten ist die direkte Eingabe der URL im Browser.
Quelle und weitere Informationen:
http://www.heise.de/security/news/meldung/76258
Bei einem XSS-Angriff lockt ein Angreifer seine Opfer mit Hilfe manipulierter Links in E-Mails oder Webseiten auf die anfällige Website. Durch die Schwachstelle ist es ihm möglich, im Browser der Opfer eigenen Skript-Code im Kontext der Website ausführen zu lassen. So kann er unter Umständen etwa an Log-in-Cookies oder andere vertrauliche Daten der Opfer gelangen, wenn er mit seinen Skripten beispielsweise Eingabemasken für PINs und TANs nachahmt. Für Bankkunden könnte leicht der Eindruck entstehen, es handle sich um eine vorgesehene Funktion des Banking-Portals.
Während die jüngst bekannt gewordenen XSS-Lücken bei Mobilfunkanbietern und auf Partei- und Regierungswebseiten noch vergleichsweise harmlos sind, bedeuten derartige Lücken bei Banking-Portalen sogar Gefahr für die Konten der Anwender. Diese können sich gegen solche Angriffe schützen, indem sie die Online-Banking-Seiten nicht über Links in fremden E-Mails oder Webseiten ansteuern. Am sichersten ist die direkte Eingabe der URL im Browser.
Quelle und weitere Informationen:
http://www.heise.de/security/news/meldung/76258