Menu
A+ A A-

Risiko nicht beseitigt

Von Daniel AJ Sokolov

üblicherweise registrieren Phisher Webadressen, die denen einer echten Bank täuschend ähnlich sind. Deren Kunden werden per E-Mail auf diese Seite gelockt und dort zur Eingabe ihrer Codes aufgefordert. Bei Erste Bank und Sparkasse können sich Phisher die Domaingebühr sparen und gleich einen Original sparkasse.at-Link verwenden.

Durch einen (der Report-Redaktion bekannten) Zusatz zu einer echten sparkasse.at-Adresse wird der Webserver von Erste Bank und Sparkassen dazu veranlasst, auf einen ganz anderen Server umzuleiten. Die Adresse sieht dann so ähnlich aus wie https://www.sparkasse.at/xyservice/blabla.htm?target=http://www.report.at - das genaue Format wird aus Sicherheitsgründen hier nicht veröffentlicht.

In diesem Beispiel würde der echte Sparkassen-Server ohne Zwischenwarnung zur Website des Report Verlages umleiten. Von einem Angreifer kann jedes beliebige Ziel definiert werden - also auch ein Server mit einer täuschend ähnlichen Kopie der Netbanking-Applikation. Kunden könnten der ursprünglich aufgerufenen sparkasse.at-Adresse vertrauen und gutgläubig ihre PIN- und TAN-Codes eingeben, in der Annahme, eine überweisung zu tätigen. Mit diesen Daten könnten die Phisher dann das Bankkonto leer räumen.

Bisher sind auf dieses Sicherheitsproblem zurückzuführende Fälle nicht bekannt. Sie könnten aber jeden Tag auftreten. Die Report-Redaktion warnte die Bank noch vor Weihnachten vor dieser und einer weiteren, kleineren Schwachstelle, bei der durch einen bestimmten Adressaufruf das Ziel eines Links auf der Website der Bank verändert werden konnte. Die Pressestelle antwortete mit einem knappen \"Herzlichen Dank für den Hinweis.\" Das kleine Problem wurde in der Folge behoben, doch die beliebig definierbare Umleitung funktioniert nach wie vor.

Schon im Dezember war das Netbanking bedauerliches Thema auf Report.at. Das erst kurz zuvor neu gestaltete Online-Banking war nicht gegen Cross Site Scripting gefeit; Angreifer konnten beliebigen Text und Eingabefelder in die Originalseiten einschleusen. Ein Kunde hatte versucht, die Bank zu warnen, doch zehn Tage geschah nichts. Erst als sich der Report einschaltete, kam Bewegung in die Sache.

Gegenüber dem Report hatte die Bank damals angekündigt, dem Kunden eine kulinarische Aufmerksamkeit für seinen Einsatz zukommen zu lassen. Aus den beim Relaunch erhöhten Online-Trading-Gebühren hätte sich das leicht finanzieren lassen. Doch bis heute hat der User nicht einmal eine Antwort auf seinen ursprünglichen Sicherheitshinweis erhalten. Sein Konto bei der Sparkassen-Gruppe hat er inzwischen aufgelöst.

back to top