Online-Banking: Weiterhin Gefahr durch Datenspionage

Wie Online-Akivisten der Seite "Phishmarkt" nachwiesen, sind noch immer viele Bankwebseiten anfällig für das Einschleusen von fremdem Code. Bei dieser Methode, die "Cross Site Scripting" oder kurz "XSS" genannt wird, werden Nutzerdaten durch Formulare ausgespäht, die nicht auf dem Server der Bank liegen, aber in das Layout der Bankwebseite integriert sind.

Die Aktivisten von Phishmarkt veröffentlichten auf ihrer Internetseite präparierte Links zu über 40 vornehmlich österreichischen Banken. Klickt man auf diese Links, erscheinen die Webseiten der Banken mit eingeschleustem fremdem Quellcode. Dies demonstriert eindrucksvoll, wie leicht es noch immer ist, durch XSS an fremde Nutzerdaten zu gelangen.

Gelingt es "Phishern", ein Opfer über einen solchen präparierten Link auf eine Seite der Bank zu lotsen, können beispielsweise der PIN oder einige TANs ausgespäht werden, ohne dass der Nutzer es merkt. Selbst Fachleute sind nicht vor solchen Methoden sicher, da die manipulierten Links nicht ohne spezifisches Wissen der Technik der Bankwebseite zu erknennen sind.

Erklärtes Ziel der Phishmarkt Gruppe ist es, mit der Veröffentlichung auf die Angriffsmöglichkeiten hinzuweisen und damit die betroffenen Banken zu zwingen, die Sicherheitslücken schnellstmöglich zu schließen. Sie sehen sich in der Tradition der ersten Phishmarkt-Aktion, die tatsächlich dazu führte, dass ca. 30 Banken ihre Web-Auftritte überarbeitet haben.

Von: eCOMM