Eigentlich wollte ich bei der SEB-Bank nur kurz eine Überweisung vornehmen. Durch den Hinweis auf eine Auszeichnung für die "sehr gute Qualität" des Webauftritts neugierig geworden, schaute ich dann doch etwas genauer hin. Der kurze Blick hinter die Kulissen offenbarte Abgründe.
Auf der Startseite der SEB-Bank prangte das Gütesiegel "SEHR GUTE WEBSITE" mit einem Hinweis auf eine kürzlich erteilte Auszeichnung. Neugierig geworden, klickte ich mit der mittleren Maustaste auf "Lesen Sie mehr", um die Seite in einem neuen Reiter zu öffnen.
Ooops -- das war nicht ganz das, was ich mir von einer ausgezeichneten Website versprochen hatte. Beim zweiten Hinsehen blieb mein Blick an der Fehlermeldung hängen: Was war das? In der Adresszeile stand http://www.seb-bank.de/home.html?meldung.php und der Server konnte meldung.php.html nicht finden? Konnte ich dem Server etwa über Parameter in der URL sagen, was er in die Seite nachladen sollte? Mein Jagdinstinkt erwachte!
Tatsächlich: Ein kurzer Test mit http://www.seb-bank.de/home.html?heisec lieferte:
The requested URL /heisec.html was not found on this server
Ob der wohl auch externe Seiten nachlädt? Bei der Übergabe von "http://www.heisec.de" beschwerte sich der Server erstmal nur, dass /http://www.heisec.de.html nicht zu finden sei. Aber das "http://" braucht es ja auch nicht unbedingt; Minuten später war es vollbracht: http://www.seb-bank.de/home.html?//www.heise.de/security/dienste/browsercheck/demos/ie/verwundbar.html öffnete diese Seite:
Betrüger könnten damit Phishing-Seiten bauen, die man kaum noch als Fälschung erkennen kann: Die URL verweist tatsächlich auf die SEB-Bank, im Adressfeld steht die SEB-Bank -- doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat). Mal sehen, was da sonst noch geht -- die Nacht war noch jung.
Themen-Forum Serversicherheit
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
