Britische Banken schlampen bei Web-Site-Sicherheit

Mit einem Test der Web-Seiten großer britischer Banken hat heise Security/UK erstaunliche Lücken aufgedeckt: Von den neun untersuchten, großen Banken waren nur drei Web-Auftritte immun gegen allereinfachste Angriffe, mit denen sich nahezu perfekte Phishing-Seiten aufsetzen ließen.

Die Tests kratzten dabei nur an der Oberfläche und konzentrierten sich auf seit Jahren bekannte Probleme, die eigentlich jeder Web-Entwickler kennen sollte. Doch die britischen Banken-Sites ignorieren teilweise einfachste Sicherheitsregeln: Selbst Anmeldeseiten für das PIN/TAN-Verfahren verwenden Frames oder übernehmen Benutzereingaben völlig ungefiltert. Das Resultat: Mit einfachen Tricks wie Frame Spoofing oder Cross Site Scripting könnten Phisher täuschend echte Fälschungen aufsetzen, die selbst von erfahrenen Anwendern nicht mehr als solche zu erkennen sind.

Auch in Deutschland gibt es noch immer schwarze Schafe wie die DiBa, die Frames völlig ungeschützt einsetzen (siehe Browsercheck-Demo), doch insgesamt ist mittlerweile das Sicherheitsniveau der Web-Seiten auf einem höheren Stand. In den vergangenen Jahren haben viele Banken ihre Seiten überarbeitet und verzichten entweder ganz auf Frames oder schützen diese zumindest durch zusätzliche Maßnahmen. Auch wenn immer noch hier und da Cross-Site-Scripting-Lücken aufgedeckt werden, gehört das Filtern von Benutzereingaben doch bereits zum Standard.

Siehe dazu auch: (ju)

• Many UK banks could do better to protect customers from phishing attacks News-Meldung auf heise Security
• You can't Bank on Security Testergebnisse inklusive Demos
• Banking, phishing and the suspension of disbelief Kommentar auf heise Security