Das Online-Banking-Portal der Volksbanken ist anfällig für eine Cross-Site-Scripting-Lücke (XSS), die Phisher missbrauchen können, um echt wirkende Gauner-Webseiten zu erstellen. Durch die XSS-Lücke ist es etwa möglich, die URL einer gefälschten Seiten so erscheinen zu lassen, als stamme sie aus dem Volksbank-Banking-Portal.
In unseren Tests ist jedoch etwa im Firefox die https-URL in der Adresszeile nicht gelb unterlegt; wer nicht genau hinsieht, erkennt das durchgestrichene Schloss nicht als solches. In einem Blog-Eintrag stellt der Entdecker der Schwachstelle, Constantin Hofstetter, gleich vier funktionierende Links zur Demonstration des Fehlers bereit.
Laut einem heise Security vorliegenden Schriftwechsel hat Hofstetter die VR-Networld schon vor zwei Monaten über die Lücke informiert. Allerdings wurden bisher noch keine Gegenmaßnahmen ergriffen, da die Beispiele jetzt noch funktionieren. Karin Stempfhuber, Sprecherin des Volksbank-IT-Dienstleisters Fiducia, bestätigte gegenüber heise Security das Problem. Ihr würden jedoch keine Informationen über eine Benachrichtigung vorliegen. Es ist bis jetzt noch unklar, wo die Meldung in dem Bermuda-Dreieck zwischen Autor, VR-Networld und Fiducia verschollen ist.
Online-Banking-Portale sollten generell nur aus Bookmarks heraus angesurft beziehungsweise die Adresse manuell in die Adresszeile des Browsers eingeben werden. Banken versenden grundsätzlich keine E-Mails, die Kunden zur Eingabe von TANs auffordern – solche E-Mails sollten umgehend gelöscht oder der Bank weitergeleitet werden, damit diese Maßnahmen ergreifen kann.
Siehe dazu auch:
* Volksbank-UNSICHERbanking Blog-Eintrag mit Links von Constantin Hofstetter
Quelle und Links :
http://www.heise.de/security/news/meldung/67698
