Thema: Lücken in Bankenseiten

[SiLæncer]

In den letzten Jahren haben die Banken gelernt, mit dem Frame-Spoofing-Problem des Internet Explorer umzugehen. Die meisten verwenden keine Frames, andere schützen sie. Doch einzelne Bankenauftritte sind noch immer verwundbar.

Normalerweise sollte eine Webseite den Inhalt anderer, parallel angezeigter Seiten aus anderen Domains nicht manipulieren können. So sollte eine Heise-Seite keine Inhalte einer Online-Banking-Seite verändern können, die in einem anderen Fenster angezeigt wird. Besteht die Seite jedoch aus einzelnen Frames, geht genau das. Bereits 1998 berichtete heise online über dieses Problem, Mitte 2004 stellte man fest, dass sich an der Situation nichts geändert hatte und immer noch nahezu alle Browser anfällig waren.

Mittlerweile haben die meisten Browser-Hersteller nachgebessert, lediglich beim Internet Explorer ist die Voreinstellung immer noch, solche Cross-Domain-Manipulationen zu gestatten. Auf Seiten, die Frames einsetzen, lassen sich also nach wie vor perfekte Phishing-Fallen einrichten. Dabei zeigt die Adressleiste des IE die ursprüngliche URL an, der Frame mit dem Eingabeformular wird jedoch von den Fälschern kontrolliert.

Als heise Security 2004 das Problem im Browsercheck demonstrierte, waren auch diverse Bankenseiten anfällig für Frame-Spoofing, unter anderem die Postbank, die Deutsche Bank und die SEB. Die verzichten mittlerweile jedoch auf den Einsatz von Frames. Aber auch zu den meisten Banken, die noch Frames einsetzen, ist das Wissen um die damit verbundenen Probleme vorgedrungen. So verwendet die Hypo-Bank zufällig erzeugte Frame-Namen, um gezielte Zugriffe auf einzelne zu verhindern. Bei der Dresdner Bank läuft im Hintergrund eine JavaScript-Routine, die regelmäßig die Integrität des Frame-Sets überwacht. Findet sie dabei URLs, die nicht aus dem eigenen Hoheitsgebiet stammen, wird die Seite komplett neu geladen. Eine unrühmliche Ausnahme ist die Volksbank einschließlich diverser Filialen. Dort kommen Frames immer noch ohne Vorsichtsmaßnahmen zum Einsatz, sodass sich sogar verschlüsselte Login-Seiten zum Online-Banking von Phishern missbrauchen ließen.

Um sich vor derartigen Fallen zu schützen, kann man in den Einstellungen des Internet Explorer die Option "Subframes zwischen verschiedenen Domänen bewegen" deaktivieren. Der c't-Browsercheck demonstriert dieses und andere Sicherheitsprobleme und hilft Ihnen bei der Konfiguration Ihres Webbrowsers.

Siehe dazu auch:

    * Phishing mit Frames auf dem c't-Browsercheck

Quelle und Links : http://www.heise.de/security/news/meldung/68391

[SiLæncer]

Ein neuer Banking-Trojaner soll in der Lage sein, eigene Inhalte in die Seiten echter Bankseiten einzubinden, um Anwendern ihre PIN und TAN zu stehlen. Mitarbeiter der österreichischen Unternehmens AAX Business Solutions sind nach eigenen Angaben bei der Analyse eines infizierten PCs auf den Schädling gestoßen. Dieser tauscht offenbar beim Aufruf bestimmer Bankseiten Login-Frames im Browser gegen eigene aus, um darin nach der PIN und mehreren TANs zu fragen und nach der Eingabe an den Server der Betrüger zu schicken. Getestet hatten die Mitarbeiter Seiten der österreichischen Banken Raiffeisen, Sparkasse und PSK.

Unglücklicherweise nutzt dem Anwender bei derartigen Angriffen auch das Prüfen der Sicherheitsmerkmale nicht viel: Das Schloss im Browser ist geschlossen und das Zertifikat stammt auch wirklich von der Bank. Nach den heise Security vorliegenden Informationen macht sich der Trojaner dabei wohl einen Fehler des Internet Explorers zunutze. In den Voreinstellungen erlaubt Microsofts Browser so genannte Cross-Domain-Manipulationen. Dabei wertet der Browser auch nur die Sicherheitsinformationen des Hauptframes aus und die stammen von der echten Seite. Dieses Problem der "Phishing mit Frames" ist bereits seit zwei Jahren bekannt. Bei Browsern wie Firefox, Mozilla, Opera, Konqueror und Safari ist dieses Problem längst behoben, beim Internet Explorer nicht. Begünstigt wird dieses Problem allerdings dadurch, dass einige Banken auch weiterhin Frames in ihren Seiten verwenden.

Bereits 2004 wies heise Security in seinem Browsercheck auf den Sachverhalt und die Möglichkeit hin, dass Betrüger Phishing-Seiten aufsetzen könnten, die von den echten Seiten der Bank kaum zu unterscheiden sind. Banken wie die SEB, die Postbank und die Deutsche Bank haben mittlerweile ihre Seiten umgestellt und verzichten auf den Einsatz von Frames. Andere ergreifen spezielle Schutzmaßnahmen, um Missbrauch zu verhindern. So arbeitet die Hypo-Bank mit zufälligen Frame-Namen, die Dresdner überwacht via JavaScript die Integrität des Framesets. Die Browsercheck-Demo zeigt jedoch, dass dieses Phishing mit Frames beispielweise bei der DiBa immer noch funktioniert. Auch bei der österreichischen Banken wie der PSK und der Sparkasse kommen aber offenbar teilweise noch ungeschützte Frames zum Einsatz.

Wie der Trojaner auf den Rechner gelangt ist, ist noch unklar. Zahlen über seine Verbreitung liegen nicht vor. Ein installierter Virenscanner soll ihn zudem nicht erkannt haben.

Siehe dazu auch:

    * Phishing mit Frames, Demo auf dem c't Browsercheck
    * AAX entdeckt neue Phishing Attacke, Meldung von AAX
    * Bestandsaufnahme zu Phishing mit Frames, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/75915

[SiLæncer]

Die Banking-Portale der Sparda-Bank und der DAB-Bank weisen ernsthafte Sicherheitsmängel durch so genannte Cross-Site-Scripting-Lücken (XSS) auf. Michael Ott hat nach dieser Entdeckung die Banken auf das Problem aufmerksam gemacht. Gegenüber heise Security erklärte er, dass die Fehler in den Suchfunktionen der Webseiten zu finden seien, die Benutzereingaben nicht ausreichend filtern. Die Lücke bei der Sparda-Bank demonstriert Ott in verschleierter Form auch in einem Blog-Eintrag.

Bei einem XSS-Angriff lockt ein Angreifer seine Opfer mit Hilfe manipulierter Links in E-Mails oder Webseiten auf die anfällige Website. Durch die Schwachstelle ist es ihm möglich, im Browser der Opfer eigenen Skript-Code im Kontext der Website ausführen zu lassen. So kann er unter Umständen etwa an Log-in-Cookies oder andere vertrauliche Daten der Opfer gelangen, wenn er mit seinen Skripten beispielsweise Eingabemasken für PINs und TANs nachahmt. Für Bankkunden könnte leicht der Eindruck entstehen, es handle sich um eine vorgesehene Funktion des Banking-Portals.

Während die jüngst bekannt gewordenen XSS-Lücken bei Mobilfunkanbietern und auf Partei- und Regierungswebseiten noch vergleichsweise harmlos sind, bedeuten derartige Lücken bei Banking-Portalen sogar Gefahr für die Konten der Anwender. Diese können sich gegen solche Angriffe schützen, indem sie die Online-Banking-Seiten nicht über Links in fremden E-Mails oder Webseiten ansteuert. Am sichersten ist die direkte Eingabe der URL im Browser.

Siehe dazu auch:

    * Cross-Site-Scripting: Datenklau über Bande, Hintergrundartikel auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/76258

[SiLæncer]

Banken betonen gerne die Notwendigkeit, Anwendern mehr Sicherheitsbewusstsein zu vermitteln, um die Phishing-Problematik in den Griff zu bekommen. Dabei wären sie gut beraten, auch einmal systematisch vor der eigenen Tür zu kehren. Denn Schwachstellen in den Web-Seiten von Banken und anderen Finanzdienstleistern, die sich für Phishing missbrauchen lassen, sind nach wie vor weit verbreitet. So hat jetzt ein gewisser "JdM" von "23sr - security research" mehrere Lücken dokumentiert, die sich für Phishing-Angiffe ausnutzen ließen. Über spezielle URLs lassen sich bei Dresdner und Comdirect-Bank einzelne Frames mit eigenen Inhalten versehen. Eine Volksbanken-Seite kann man über eingeschleusten Skript-Code neu gestalten, und Postbank und Stadtsparkasse Düsseldorf bieten einen URL-Weiterleitungsservice auf externe Seiten. Damit könnten Phisher eine URL basteln, die zwar auf die Bank verweist, Internetnutzer aber schlussendlich auf ihren Phishing-Server lockt.

Ein Teil des Problems liegt sicherlich darin, dass beispielsweise Cross Site Scripting (XSS) nach wie vor als Kavaliersdelikt gilt und die Banken beziehungsweise deren Dienstleister nicht systematisch dagegen vorgehen, sondern nur jeweils die gerade bekannt gewordenen Lücken stopfen. Und manche tun nicht einmal dies. So veröffentlichten Unbekannte im Februar eine Reihe von XSS-Lücken, die zum Teil immer noch nicht geschlossen sind. Eine davon findet sich auf einem System der Fiducia – nach eigenen Aussagen einer der "führenden IT-Anbieter für Finanzdienstleister in Deutschland", der unter anderem viele Volksbanken betreut.

Eine kleine, unvollständige Auswahl von heise-Security-Meldungen illustriert das Problem:
Anzeige

    * Phishing-Tricks vom Phishmarkt heise Security am 30.10.2006
    * Bank-Websites weiterhin anfällig für Cross Site Scripting heise Security am 18.02.2007
    * Phishing-Loch in Volksbanken-Seiten geschlossen heise Security am 13.03.2007
    * Sparkassen schlampen bei Online-Banking-Sicherheit heise Security am 18.05.2007

Quelle und Links : http://www.heise.de/newsticker/meldung/91702

[SiLæncer]

Nur zwei Tage benötigte ein 16-jähriger Schüler um 17 kritische Sicherheitslücken verschiedenen Banken nachzuweisen. Auch die Redaktion des Computermagazins 'c't' konnte diese Fälle ohne Ausnahme nachvollziehen.

Die angesprochenen Probleme stehen im Zusammenhang mit dem so genannten "Cross-Site-Scripting". Auf diese Weise kann ein Angreifer Schadcode von anderen Webseiten laden. Obwohl man durch das Ausnutzen der Sicherheitslücken nicht in die Systeme eindringen kann, wird die Problematik dennoch als kritisch eingestuft.

Hervorgehoben wurden in dem veröffentlichten Artikel auch die sehr unterschiedlichen Reaktionen der Banken. Zunächst war es gar nicht so einfach, den richtigen Ansprechpartner für Probleme dieser Art ausfindig zu machen, heißt es.

Als Paradebeispiel wurde die Deutsche Bank angeführt. Mehrere Anläufe verliefen in diesem Fall über die Dauer von zwei Wochen hinweg ins Leere.

Ganz anders sah hingegen die Reaktion der Postbank aus. Innerhalb von wenigen Stunden wurde auf die Problematik reagiert und noch am selben Tag konnte die Schwachstelle zumindest provisorisch geschlossen werden.

Quelle : http://winfuture.de

[SiLæncer]

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Bilderstecke

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Quelle : www.heise.de