#1 26. Juni 2007 Banken betonen gerne die Notwendigkeit, Anwendern mehr Sicherheitsbewusstsein zu vermitteln, um die Phishing-Problematik in den Griff zu bekommen. Dabei wären sie gut beraten, auch einmal systematisch vor der eigenen Tür zu kehren. Denn Schwachstellen in den Web-Seiten von Banken und anderen Finanzdienstleistern, die sich für Phishing missbrauchen lassen, sind nach wie vor weit verbreitet. So hat jetzt ein gewisser "JdM" von "23sr - security research" mehrere Lücken dokumentiert, die sich für Phishing-Angiffe ausnutzen ließen. Über spezielle URLs lassen sich bei Dresdner und Comdirect-Bank einzelne Frames mit eigenen Inhalten versehen. Eine Volksbanken-Seite kann man über eingeschleusten Skript-Code neu gestalten, und Postbank und Stadtsparkasse Düsseldorf bieten einen URL-Weiterleitungsservice auf externe Seiten. Damit könnten Phisher eine URL basteln, die zwar auf die Bank verweist, Internetnutzer aber schlussendlich auf ihren Phishing-Server lockt. Manipulierte Seite der Dresdner Bank Ein Teil des Problems liegt sicherlich darin, dass beispielsweise Cross Site Scripting (XSS) nach wie vor als Kavaliersdelikt gilt und die Banken beziehungsweise deren Dienstleister nicht systematisch dagegen vorgehen, sondern nur jeweils die gerade bekannt gewordenen Lücken stopfen. Und manche tun nicht einmal dies. So veröffentlichten Unbekannte im Februar eine Reihe von XSS-Lücken, die zum Teil immer noch nicht geschlossen sind. Eine davon findet sich auf einem System der Fiducia – nach eigenen Aussagen einer der "führenden IT-Anbieter für Finanzdienstleister in Deutschland", der unter anderem viele Volksbanken betreut. Quelle:http://www.heise.de/newsticker/meldung/91702 + Multi-Zitat Zitieren