Banken unfähig? Websites für Phishing mit Cross-Site-Scripting anfällig

Elektronisches BezahlenMarketingSicherheitSicherheitsmanagement

Eigentlich wollten die Geldinstitute MasterCard und Barclays sich mit Initiativen gegen Phishing als besonders sicherheitsbewusst profilieren. Dabei stellte sich allerdings heraus, dass deren eigene Sites erhebliche Schwachstellen aufweisen.

Der britische Web-Entwickler Sam Greenalgh, der im letzten Jahr den “%01”-Bug im Microsoft Explorer entdeckt hat, konnte laut Netcraft Javascript in Seiten der MasterCard-Site einfügen, die bei der Lokalisierung von Geldautomaten behilflich sein sollten. Dabei verwendete er die Technik des sogenannten Cross-Site-Scripting (XSS), die regelmäßig verwendet wird, um Phishing-Attacken durchzuführen. Greenalgh weist selbst darauf hin, dass es bei seinem Test nicht um die Demonstration einer neuen Schwachstelle ging, sondern dass er zeigen wollte, wie Unternehmen, die eigentlich ein besonderes Vertrauensverhältnis zu ihren Kunden haben sollten, offenkundig nicht in der Lage sind, wohlbekannte Sicherheitsrisiken auszuschließen. (dj/mk)


Weitere Infos:

Über die unsicheren Banken-Websites

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen