/ News
Unglaubliche Sicherheitslücken bei Online-Banken Options
von tonja vom 08.01.2019 - 366 Hits -Eine gefährliche Sicherheitslücke in verblüffend vielen Websites dient Hackern als Einfallstor für ihre Angriffe. Dies meldet das Computermagazin CHIP in seiner aktuellen Ausgabe. Mit einem einfachen Trick können dann sicherheits-relevante Daten wie PIN- und TAN-Nummern fürs Online-Banking erbeutet werden.
Laut Valentin Pletzer, CHIP-Redakteur und Sicherheitsexperte, verschaffen sich gewiefte Hacker durch so genanntes Cross-site-scripting (XSS) Zugang zu zahllosen Websites, die nicht optimal gepflegt werden. Das geht vergleichsweise einfach: zum Beispiel durch Eintippen eines Javascripts in das Eingabefeld einer Suchfunktion auf der Site. Pletzer: „Wenn es der Programmierer der Website versäumt hat, die Benutzer-Eingabe zu filtern, steht die Tür für Attacken sperrangelweit offen. Es ist dann ein Kinderspiel, Seiten von Online-Banken nahezu perfekt zu fälschen und ahnungslose Kunden dorthin zu lotsen. Gegen solche XSS-Angriffe ist jeder Phishing-Filter machtlos.“
Für sicheres Surfen kann also im Prinzip nur einer sorgen: der für die jeweilige Internetseite zuständige Webmaster. Er muss sämtliche Eingabeformulare auf seiner Site vor Manipulationen schützen. Im Idealfall heißt das: Bis auf Buchstaben und Zahlen sind alle Zeichen tabu. Denn Sonderzeichen wie etwa die Spitzklammern intrepretiert der Browser als Programmcode – und führt das möglicherweise gefährliche Javascript aus.
CHIP-Redakteur Pletzer hat testweise die Webseiten mehrerer namhafter Banken gehackt. Selbst der Online-Auftritt des TÜV Süd fiel ihm für Testzwecke zum Opfer. Allerdings reagierte der TÜV, der selbst Sicherheitszertifikate für Websites ausstellt, umgehend auf einen entsprechenden CHIP-Hinweis und schloss die Sicherheitslücke.
Für seine Recherchen nutzte Pletzer unter anderem den „Chorizo Security Scanner“ ein Analyse-Tool der Sicherheitsfirma Mayflower. Jeder Betreiber einer Homepage kann sich bei Mayflower kostenlos registrieren lassen und dann mit deren Spezial-Software seine Site scannen (chorizo-scanner.com). Nach Auskunft von Johann-Peter Hartmann, dem Geschäftsführer von Mayflower, sind XSS-Lücken in Websites fast schon die Regel: „Man glaubt gar nicht, wer alles betroffen ist.“
Der komplette Artikel erscheint in der aktuellen CHIP 2/2007, die seit 5. Januar im
Handel ist.
| [Kommentar schreiben] |
Ähnliche Themen
Wo kann ich diese bestimmten Internetseiten finden??
Mathias-1980 28.03.2007 - 35 Hits - 7 Antworten
Ihre Frage
Ich möchte eine Frage im Forum stellen
