Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Design schlägt Security, auch beim Ebanking?

15. Juli 2011

Wenn man sich so überlegt, was man von der eBanking-Webseite der eigenen Bank will, steht eines wohl garantiert nicht auf der Liste: unangekündigtes Redesign der Webseite mit eingebundenen aktivem Code von unbekannten Drittanbietern aus dem Ausland. Und gerade bei eBanking-Anbietern würde man als normaler Benutzer eine gesteigerte Awareness zu solchen Themen erwarten.

Wie man es als Bank nicht machen sollte, führt übrigens gerade die Direct-Banking-Tochter einer der grössten heimischen Bankengruppen vor: unangekündigtes Redesign der Webseite, eingebundenes JavaScript von unbekannten ausländischen Drittanbietern - und auf eine entsprechende Anfrage wochenlang keine Antwort.

Wenn also nicht einmal kommerzielle eBanking-Anbieter im Jahr 2011 grundlegende Security-Prinzipien beachten, wen wundert es da noch, wenn Endbenutzer auf optisch seriös wirkende Phishing-Attacken hereinfallen?

(Ein schneller, defintiv nicht vollständiger, Test der anderen Bank-Webseiten fördert mindestens eine weitere zu Tage die JavaScript von externen Anbietern einbindet.)

Wir werden diesen Post auch unseren Kontakten bei den entsprechenden Banken näherbringen, und sind gespannt auf etwaige Stellungnahmen.

Autor: Robert Waldner

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2011/7/15 - 12:27:08
Haftungsausschluss / Datenschutzerklärung