Nachtrag 3.6.2011. Clickjacking am Beispiel der Sparkasse.

Clickjacking, Phishing am Beispiel der Sparkasse.28.05.2011 ( KOD )

 

!!BEISPIELE FUNKTIONIEREN MIT DEN AKTUELLEN BROWSERN NICHT MEHR!!

Nachtrag 15.11.2011

Die Sparkasse Dieburg hat das Sicherheitsloch geschlossen.
Die aufgeführten Beispiele mit Seiten der Sparkasse funktionieren nicht mehr.

IE8 und IE9 sind scheinbar sicher vor diesem Angriff.
NUR für CHROME und FireFox

Gestern habe ich ein Beispiel abgestellt, damit Sie einen groben Überblick darüber bekommen was Clickjacking ( Phishing ) ist.

Damit das noch ein wenig verständlicher ist, habe ich ein weiteres Beispiel mit der Webseite der Sparkasse erstellt. Übrigens klappt das Beispiel auch bei der Webseite der Stadt Rödermark. Hier wird deutlich was passieren kann, wenn Sicherheitsvorkehrungen unterbleiben. Das Beispiel für den Einstieg in diese Seite ist für den Test völlig harmlos und führt anschließend wieder auf diese Seite hier zurück.

Stellen Sie sich vor, Sie bekommen von Ihrer Sparkasse eine Werbemail (natürlich mit Logo und, und, und…) und sollen einmal die Seite der Sparkasse besuchen.

Die Mail (Link nur dann anklicken wenn Sie mit FireFox oder Chrome unterwegs sind und JavaScript aktiviert haben.)

Sehr geehrter Sparkassenkunde,

wir haben für Sie interessante Angebote für Sie. Besuchen Sie unsere Homepage www.sparkasse.de und klicken auf Privatkunden.
Mit freundlichen Grüße
der Kundenservice Ihrer Sparkasse.

Nach dem Klick auf den o.g. Link ( www.sparkasse.de ) befinden Sie sich auf der ORIGINALSEITE der Sparkasse. Wird jetzt wie in der Mail vorgeschlagen auf (bei FireFox oder Chrome) auf Privatkunden geklickt habe ich Sie im Griff. Ich könnte Ihnen jetzt eine Kopie einer weiteren Sparkassenseite unterschieben und Sie nach den Zugangsdaten fragen. Natürlich erkennen Sie die falschen Aufrufe in der Zeile, in der Sie normalerweise die URL (Webadresse) eingeben. Aber sind wir einmal ehrlich, wer achtet noch darauf, wenn man von einer vertrauenswürdigen Seite weitergeleitet wird. Insbesondere wenn sich die RICHTIGE Seite

https://bankingportal.sparkasse-dieburg.de/portal/portal/StartenIPSTANDARD

nennt, und wenn ich dann betrügen wollte, mir ganz einfach die folgende, noch freie, Internetadresse zulege:

http://bankingportal.sparkasse-dieburg.be/portal/portal/StartenIPSTANDARD

Der Unterschied ist schlecht zu erkennen und wird wohl kaum auffallen.

Hier das Beispiel mit der Webseite der Stadt Rödermark. http://www.roedermark.de.
Beispiel mit der Webseite von BM Roland Kern.

Es wäre übrigens einfach das zu unterbinden. Tipp für die Programmierer der Sparkasse:
header(„X-Frame-Options: DENY“)

Nachtrag 03.06.2011
Sparkasse. Man befasst sich mit dem Problem an.

Dieser Blog wurde angesurft mit
IE -> 37%
FireFox -> 31%
Chrome -> 2%
Rest -> 30%

Nachtrag 20.07.2011
Siehe: Geldraub über das Internet.

3 Replies to “Nachtrag 3.6.2011. Clickjacking am Beispiel der Sparkasse.”

  1. Hammerhart die Sparkasse!
    Sparkasse, ist Euer PIN wenigstens sicher?

  2. Ob die Sparkasse das Problem überhaupt kennt

    Admin
    Ich habe die Sparkasse angeschrieben.