XSS: Hacker entdecken das “Phishing der Zukunft”

Die Phisher haben ‘Cross-Site Scripting’ (XSS) neu entdeckt. Achtzig Prozent der Websites sind dafür anfällig. Der Bundesverband deutscher Banken sieht jedoch keine Gefahr.

Sicherheitsexperten warnen vor neuen Angriffen mit ‘Cross-Site Scripting’ (XSS). “XSS ist das Phishing der Zukunft, weil damit die Sicherheitszertifikate der Seiten ausgehebelt werden”, sagt Thomas Schreiber, Geschäftsführer des Sicherheitsunternehmens SecureNet, im Gespräch mit silicon.de. Etwa 80 Prozent aller Webseiten seien von Attacken dieser Art bedroht.
Was XSS anrichten kann, demonstriert der britische Sicherheitsexperte Sam Greenhalgh. Greenhalgh zeigt online, wie er die Websites von Barclaycard und Mastercard manipuliert hat. So hat der Sicherheitsprofi einer Suchmaschine auf der Mastercard-Site ein Javascript untergejubelt. Unter der offiziellen Webadresse von Mastercard zeigt das Script ein Formular an, in das ein Anwender vertrauliche Daten eingeben soll. Die Daten landen nicht bei Mastercard, sondern bei Greenhalgh.

“Mithilfe bestimmter HTML-Konstrukte ist es möglich, eine Webseite oder auch nur Teilflächen mit beliebigen Eingabefeldern und Buttons auszustatten”, erklärt Schreiber. Die Hacker injizierten die Konstrukte über die Eingabefelder von Webformularen oder mithilfe von Cookies auf die Rechner der Anwender.

“Die Sicherheitslücke ist seit einigen Jahren bekannt, aber sie ist schwer in den Griff zu bekommen”, so Schreiber. Sicherheitsexperten empfehlen zwar, den Input und den Output jedes Eingabefeldes zu filtern. Dafür ließe sich jedoch keine eindeutige Regel bestimmen. Was ein Passwort-Feld oder ein Suchfeld beinhalten dürfe, sei von Anwendung zu Anwendung verschieden.

“Zudem sind gerade die Webseiten großer Unternehmen komplexe Systeme, die unter Budget- und Termindruck entwickelt werden”, meint Schreiber. Das Thema Sicherheit falle dabei oft unter den Tisch, sei es aus Budget- oder Termingründen.

Ein anderes Problem sei die Arbeitsteilung. “Die XSS-Attacken spielen sich auf der grafischen Ebene der Sites ab”, so Schreiber. Diese Ebene sei den Webgrafikern überlassen, die sich um die Sicherheit oft nur wenig Gedanken machten. Das Thema Sicherheit obliege dagegen den Programmierern, die zu wenig mit den Grafikern zusammenarbeiteten.

Schreiber hatte bereits im Mai 2003 den Bundesverband deutscher Banken (BdB) auf das Problem aufmerksam gemacht. Nach Presseberichten hatte der BdB damals zugesagt, seine Mitglieder über XSS aufzuklären. “Wir weisen regelmäßig darauf hin, dass sich die Bankkunden vergewissern sollen, mit wem sie es zu tun haben”, sagte dazu Kerstin Altendorf, Pressesprecherin des BdB, gegenüber silicon.de.

Die Bank sei nicht dafür verantwortlich, ob der Kunde ein Anti-Viren-Programm oder eine Firewall installiert habe und hafte deshalb nicht für die Schäden von Phishing-Angriffen. “Dem BdB ist aber auch kein einziger Fall bekannt, bei dem ein deutscher Kunde zu Schaden gekommen ist”, so Altendorf.

Dass es mit dem Sicherheitsbewusstsein deutscher Banken aber sehr weit her ist, erscheint derweil mehr als fraglich. So verschickte Comdirect Ende Juni an einige Kunden eine E-Mail, in der sie aufgefordert wurden, auf einen Link zu klicken und anschließend die persönlichen Daten zu aktualisieren.

“Das ist eine Methode, wie sie die Phisher benutzen”, kommentierte Schreiber. Es sei traurig, wenn eine deutsche Bank ihre Kunden so “konditioniere”. Andere Banken, wie die Postbank oder die Volksbank/Raiffeissenbank, die schon Opfer von Phishing-Attacken wurden, wiesen ihre Kunden dagegen darauf hin, dass sie sie niemals per E-Mail zur Aktualisierung von Daten aufforderten.

“Wir haben seit dem Mai 2003 die Websites der Banken nicht mehr geprüft”, meinte Schreiber. Er bezweifle jedoch, das sich in puncto Sicherheit etwas getan habe. “Uns sind drei große deutsche Banken bekannt, deren Websites man mit einem kombinierten Angriff mit XSS und einer gefälschten Authentifizierung knacken kann”, sagt Schreiber. Die Namen der Banken wollte er nicht nennen.

Was kann ein Anwender tun, um sich vor XSS-Angriffen zu schützen? “Da gibt es nicht viele Möglichkeiten”, so Schreiber. Die neueste Version des Opera-Browsers soll relativ sicher sein, was SecureNet aber noch nicht überprüft habe. Die Anwender könnten auch zu Content-Filtern wie Webwasher greifen. Die seien zwar kompliziert, aber “ein Anwender mit Erfahrung bekommt sie in den Griff”.