So ganz langsam scheinen einige Banken dem Thema "Phishing über Cross-Site-Scripting (XSS)" doch mehr Aufmerksamkeit zu schenken. Beim Einloggen in's Online-Banking meiner Bank erhalte ich seit neuestem die folgende Meldung
Bitte beachten Sie: AAAA-Bank erfragt bzw. überprüft Ihre TAN niemals in einem separaten, zweiten Fenster. Ihre TAN wird ausschließlich innerhalb der AAAA-Bank Online Seiten erfragt.
Zumindest ein erster kleiner Schritt in Richtung "Nutzer-Awareness". Wenn da plötzlich ein weiteres Fenster aufgeht, sollten Nutzer vorsichtig sein. jetzt muss die Bank nur noch das Popup-Fenster in den Griff bekommen, in dem die Meldung erscheint.
Übrigens: bei vorhandenen XSS-Lücken kann meistens auch ein iFrame eingebunden werden, da hilft der Warnhinweis mit dem eigenen Fenster auch nicht mehr viel (siehe auch "Phishmarkt" oder "Die Rückkehr des Prangers"). Ein iFrame ist aber selbst für Experten oft nur schwer zu erkennen.
Keine Kommentare:
Kommentar veröffentlichen