Ich hatte in letzter Zeit das Vergn\u00fcgen, zu beobachten, was bei der Kontof\u00fchrung bei der deutschen Filiale der Bank of Scotland so f\u00fcr Dinge passieren.<\/p>\n
Kurz: die Bank legt ein Verhalten an den Tag, \u00fcber das sich ein au\u00dfenstehender Betrachter eigentlich nur noch k\u00f6niglich am\u00fcsieren kann. (Dabei ist es ja gar nicht die k\u00f6nigliche, sondern die normale Bank of Scotland…)<\/p>\n
Die Absonderlichkeiten betreffen insbesondere Sicherheit, aber auch Service und unglaubliche Reaktionsfaulheit.<\/p>\n
1. Sicherheitsl\u00fccke bank-of-scotland.de Ich beginne mal mit der offensichtlichen und extrem gef\u00e4hrlichen Sicherheitsl\u00fccke. Die Bank of Scotland betreibt zwar die domain bankofscotland.de, aber es gibt ja auch die Version mit Bindestrichen, die Domain bank-of-scotland.de. Die geh\u00f6rt laut DENIC jemand anderem, nicht<\/strong> der Bank of Scotland. Es befand sich dort allerdings bisher — zumindest soweit es aussah — eine Weiterleitung auf die normale Domain.<\/p>\n Soweit ist das nur komisches Gemauschel zwischen Firmen. Nun wurde die Domain mit Bindestrichen aber mindestens zweimal gehacked. Zur Zeit befindet sich dort ein h\u00fcbscher JavaScript, der vorgibt, ein Windows-Virenscanner zu sein, falls man die Seite mit Internet Explorer \u00f6ffnet. Die Webseite versucht dann, dem Benutzer einen Trojaner unterzuschieben. Firefox bekommt allerdings (zumindest scheinbar) eine normale Weiterleitung.<\/p>\n Da fragt man sich doch: k\u00f6nnte der Hacker nicht mehr tun, als nur zu versuchen, die Benutzer zu infizieren? Insbesondere k\u00f6nnte er die Logindaten all derer einsammeln, die die falsche Domain eintippen und nicht den Herausgeber des SSL-Zertifikats pr\u00fcfen. Ohne \u00c4nderung der Navigationsleiste ist das ohnehin trivial, aber ein paar Rewrite-Tricks sollten sogar die Bindestriche entfernen k\u00f6nnen. So oder so ist der Benutzer auf einer falschen Domain. Der Hacker kann dem Benutzer dann zusehen, von der Passworteingabe bis zu jeder \u00c4nderung, die der Benutzer im Konto ausf\u00fchrt, und all dies an die echte Bank of Scotland weiterleiten — oder auch nicht.<\/p>\n Klar, es fehlt noch das TAN-System, um das Referezkonto zu \u00e4ndern und alles leerzur\u00e4umen, aber das funktioniert per SMS — nicht gerade die Definition von Datensicherheit. Au\u00dferdem kann man TANs ja durch ein Wenig Interface-Simulation vom Benutzer abfangen oder abfragen. Das k\u00f6nnte folgenderma\u00dfen funktionieren: solange ein Hacker Kontrolle \u00fcber die Domain hat, die der Benutzer f\u00fcr korrekt h\u00e4lt, kann er diesem falsche Daten anzeigen — und dem Benutzer Geld anzeigen, das er l\u00e4ngst vom Konto ger\u00e4umt hat. Oder er k\u00f6nnte Aktionen best\u00e4tigen, die TANs ben\u00f6tigt haben, aber tats\u00e4chlich nicht an die echte Bank of Scotland weitergeleitet wurden. Jedes Mal, wenn der Benutzer im gef\u00e4lschten Interface eine TAN verwendet, kann der Hacker eine Operation auf dem echten Konto durchf\u00fchren.<\/p>\n Ich finde diese Situation h\u00f6chst beunruhigend. Ich bin „SilentAssault“ — dem ersten Hacker oder seiner Software — ausgesprochen dankbar f\u00fcr seine Warnung. Der tat das einzig richtige und \u00fcberschrieb die Webseite mit einer Seite, die dem Benutzer klar machte, dass die Webseite nicht sicher ist und deshalb \u00fcbernommen wurde. Ohne ihn w\u00fcrde dieser Artikel so nicht existieren, da ich gar nicht bemerkt h\u00e4tte, was es mit den Domains auf sich hat.<\/p>\n 2. Das Kontaktformular made in Mumbai<\/strong><\/p>\n Die Person, bei der ich die Kontof\u00fchrung bei der Bank of Scotland beobachten konnte, hatte eine Frage an die Bank. Es ging um sehr fragw\u00fcrdiges Verhalten der Bank zu einem anderen Thema, aber darauf m\u00f6chte ich hier nicht weiter eingehen. Jedenfalls stellte sich heraus, dass der normale Weg, die Bank zu kontaktieren, ein Kontaktformular im Kundenbereich ist. Dieses hat interessante Eigenschaften, zum beispiel folgende: Nachrichten haben eine begrenzte Lebensdauer, nach der sie automatisch gel\u00f6scht werden. Die Nachrichten kann man auch nicht mit normalem Copy&Paste herauskopieren.<\/p>\n Der Grund, warum solche Details \u00fcberhaupt aufgefallen sind? Die Bank beantwortete eine Anfrage nicht, und nach ein paar Monaten wird auch die unbeantwortete Nachricht automatisch gel\u00f6scht. Immerhin steht ein Warnhinweis dazu im Kontaktformular, sehr viel besser wird dieser nfug dadurch allerdings auch nicht. Jedenfalls wollte der Kunde den Inhalt des Formulars herauskopieren, was clientseitig blockiert war. Nat\u00fcrlich ist diese Blockade wirkungslos, wenn man sich den Seitenquelltext ansieht und von diesem kopiert, was ich also tat.<\/p>\n Und an dieser Stelle kommt eine rhetorische Pause, denn der Quelltext war ziemlich unglaublich<\/strong>. Nat\u00fcrlich warf ich auch einen Blick auf andere Dinge als die zu kopierende Nachricht, darunter ein JavaScript. Er beginnt mit einer Copyright-Notice von „i-flex Solutions Limited, Mumbai, India“ aus dem Jahr 2004. Ich hoffe mal, dass die Bank of Scotland schriftliche Erlaubnis hat, sich nicht daran zu halten, aber das ist jetzt nicht so wichtig. Der Witz ist n\u00e4mlich der Quellcode selbst, den ich hier leider wegen den Copyright Notices nicht ver\u00f6ffentlichen darf. Um er kurz zu fassen: das ist der f\u00fcrchterlichste Programmcode, den ich je entdeckt habe.<\/p>\n Ich wei\u00df gar nicht, welche Richtlinie von Programmierstil die Programmierer nicht<\/em> gebrochen haben. Ich hole jetzt einmal kurz Luft f\u00fcr die Programmierer unter unseren Lesern, und versuche, nur den Anblick zu beschreiben, ohne auf den Inhalt auch nur einzugehen. Auskommentierte Codezeilen werden an den Benutzer geschickt, die Variablen tragen Namen wie „str“ und „str1“, asymmetrische und inkonsistente Verwendung von Leerzeichen oder Typographie im Allgemeinen ist allgegenw\u00e4rtig. Magic Values sind nat\u00fcrlich auch dabei, v\u00f6llig egal ob sie gerade nur der generellen Unleserlichkeit dienen oder sogar zus\u00e4tzlich den Quelltext verkomplizieren, da das Programm ihnen noch magischere Bedeutungen zuschreibt. Bis ins letzte Detail wie der Gro\u00df\/Kleinschreibung von HTML-Tags ist geradezu alles inkonsistent.<\/p>\n Ich w\u00fcsste gerne, wie die Bank of Scotland es sich vorstellt, Updates oder Wartungsarbeiten an solcher Software durchzuf\u00fchren. Mehr interessiert mich aber, ob die restliche Software der Bank \u00e4hnliche Qualit\u00e4t hat — immerhin vertrauen ihre Kunden dieser ja ihr Geld an. Wie sorgf\u00e4ltig sich diese Bank um solche Sicherheitsfragen k\u00fcmmert, haben wir aber ohnehin schon oben gesehen — was soll man schon erwarten, wenn sie es nicht einmal hinbekommen, sich die wichtigen Domains zu sichern?<\/p>\n Fazit<\/strong><\/p>\n Ich muss mich jedenfalls stark wundern, was die deutsche Filiale der Bank of Scotland, eine reine Onlinebank<\/strong>, unter Sicherheit und Softwarequalit\u00e4t versteht. Als ich sie anrief, um sie auf den zweiten und diesmal gef\u00e4hrlichen Hack von bank-of-scotland.de anzusprechen, ging niemand ans Telefon. Nicht ihre Gesch\u00e4ftszeiten. Da wird auch keine Ausnahme gemacht, wenn jemand unter ihrem Namen Trojaner verbreitet.<\/p>\n Es verbreitet also gerade jemand Trojaner an Computer, mit denen Onlinebanking bei der Bank of Scotland betrieben wird. Ist doch eigentlich nicht so schlimm, oder? Kann sicherlich noch ein Wenig warten, erstmal Feierabend machen. ;)<\/p>\n","protected":false},"excerpt":{"rendered":" Ich hatte in letzter Zeit das Vergn\u00fcgen, zu beobachten, was bei der Kontof\u00fchrung bei der deutschen Filiale der Bank of Scotland so f\u00fcr Dinge passieren. Kurz: die Bank legt ein Verhalten an den Tag, \u00fcber das sich ein au\u00dfenstehender Betrachter eigentlich nur noch k\u00f6niglich am\u00fcsieren kann. (Dabei ist es ja gar nicht die k\u00f6nigliche, sondern […]<\/p>\n","protected":false},"author":12,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1923","post","type-post","status-publish","format-standard","hentry","category-allgemeines"],"_links":{"self":[{"href":"https:\/\/blog.acureus.com\/index.php?rest_route=\/wp\/v2\/posts\/1923","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.acureus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.acureus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.acureus.com\/index.php?rest_route=\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.acureus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1923"}],"version-history":[{"count":10,"href":"https:\/\/blog.acureus.com\/index.php?rest_route=\/wp\/v2\/posts\/1923\/revisions"}],"predecessor-version":[{"id":1926,"href":"https:\/\/blog.acureus.com\/index.php?rest_route=\/wp\/v2\/posts\/1923\/revisions\/1926"}],"wp:attachment":[{"href":"https:\/\/blog.acureus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1923"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.acureus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1923"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.acureus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1923"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n<\/strong><\/p>\n