Jeder, der sich heute mit dem Internet und Internet-Diensten beschäftigen will oder muss, sollte sich auch über die möglichen Gefahren durch so genannte Cyber-Kriminelle informieren. Eine beliebte Variante von Cyber-Abzocker ist das so genannte 'Phishing'. Beim Phishing erhält das Opfer eine E-Mail, vermeintlich von seiner Hausbank, in der er aufgefordert wird, die Bank zu kontaktieren. Hierbei bräuchte er lediglich auf den in der Mail vorhandenen Link zu klicken und sich mittels PIN und TAN-Nummer zu autorisieren.
Ist das Opfer auf eines der E-Mails hereingefallen, so hat er sich den Tätern offenbart. Mittels der PIN- und der TAN-Nummer kann der Dieb dann zu mindestens eine Geldtransaktion vornehmen und seinen Opfer finanziell schädigen. Oft werden unbedarfte Opfer aufgefordert, noch eine zweite TAN-Nummer einzugeben und das böse Erwachen ist dann zumeist sehr groß.
Man sollte meinen, dass die Banken nach Bekannt werden derartiger Sicherheitslücken alles tun, um mögliche Manipulationen seitens Cyber-Kriminelle zu verhindern, doch dem ist nicht so: Ein Tester mit dem Pseudonym 'JdM' von '23sr - security research' hat festgestellt, dass die Portale gewisser Banken keinesfalls sicher sind und hat diese auch dokumentiert.
So lassen sich beispielsweise über spezielle URLs der Dresdener Bank und der Comdirect-Bank einzelne Cyber-Frames vorschalten und mit eigenen Inhalten versehen. Eine Volksbanken-Seite kann man über eingeschleusten Skript-Code neu gestalten, und Postbank und Stadtsparkasse Düsseldorf bieten einen URL-Weiterleitungsservice auf externe Seiten. Damit könnten Phisher eine URL basteln, die zwar auf die Bank verweist, Internetnutzer aber schlussendlich auf ihren Phishing-Server lockt.
Im Heise-Portal ist dazu ebenfalls ein Beitrag zu lesen. Hier heißt es unter anderem: Ein Teil des Problems liegt sicherlich darin, dass beispielsweise Cross Site Scripting (XSS) nach wie vor als Kavaliersdelikt gilt und die Banken beziehungsweise deren Dienstleister nicht systematisch dagegen vorgehen, sondern nur jeweils die gerade bekannt gewordenen Lücken stopfen. Und manche tun nicht einmal dies. So veröffentlichten Unbekannte im Februar eine Reihe von XSS-Lücken, die zum Teil immer noch nicht geschlossen sind. Eine davon findet sich auf einem System der Fiducia – nach eigenen Aussagen einer der "führenden IT-Anbieter für Finanzdienstleister in Deutschland", der unter anderem viele Volksbanken betreut.
