Der Südwestrundfunk (SWR3) hat eine Schwachstelle im Online-Banking der Postbank aufgedeckt, mit der es ohne Kenntnis des Passwort oder einer PIN möglich ist, auf ein Konto zuzugreifen. Allerdings muss dass Opfer einem Angreifer dazu einen Link mit seiner gültigen Session-ID schicken. Laut SWR3 soll dies bei unerfahrenen Internet-Nutzern häufiger vorkommen, die per Cut and Paste etwa einem Geschäftspartner die Kopie einer Quittung per Mail schicken wollen. Durch den Aufruf der mitkopierten URL ist es dem Empfänger dann möglich, auf das Konto des Absenders zuzugreifen – ohne allerdings etwas verändern oder überweisen zu können, da ihm dafür die TANs fehlen. Immerhin hat er aber Einblick in den Kontostand.

Quelle: Heise.de / Zum Artikel