Zahlreiche Webauftritte der Volks- und Raiffeisenbanken mussten Ende letzer Woche aktualisiert werden, um eine Phishing-Lücke zu schließen. Über eine präparierte URL war es möglich, Inhalte anderer Server in die Seiten der Banken einzublenden. Eine vom Sicherheitsspezialisten Constantin Hofstetter der Redaktion von heise Security zur Verfügung gestellte, nicht öffentliche Cross-Site-Scripting-Demo veranschaulichte das Problem. Dabei wurde im Kontext der Bankenseite ein IFrame eingeblendet, in dem nach einer PIN und mehreren TANs gefragt wurde. Mehr bei www.heise.de .