.bank.in sollte Phishing stoppen: Registry leakte sensible Bankdaten

.bank.in sollte indische Bankseiten vertrauenswürdiger machen und Phishing erschweren. Nun steht ausgerechnet die Registry hinter diesem Sicherheitsversprechen unter Druck: Über offene Schnittstellen sollen sensible Informationen von Bankmitarbeitern abrufbar gewesen sein. Für Leser von Software– und Security-Themen ist der Fall ein Lehrstück über digitale Vertrauensanker, die nur so stark sind wie ihre technische Verwaltung.

Indien hatte .bank.in als exklusiven Namensraum für Banken eingeführt. Die Idee war einfach: Wenn Nutzer eine Bankseite unter einer geprüften Domain sehen, sollen gefälschte Adressen, Tippfehler-Domains und klassische Phishing-Kopien leichter auffallen. Für Nichtbanken im Finanzsektor war zusätzlich .fin.in vorgesehen. Die Domains sollten digitale Finanzdienste sichtbarer, standardisierter und glaubwürdiger machen.

Der aktuelle Sicherheitsbericht dreht dieses Ziel jedoch um. Die Registry, die solche Domains verwalten sollte, soll über nicht abgesicherte APIs sensible Daten offengelegt haben. Genannt werden unter anderem E-Mail-Adressen, Mobilnummern, Login-IPs, Gerätefingerprints und Passwort-Hashes von Mitarbeitern, die Bankdomains verwalten. Das ist besonders kritisch, weil solche Daten nicht nur für Spam reichen. Sie können für glaubwürdige Angriffe auf genau die Personen genutzt werden, die DNS, Registrierung und Bankdomain-Prozesse betreuen.

Aus einem Vertrauensanker wurde ein Angriffspfad

Ein spezieller Bank-Namensraum kann Phishing erschweren, aber er löst das Problem nicht automatisch. Nutzer müssen wissen, worauf sie achten. Banken müssen sauber migrieren. Registrare müssen streng prüfen. DNS, Zertifikate, E-Mail-Schutz und interne Prozesse müssen zusammenpassen. Sobald die zentrale Registrierungsplattform schwach ist, entsteht ein neues Risiko an einer besonders empfindlichen Stelle.

Der Bericht beschreibt genau dieses Szenario. Nicht die sichtbare Bank-Webseite soll das Hauptproblem gewesen sein, sondern das Portal für die Registrierung und Verwaltung der Domains. Wenn Angreifer Zugriff auf Listen mit Bankmitarbeitern, Organisationen, Rechnungsbezug und technischen Metadaten bekommen, können sie sehr zielgenau arbeiten. Eine Phishing-Mail wirkt glaubwürdiger, wenn sie den richtigen Namen, die richtige Bank, den richtigen Aufgabenbereich und den passenden Domain-Kontext nennt.

Berichteter SchwachpunktMögliches AngriffsszenarioWarum es gefährlich ist
Offene Registry-APIsDatenabzug ohne Loginzentrale Bankinfrastruktur wird angreifbar
E-Mail-Adressen und Mobilnummerngezielte Spear-Phishing-MailsBankmitarbeiter werden direkt adressierbar
Login-IPs und Gerätefingerprintsglaubwürdige Geräte- oder StandortbezügeSocial Engineering wird realistischer
Passwort-HashesOffline-Angriffe auf schwache Passwörterweitere Konten können gefährdet sein
Fehlende DNSSEC-PflichtManipulationen bleiben schwerer erkennbarDomainvertrauen wird geschwächt
Fehlende DMARC-Pflichtgefälschte E-Mails wirken plausiblerPhishing-Schutz bleibt unvollständig

Besonders problematisch ist der mögliche Domain-Hijacking-Winkel. Wer sich Zugang zum Registry-Portal verschafft oder einen Mitarbeiter glaubwürdig täuscht, könnte theoretisch Registrierungen, DNS-Einträge oder Kontaktinformationen angreifen. Genau solche Manipulationen gehören zu den schlimmsten Fällen bei Finanzdomains, weil sie legitime Bankadressen in falsche technische Richtungen lenken könnten.

Der Fall zeigt außerdem, dass eine vertrauenswürdige Endung allein kein Sicherheitskonzept ist. .bank.in kann Nutzern helfen, eine offizielle Bankadresse leichter zu erkennen. Ohne starke Vorgaben für DNSSEC, DMARC, HSTS, CAA, Auditierung, Bug-Bounty-Prozesse, Logging und Mehr-Faktor-Schutz bleibt aber eine große Lücke zwischen Namensschild und tatsächlicher Sicherheit.

Bankkunden sollten der Domain nicht blind vertrauen

Für normale Bankkunden bedeutet der Vorfall nicht automatisch, dass ihr Konto kompromittiert wurde. Der Bericht betrifft die Registry- und Verwaltungsseite der Bankdomains, nicht direkt das Onlinebanking jedes einzelnen Kunden. Trotzdem ist der praktische Schluss wichtig: Eine offizielle Domainendung ist ein Hinweis, aber kein Freibrief.

Wer Onlinebanking nutzt, sollte Adressen weiter über gespeicherte Lesezeichen, offizielle Apps oder manuell bekannte Bankseiten öffnen. Links aus E-Mails, SMS, Messengern oder angeblichen Support-Nachrichten bleiben riskant, selbst wenn sie mit echten Begriffen, Banknamen oder Domainkontext arbeiten. Gerade nach einem möglichen Datenabfluss bei Domainverwaltern können Angreifer Nachrichten formulieren, die ungewöhnlich gut informiert wirken.

Für Banken und Registrare ist die Lehre härter. Administratoren mit Zugriff auf Domainregistrierung brauchen strenge Mehr-Faktor-Authentifizierung, getrennte Rollen, kurze Sitzungen, nachvollziehbare Freigaben, Alarmierung bei DNS-Änderungen und regelmäßige Prüfungen. Wer Passwortmanager und Zwei-Faktor-Schutz nur als Verbraucherthema sieht, unterschätzt den Wert solcher Grundlagen in kritischer Infrastruktur.

  • Für Kunden: Bankseiten nicht über Links in Nachrichten öffnen, sondern über gespeicherte Favoriten oder offizielle Apps.
  • Für Bankmitarbeiter: Unerwartete Registry-, DNS- oder Zertifikatsmails besonders kritisch prüfen.
  • Für Banken: DMARC, DNSSEC, HSTS und CAA nicht als Kür behandeln.
  • Für Registrare: APIs müssen standardmäßig authentifiziert, protokolliert und extern geprüft sein.
  • Für Aufsichtsstellen: Ein vertrauenswürdiger Namensraum braucht öffentliche Mindeststandards und Meldewege.

Der Fall passt in eine größere Verschiebung der Sicherheitsdebatte. Phishing wird nicht nur durch gefälschte Domains besser, sondern auch durch bessere Kontextdaten. Angreifer brauchen weniger Glück, wenn sie wissen, welche Person für welche Domain zuständig ist. Moderne Zugangsmethoden wie Passkeys für passwortlose Anmeldung können helfen, aber sie ersetzen keine saubere Registry-Sicherheit und keine gehärteten Verwaltungsprozesse.

Die gemeldeten Schwachstellen sollen nach Disclosure an CERT-In im Juni behoben worden sein. Offen bleibt, wer die Daten während der mehrmonatigen Laufzeit tatsächlich gesehen hat, welche Konten zurückgesetzt wurden und ob Bankmitarbeiter aktiv gewarnt wurden. Ebenso offen ist, ob .bank.in künftig verpflichtende technische Sicherheitsstandards bekommt, die über reine Registrierungsprüfung hinausgehen.

.bank.in sollte Phishing in Indien erschweren, doch der berichtete Registry-Vorfall zeigt die Kehrseite zentraler Vertrauenssysteme. Wenn ausgerechnet die Plattform zur Verwaltung offizieller Bankdomains sensible Mitarbeiterdaten über offene APIs preisgibt, entstehen neue Wege für Spear-Phishing, Impersonation und mögliche Domainangriffe. Nutzer sollten Banklinks weiter misstrauen, Banken müssen Domainverwaltung härten, und ein sicherer Finanz-Namensraum braucht mehr als eine vertrauenswürdig klingende Endung.