Hallo.

Ich fände es schon ein starkes Stück, wenn es einem Cracker durch Social-Engineering gelänge, seinem Opfer das Bookmarklet unterzuschieben, ihm zu erklären, dass das Skript das Optimum aus seiner Online-Banking hole und das Opfer dann auch tatsächlich nach dem Ausfüllen des Anmeldeformulares und vor dessen Absenden das Bookmarklet aktiviert.

1. Man sende eine E-Mail unter dem Namen eines Bekannten, eines bisher vertrauenswürdigen Unternehmens oder eines möglichst häufigen Namens.
2. Man verweise auf ein Bookmarklet, das die Eingaben in Formularelemente an einen anderen Server weiterleitet.
3. Man beschreibe die Technik hinter dem Bookmarklet als den ultimativen Phishing-Schutz.
4. Man leite den Nutzer dazu an, a) das Bookmarklet ordnungsgemaß abzulegen und b) es zum Zweck einer vermeintlich noch sicheren Verschlüsselung aufzurufen, wenn man gerade auf den Seiten seiner Bank die persönlichen Daten angegeben hat.
5. Man garniere die Nachricht mit Warnungen vor Phishing-Seiten und verweise auf einschlägige Artikel von Nachrichtendiensten oder Kreditinstituten.
Bemerkenswert:

• Das Bookmarklet ist auch ohne Anpassung nicht auf bestimmte Kreditinstitute beschränkt.
• Die Bookmarks für das Homebanking bleiben ansonsten unberührt.
• Die Seiten der Bank bleiben äußerlich unberührt.
• Das Bookmarklet tritt wahlwise gar nicht oder in Form einer Bestätigung in Erscheinung.
• Es gibt keine browser-seitigen Warnmeldungen.
• Die Bank-Transaktionen funktionieren.
• Das Leeren des Caches oder das Löschen von Cookies nutzt nichts.
  Was daran "ein starkes Stück" sein soll, einen unbedarften Internet-Nutzer in solcher oder ähnlicher Weise hinters Licht zu führen, kann ich nicht nachvollziehen.
  MfG, at