Moin!

Ich fände es schon ein starkes Stück, wenn es einem Cracker durch Social-Engineering gelänge, seinem Opfer das Bookmarklet unterzuschieben, ihm zu erklären, dass das Skript das Optimum aus seiner Online-Banking hole und das Opfer dann auch tatsächlich nach dem Ausfüllen des Anmeldeformulares und vor dessen Absenden das Bookmarklet aktiviert.

1. Man sende eine E-Mail unter dem Namen eines Bekannten, eines bisher vertrauenswürdigen Unternehmens oder eines möglichst häufigen Namens.
2. Man verweise auf ein Bookmarklet, das die Eingaben in Formularelemente an einen anderen Server weiterleitet.

Und vergesse dabei nicht, diese Funktionalität auf gar keinen Fall zu erwähnen oder erkennbar zu machen.

3. Man beschreibe die Technik hinter dem Bookmarklet als den ultimativen Phishing-Schutz.

Informiertere Zeitgenossen werden darauf wohl nicht hereinfallen, die typische Phishing-Zielgruppe leider schon.

4. Man leite den Nutzer dazu an, a) das Bookmarklet ordnungsgemaß abzulegen und b) es zum Zweck einer vermeintlich noch sicheren Verschlüsselung aufzurufen, wenn man gerade auf den Seiten seiner Bank die persönlichen Daten angegeben hat.

Auch hier sollten bei informierteren Benutzern einige Alarmglocken läuten.

5. Man garniere die Nachricht mit Warnungen vor Phishing-Seiten und verweise auf einschlägige Artikel von Nachrichtendiensten oder Kreditinstituten.

Bleibt zu hoffen, dass diese Nachrichtendienste nicht vor Phishing per Bookmarklet warnen, weil sonst die Email an Glaubwürdigkeit verlieren kann.

Bemerkenswert:

• Das Bookmarklet ist auch ohne Anpassung nicht auf bestimmte Kreditinstitute beschränkt.

Wie denn das? Die Banken werden ja wohl kaum ihre Online-Banking-Seiten gleich gestalten. Oder willst du dich darauf verlassen, dass jede Bank Formularfelder mit aussagekräftigen Namen wie pw oder tan verwendet?

Du bringst mich übrigens gerade auf eine wunderbare Idee: In Ländern, in denen von links nach rechts geschrieben wird, steht das Feld für den Benutzernamen meist vor dem Passwort, worauf sich z.B. dieses Bookmarklet verlassen könnte. Warum nicht im Quellcode erst das Passwort und dann per CSS die Reihenfolge entsprechend der gewohnten Schreibrichtung ändern?

• Die Bookmarks für das Homebanking bleiben ansonsten unberührt.
• Die Seiten der Bank bleiben äußerlich unberührt.
• Das Bookmarklet tritt wahlwise gar nicht oder in Form einer Bestätigung in Erscheinung.

Mit Bestätigung könnte bei diesem Szenario u.U. sogar Vorteile haben: „Ah, die Software schützt meine Kontodaten.“

• Es gibt keine browser-seitigen Warnmeldungen.

Wieso auch?

• Die Bank-Transaktionen funktionieren.

Die unerwünschten auch.

• Das Leeren des Caches oder das Löschen von Cookies nutzt nichts.

Leider.

Was daran "ein starkes Stück" sein soll, einen unbedarften Internet-Nutzer in solcher oder ähnlicher Weise hinters Licht zu führen, kann ich nicht nachvollziehen.

Die gewählte Formulierung soll ausdrücken, dass ich es ausgesprochen dreist finde, wenn auf diese Weise die Unkenntnis unbedarfter Anwender schamlos ausgenutzt wird. „Das ist ein starkes Stück“ heißt – zumindest in Nordhessen – soviel wie „Das ist aber ganz schön dreist“ oder „das ist aber ganz schön unverschämt“.

Viele Grüße,
Robert