Hallo.

2. Man verweise auf ein Bookmarklet, das die Eingaben in Formularelemente an einen anderen Server weiterleitet.

Und vergesse dabei nicht, diese Funktionalität auf gar keinen Fall zu erwähnen oder erkennbar zu machen.

Oder zu tarnen. Aber was wäre denn für Laien erkennbar? Entweder man ist prinzipiell misstrauisch oder eben nicht. Die Gefährlichkeit von ein paar Zeilen Code lässt sich doch von Laien überhaupt nicht einschätzen.

Informiertere Zeitgenossen werden darauf wohl nicht hereinfallen, die typische Phishing-Zielgruppe leider schon.

[...]

Auch hier sollten bei informierteren Benutzern einige Alarmglocken läuten.

Bei gezielter Fehlinformation, gewohnt langer Reaktionszeit verbreiteter Medien, vermeintlich vertrauenswürdigen Quellen sowie Berücksichtigung der unter "Bemerkenswert" zusammengefassten Punkte dürften selbst viele der sonst gut Informierten als Opfer in Frage kommen, von den übrigen schätzungsweise 99 Prozent natürlich ganz zu schweigen.

5. Man garniere die Nachricht mit Warnungen vor Phishing-Seiten und verweise auf einschlägige Artikel von Nachrichtendiensten oder Kreditinstituten.

Bleibt zu hoffen, dass diese Nachrichtendienste nicht vor Phishing per Bookmarklet warnen, weil sonst die Email an Glaubwürdigkeit verlieren kann.

Wenn ich auf einen Artikel verweise, weiß ich in der Regel um seinen Inhalt.

Bemerkenswert:

• Das Bookmarklet ist auch ohne Anpassung nicht auf bestimmte Kreditinstitute beschränkt.

Wie denn das? Die Banken werden ja wohl kaum ihre Online-Banking-Seiten gleich gestalten. Oder willst du dich darauf verlassen, dass jede Bank Formularfelder mit aussagekräftigen Namen wie pw oder tan verwendet?

Wozu benötigst du Namen, wenn du schlicht alle Felder der Reihe nach abklappern kannst?

Du bringst mich übrigens gerade auf eine wunderbare Idee: In Ländern, in denen von links nach rechts geschrieben wird, steht das Feld für den Benutzernamen meist vor dem Passwort, worauf sich z.B. dieses Bookmarklet verlassen könnte. Warum nicht im Quellcode erst das Passwort und dann per CSS die Reihenfolge entsprechend der gewohnten Schreibrichtung ändern?

Ja, eine wunderbare Idee, bei der aber auch nur ein Array in der im Quelltext festgelegten Reihenfolge ein- und später wieder ausgelesen wird.

Die gewählte Formulierung soll ausdrücken, dass ich es ausgesprochen dreist finde, wenn auf diese Weise die Unkenntnis unbedarfter Anwender schamlos ausgenutzt wird. „Das ist ein starkes Stück“ heißt – zumindest in Nordhessen – soviel wie „Das ist aber ganz schön dreist“ oder „das ist aber ganz schön unverschämt“.

Das war mir schon klar. Ich bezog mich auch gar nicht auf den Versuch, sondern auf das von dir erwähnte Gelingen in dem Fall, dass es jemand versucht.
MfG, at