Moin!

Aber üblicherweise guckt kein Unbedarfter, was er sich da für ein Bookmark geladen hat, wenn auf einer schönen Seite ein Angebot steht, ein Bookmark für cooles kleines Helferlein in die Liste aufzunehmen.

Ohne intensive Suche habe ich mehrere solche Teile gefunden, die 1. sehr praktisch sind und 2. auf Internetresourcen zurückgreifen.

Ein Rechtsklick genügt und schwuppdiwupp ist der Code in der Bookmarkliste und man sieht noch nichtmal, was es ist.

Natürlich muß der Anwender das Bookmark anklicken - aber mit entsprechendem social engineering läßt sich eine Menge erreichen. Es sind beileibe nicht nur Deppen, die auf sowas reinfallen...

Überlege mal, was da alles zusammentreffen muß:
1. Es muß ein einigermaßen interessantes Bookmarklet geschrieben werden, welches tolle Dinge vollbringen kann, so dass es von Leuten installiert wird.
2. Dann muß es zusätzlich noch die bösen Dinge vollbringen können.
3. Außerdem muß es so gestaltet sein, dass man es wissentlich und aktiv auf seiner eigenen Internetbanking-Seite einsetzt. Diese Banking-Seite kann aber nicht manipuliert und mit suggestiven Texten angereichert werden.
4. Außerdem muß man dne bösen Dinge in dem Code so gut verstecken bzw. so unverständlich programmieren, dass sie für eine hinreichend lange Zeit unentdeckt bleiben. Aber gerade Bookmarklets sind doch eher etwas für Freaks, und von denen guckt doch eher mal einer genauer hin. Und da Javascript prinzipiell Open Source ist, kann es gar nicht verborgen bleiben.

Sagen wir mal so: Wer es tatsächlich schafft, sich unwissentlich ein böses Bookmarklet einzufangen, und veranlaßt wird, dieses böse Bookmarklet auch tatsächlich auf seiner Homebanking-Seite zu aktivieren, der würde auch gnadenlos von Phishern reingelegt werden können.

Bedenke außerdem, dass sicherheitsrelevante Dinge wie Accountnummer, PIN oder TAN dem Bookmarklet nur dann zur Verfügung stehen, wenn diese in ein Formularfeld eingetragen, aber noch nicht abgeschickt wurden. Man muß also das Feld ausfüllen und dann erst das Bookmarklet starten. Wie wahrscheinlich ist denn das?

- Sven Rautenberg