Tag,

ich sitze gerade an einem offenbar verseuchten Rechner und bin hellauf begeistert.

Beim Aufruf der Loginseite zu einem Commerzbank-Konto unter https://www.commerzbank-privat.de/servlet/N/SSA_MLS_PPP_PUBLIC_N/loginLogout.do?timestamp=1287675347182 (wohlgemerkt: https und Firefox zeigt an, dass das Zertifikat korrekt sei) erscheint die gewohnte Commerzbank-Seite, allerdings mit einem kleinen Anhängsel ganz am Ende:

</body><script id="injScp" type="text/javascript" language="JavaScript">
(function(){if(typeof(window.leSLoad)=="undefined"){window.leSLoad=false}ifblafasel

Gibt man seine Zugangsdaten ein, wird über die Seite eine Maske gelegt, in die man doch bitte 100 TANs eintippen soll, denn "die Laufzeit der TAN-Liste für Ihr account beträgt 30 Tagen". Jaja.

Der Anhang steckt _im_ HTML-Code, da wird also nix von irgendwo per Javascript hinzugeladen (Stichwort XSS). Auch mit abgeschaltetem Javascript erscheint der Anhang im Code.

Das Gleiche passiert beim Aufruf mit dem IE. Aber: Beim Abruf der URL mit wget kommt der Code ohne Anhang.

Wie kommt der Phishing-Anhang in den Code einer gesicherten Seite? Hängt der Herr Phish sich in den Firefox- bzw. IE-Prozess?