Moin Moin!

ich sitze gerade an einem offenbar verseuchten Rechner und bin hellauf begeistert.

Ich finde richtig "cool", dass die Phisher gleich die ganze TAN-Liste absammeln wollen, und nicht nur 2 oder 10 TANs ...

Der Anhang steckt _im_ HTML-Code, da wird also nix von irgendwo per Javascript hinzugeladen (Stichwort XSS). Auch mit abgeschaltetem Javascript erscheint der Anhang im Code.

Aber dein Screenshot kommt aus einem Browser mit aktivem Javascript, denn ohne JS sieht die Seite deutlich anders ("suboptimal") aus. Schade eigentlich, andere Banken kommen durchaus ohne Javascript aus.

Wie kommt der Phishing-Anhang in den Code einer gesicherten Seite? Hängt der Herr Phish sich in den Firefox- bzw. IE-Prozess?

Nicht notwendigerweise, das könnte auch ein "ganz normaler" HTTP(S)-Proxy sein, der per Man-in-the-middle die Zusätze in die Seite frickelt. Dagegen spricht allerdings das vermutlich gültige Zertifikat. Hast Du mal überprüft, ob die Fingerprints des Zertifikats zu denen passen, die die Bank veröffentlicht hat? Hast Du mal Deine Proxy-Einstellungen geprüft?

Hast Du mal JS ausgeschaltet, die Browser-Caches komplett geleert und die Seite nochmal aufgerufen?

Wohin sollen die TANs denn laut <form action="..."> geschickt werden? Firebug kann das per Inspect recht schnell herausfinden. Du könntest natürlich auch einfach mal Müll ins Formular eingeben und auf die Meldung "hereinfallen", dabei beobachten, wohin der Request geschickt wird.

Interessant wäre auch, ob das Phishing auch dann passiert, wenn Du von einer Linux-Live-CD bootest. Wenn das passiert, ist die Ursache definitiv außerhalb Deines Rechners.

Alexander