Bummsdings: Phishing über gesicherte Verbindung

Beitrag lesen

Ich finde richtig "cool", dass die Phisher gleich die ganze TAN-Liste absammeln wollen, und nicht nur 2 oder 10 TANs ...

Das ist seit etlichen Jahren Usus. Mit zehn TANs, geschweige denn noch weniger, wird es für Herrn Phish zum Losbudenspiel, schließlich fragen die Banken nicht mehr irgendeine, sondern eine bestimmte TAN der durchnummerierten Liste ab (wenn sie denn überhaupt noch solche Listen verwenden).

Der Anhang steckt _im_ HTML-Code, da wird also nix von irgendwo per Javascript hinzugeladen (Stichwort XSS). Auch mit abgeschaltetem Javascript erscheint der Anhang im Code.

Aber dein Screenshot kommt aus einem Browser mit aktivem Javascript,

Logisch, sonst hätte ich ja nicht die hübsche Phishing-Seite zeigen können. Wenn ich ausdrücklich schreibe, der Code wäre auch mit abgeschaltetem Javascript da, dann darfst du das gerne glauben, anstatt mich rundheraus für blöd zu erklären.

Nicht notwendigerweise, das könnte auch ein "ganz normaler" HTTP(S)-Proxy sein, der per Man-in-the-middle die Zusätze in die Seite frickelt. Dagegen spricht allerdings das vermutlich gültige Zertifikat. Hast Du mal überprüft, ob die Fingerprints des Zertifikats zu denen passen, die die Bank veröffentlicht hat?

Ja.

Hast Du mal Deine Proxy-Einstellungen geprüft?

Ja.

Hast Du mal JS ausgeschaltet

Nein, ich schreibe zum Spaß, dass der Code auch mit abgeschaltetem Javascript da wäre.

Wohin sollen die TANs denn laut <form action="..."> geschickt werden?

Uninteressant, irgendeine .eu-Domain war's.

Firebug kann das per Inspect recht schnell herausfinden.

Ein Blick in den Code war noch schneller.

Interessant wäre auch, ob das Phishing auch dann passiert, wenn Du von einer Linux-Live-CD bootest.

Es passiert, wie geschrieben, beim Abruf mit wget nicht, das reicht mir.

PS: Sag mal, verteilt ihr eure "fachlich hilfreich"-Bewertungen eigentlich nur zwecks gegenseitiger Bauchpinselei? Du hast ja wenigstens noch ein wenig geschrieben, aber die Antwort von Jens war ja nun restlos beknackt da am Thema vorbei.