Phishing-Mails gehören inzwischen (leider!) schon fast zum Alltag. Die Citibank in Amerika setzt inzwischen 2-Faktor-Authentisierung ein; wie schon vor längerer Zeit angemerkt, führt dies nur dazu, daß der Angriff zeitnah - nämlich innerhalb der Gültigkeit des Credentials - ausgeführt werden muß.
Genau dies ist jetzt geschehen, wie in diesem Artikel berichtet wird: Logineingaben wurden direkt zum echten Server durchgereicht; die Seite präsentierte sogar unterschiedliche Anzeigen für richtige und falsche Logins (um auch die Benutzer zu beruhigen, die "probehalber" erst einmal absichtlich ein falsches Login eingeben)...
Zwei-Faktor-Authentisierung ausgehebelt