Von Credential Dumps höre ich zum ersten Mal, aber ist eigentlich klar, dass es im Internet ALLES gibt...
Ich meinte es aber gar nicht verschwörerisch, sondern als Argument, dass die Seite unecht sei, weil echte Facebook-Leute doch wohl nichts behaupten würde, was sie gar nicht wissen können. OK, jetzt weiß ich, woher sie es wissen können, und dann ist es wirklich ein netter Service.

Zitat:

Ich meinte es aber gar nicht verschwörerisch, sondern als Argument, dass die Seite unecht sei, ..

ja, entschuldige, den unterton hab ich dir wohl vor allem wegen der auf deinen post folgenden antwort angedichtet.

hab mal schnell gegooglet. fb macht das tatsächlich: https://www.facebook.com/help/290656277791437
aber natürlich könnten phisher dieses verhalten problemlos imitieren. also skeptisch sein und zwei mal nachprüfen ist immer richtig.

hier noch ein argument, warum ein solches verhalten wohl eher legitim ist: ein phisher will einfach nur das funktionierende passwort. wieso sollte er den user ein neues passwort festlegen lassen, welches er (der phisher) dann noch irgendwie im facebook-account des users registrieren muss, damit es auch tatsächlich gültig wird? das wäre nur ein völlig unnötiger und verdachterregender mehraufwand. es ist egal, ob der phishing-versuch über eine klassische phishing-seite oder über einen dns-hijack oder über malware, die den browserinhalt verändert, passiert. in allen fällen kann das bestehende passwort einfach im hintergrund mitgeloggt und der user danach auf die echte seite weitergeleitet werden, ohne dass dieser etwas bemerkt.
im unterschied dazu steht etwa banking-malware, welche nach dem einloggen ins konto zusätzliche abfragen nach kreditkartendaten oder TANs (z.B. http://www.trojaner-board.de/141682-...0-abfrage.html) in die website einfügt. im gegensatz zu obigem fall sind das aber daten, welche die malware nicht still hätte mitloggen können, sondern zusätzlich vom user haben will..