@Jägermeister
Bei der Demo vom Chaos Computer Club fängt der zwischengeschaltete Rechner beide Nummern ab, dh. er schaltet sich in dem Moment dazwischen, in dem du Kontakt zum OB-Server aufnehmen willst, zeichnet deine Anfrage auf, schickt aber mit diesen Bankdaten einen eigenen, also anderen Überweisungsauftrag an den OB-Server, zeichnet dessen Antwort mit der Nummer auf, schickt sie weiter zu dir, du siehst du Nummer und gibst die zugehörige TAN ein, diese wird wieder aufgezeichnet und für den anderen Auftrag, der wirklich in Bearbeitung ist und nicht für deinen Auftrag, den der OB-Server nie zu gesicht bekommen hat, benutzt.
Man muss dafür nach wie vor aktiv was für Phishing tun, wenn man es zu vermeiden weiß auf Phishing-Seiten zu gehen, was imho nun wirklich nicht schwer ist, kanns nicht funktionieren. (es sei denn eine Crackerbande hätte eine Phishing-Seite direkt auf die echte und wirkliche Domain der Bank gestellt, was aber unwarscheinlicher sein dürfte als vom Blitz getroffen zu werden, weswegen sowas auch noch nie vorgekommen ist und wenn man sich die Internetaddresse selbst rauben kann ist HBCI auch geknackt)