DE még mindig ott tartok, hogy ha oda is jut az átvert júzer a Fake oldalra hogyan is fogja megkapni az ellenőrző sms-t ?
Úgy, ahogyan a felhasználónevet és a jelszót is: a felhasználó fogja beírni neki.

A hamisított oldal feléd eljátssza az eredeti banki felületet, így hozzájut a felhasználónevedhez és jelszavadhoz. Ezután a normál banki oldal felé böngészőként viselkedve elkezdi a belépést, a felhasználónév és jelszó már adott hozzá. A bank ennek hatására elküldi neked az SMS-t, benne a kóddal (ő nem tudja, hogy te lépsz be, csak azt látja, hogy valaki olyan lép be, aki ismeri az adataidat, amiből arra következtet, hogy valószínűleg te), amit ismét a hamisított oldalra fogsz beírni, így az értesül róla, és immáron böngészőként viselkedve teljesen be tud lépni a banki oldalra. Ezután, ha a netbankban végrehajtott műveletek SMS-es megerősítést igényelnek, akkor a hamis oldal transzparensen engedi neked az ügyködést, majd akkor aktivizálja magát ismét, amikor ilyen megerősítést igénylő tranzakciót indítanál. Ekkor az általad összeállított helyett egy másik tranzakciót küld el a banknak böngészőként viselkedve, és ha a bank által a megerősítéshez SMS-ben küldött kód nem tartalmazza a tranzakció adatait (vagy igen, de nem ellenőrzöd le), akkor te az abban található kódot vidáman beírod a hamisított felületre, ami így végre tudja hajtani az általa indított tranzakciót a tiéd helyett.

Mint látható, ez a megoldás csak akkor működik, ha te is éppen ügyködsz, szóval az OTP ad némi plusz biztonságot, de ettől még átverhető maradsz. A banki oldalon az IP címek és felhasználói szokások figyelésével lehet csökkenteni a kockázatot, de nem teljesen, a felhasználó mindig alkalmas és meggyőzhető lesz a védelmek kiiktatására a saját hülyeségével.

Kelvin: a bankváltás annak a téves információnak a tudatában írtam, hogy nincsen két faktoros azonosítás az Ersténél. Mint kiderült, ez téves, így ha ott lennék, nem váltanék. Azt továbbra is tartom, ha a saját bankom játszaná el, hogy megszünteti a kétfaktoros azonosítást, akkor azonnal váltanék. Ha az eddig kötelező lépés opt-outra módosulna, akkor ekézném a bankomat, hogy idióták. Ha opt-inre, mint az Erste, akkor hatványozottan.

Érdekes módon ismerőseim, barátai, kollégáim sőt még a szüleim is a kétlépcsős bejelentkezést használják. (ezek szerint van aki még tud olvasni és tájékozódni főleg ha a netbank belépési oldalára kiírnak egy hírt)
Az átlagos felhasználó nem olvas, nem értelmez, csak kattint, megzavarja minden olyan szöveg vagy részlet, ami korábban nem volt ott vagy döntést igényel, és ezt a zavarodottságát további kattintásokkal enyhíti olvasás és szövegértelmezés helyett. Aztán amikor megtörténik a baj, és neked utólag vissza kellene fejteni a történéseket, akkor izzadni fogsz, mert a felhasználó a folyamatot elmesélve mindent fog mondani, csak az igazat nem. Persze az esetek túlnyomó többségében nem azért, mert hazudni akar neked, hanem mert gőze nem lesz arról, mit is csinált és milyen sorrendben, így elmeséli azt, ő hogyan látta a dolgokat.

Szóval rettentő szerencsés vagy, hogy csupa, az átlagtól pozitív értelemben eltérő emberrel vagy körülvéve.

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek