Komentarze

Czyli mBank jest tu o krok do przodu z hasłami sms-owymi. Hasło dotyczy jednej, konkretnej transakcji i nawet zmiana jednej cyferki w numerze konta uniewaznia haslo. Co prawda pisher moze zmienic dane naszej transakcji przed wygenerowaniem hasla, ale szczegóły przychodza w sms wraz z haslem i jesli sie nie zgadza to nie wpisujemy go i jest ok. No chyba, ze komuś sie nie chce czytac calego sms, a jak wiadomo ludzie to najsłabsze ogniwo wiekszosci zabezpieczen.

Oczywiście ta metoda to żadne odkrycie, idea nie jest nowa, a takie ataki są obserwowane od pewnego czasu.

Nie są jednak one na szczęście aż tak krytycznie niebezpieczne, bo w tym przypadku taki serwer uczestniczący w ataku "man in the middle" łatwo zablokować po adresie IP. Dobry inteligentny system banku powinien sobie z tym poradzić automatycznie.

Ryzyko jednak istnieje, szczególnie jeżeli ta metoda będzie ewoluować.