W artykule <d77e4j$dhf$1@nemesis.news.tpi.pl> Robert Gral napisal(a):

>> Mam ci opisac jak moze wyglądac atak na hasla jednorazowe?
>
> jak masz troche czasu to sprubuj

To już kilka razy było opisywane, i tu i na grupach security. Trojan
ściścle dedykowany pod konkretny bank (tak jak było to z BPH).

Łapie hasła z klawiatury i czeka na pytanie o hasło jednorazowe. Po
wprowadzeniu hasła jednorazowego, ale jeszcze przed wysłaniem go do banku
- wysyła komplet do swojego mastera, potem uszkadza system, eksplorera,
cokolwiek i zawiesza komputer.

Master (człowiek lub automat) loguje się na konto i robi przelew
gdziekolwiek.

Zabezpieczeniem przed tą metodą było by gdyby bank nigdy nie żądał dwa
razy tego samech hasła, trąbi się o tym już od jakiegoś czasu, ale ZTCW
mbank dalej nie poprawił swojego systemu. Inne banki - nie wiem.

Na to zresztą też jest metoda. Odpowiednia lewa łatka na IE i zupełnie
legalnie wypełnione przelewy będą w locie zmieniać konto docelowe i kwoty.
Hasło jednorazowe ci nie pomoże. A klucz BPH tak. Bo kluczem podpisujesz
transakcję. Jeśli zmienia się jakikolwiek element transakcji - transakcja
nie będzie się zgadzać z podpisem i zostanieiodrzucona.

I tak dalej, i dalej.