On Wednesday, December 16, 2020 at 7:18:49 PM UTC+1, Krzysztof Halasa wrote:
...
> Gdyby było proste, nikt nie używałby (takiego) telefonu. W ogóle, nie do
> żadnych celów bankowych. Ale to jest możliwe, i w odróżnieniu od
> obecnego schematu (WWW na PC + SMS) ofiara jest wtedy praktycznie
> bezbronna.
>
> Widziałem sporo ataków, których przeprowadzenie było dość trudne
> i wymagało wiedzy. A jednak one miały miejsce.

A w ogóle to ciekawy jest przebieg ewolucji metod zabezpieczania internetowych
transakcji bankowych.
~2000 - token sprzętowy (VASCO - z klawiaturą)
2003-5 - zdrapki, tokeny sprzętowe (bez klawiatury - "zegarki")
A potem już z górki - tokeny na telefon (pamiętam, jak Eurobank nie mógł sobie
poradzić ze swoim bo mu na część telefonów nie chodził - mnie dali w zamian darmowy
"zegarek"); wreszcie aplikacje.
I rzeczywiście, wygląda na to, że głównym czynnikiem napędzającym była wygoda banków,
a na pewno nie bezpieczeństwo jako takie (banków czy klientów).
Natomiast nie jestem przekonany, czy zasadniczy wpływ miała tu wygoda klientów.
Owszem, to mogło mieć znaczenie, ale raczej jako chwyt marketingowy; dopiero ostatnie
lata (dyrektywy unijne, w tym ograniczenia hermetyczności systemów bankowych)
zmieniły sytuację.

A co do ataków - trudnych lub nie - w dobie przemysłowej produkcji malware'u,
botnetów do wynajęcia i usług hakerskich na zlecenie, to nie wydaje się, aby
umiejętności pojedynczych osób miały tu zasadnicze znaczenie. Zawsze da się kogoś
wynająć, kto zrobi to, czego nie umie "mózg".

witrak()