Comments
Меры противодействия несанкционированным переводам (двухфакторная аутентификация) бессильны

Это не совсем так. Например, Сбербанк присылает СМС с реквизитами перевода и просьбой внимательно проверить их.


Нагугленный пример: image


Понимаю, что не многие реально проверяют, но радует что банк (думаю, что не только Сбер) предоставляет такую возможность.

Если код приходит по СМС, то вместе с кодом банк высылает реквизиты операции, в которых будет указан реальный (а не отображаемый браузером) счет и наименование получателя (см. пример выше). Их и нужно перепроверить перед вводом одноразового кода.

Есть коды из СМС, есть одноразовые аварийные коды (набор сгенерированных кодов), которые используются вместо кодов из СМС.
И про возможность трояна «попросить» ввести код не из СМС, а аварийный, тем самым скрывая детали реальной транзакции.

Ага, теперь понял про что речь.
Интересный случай, но деталей про одноразовые/аварийные коды не знаю. Но, получается, СМС от банка с детализацией операции является более надежным вторым фактором (при условии отсутствия компрометации телефона, конечно). Соотвественно, если на перевод вдруг запрашивается одноразовые/аварийные код — хороший повод задуматься о том, что что-то не так.

если бы они еще добавили в настройки возможность «включить» генерацию пароля на основе счета карт (сам пароль не присылать, а заставить пользователя пошевелить мозгами), то это бы снизило эффективность атаки к минимуму заставляя проверять реквизиты. Я бы точно включил такую функцию себе отсекая автоматизм сразу.
Only those users with full accounts are able to leave comments. Log in, please.