Comments 6
Меры противодействия несанкционированным переводам (двухфакторная аутентификация) бессильны
Это не совсем так. Например, Сбербанк присылает СМС с реквизитами перевода и просьбой внимательно проверить их.
Нагугленный пример:
Понимаю, что не многие реально проверяют, но радует что банк (думаю, что не только Сбер) предоставляет такую возможность.
Если код приходит по СМС, то вместе с кодом банк высылает реквизиты операции, в которых будет указан реальный (а не отображаемый браузером) счет и наименование получателя (см. пример выше). Их и нужно перепроверить перед вводом одноразового кода.
Ага, теперь понял про что речь.
Интересный случай, но деталей про одноразовые/аварийные коды не знаю. Но, получается, СМС от банка с детализацией операции является более надежным вторым фактором (при условии отсутствия компрометации телефона, конечно). Соотвественно, если на перевод вдруг запрашивается одноразовые/аварийные код — хороший повод задуматься о том, что что-то не так.
ESET обнаружила банкер BackSwap, использующий новый метод манипуляции браузером