Samozřejmě můžu:
- vyplníte uživatelské jméno
- přijde SMS, zadáte PIN, opíšete do browseru autentizační číslo
- zadáte vytvoření nového příkazu
- vyplníte formulář s číslem účtu, částkou a podobně
- klepnete na autorizaci
- přijde SMS, zadáte PIN, (možná) zkontrolujete údaje v SMS a opíšete z jejího konce autentizaci
- příkaz odešlete
- odhlašujete se
To je celý postup. Dvě SMSky, dvakrát zadávání PINu do mobilu. Nic víc není potřeba dělat. Jak říkám, je to bezpečné, pokud není uživatel hloupý a kontroluje obsah SMSek.
Obecně existují ale jednodušší formy útoku a získávání citlivých informací. Když na uživatele vyskočí varování o tom, že nebylo možno ověřit SSL certifikát, kolik procent lidí volá do banky a ptá se na fingerprinty? Já to dělám, moje přítelkyně taky, vy možná ano, ale BFU určitě ne.
