Szerintem mobil használata esetén nem várható el egy átlag usertől, hogy folyamatosan tanúsítványokat ellenőrizzen.
Nem is erre való hanem domain eltérítések kivédésére, ott jeleznek is a böngészők. Amit a böngészőknek már régen meg kellett volna oldaniuk, hogy linkeknél ellenőrizzék a link szövegét. Ha az domain nevet tartalmaz akkor összeveti a tényleges link domainjével és ha eltérés van akkor feldobja a szokásos figyelmeztető szöveget a link megnyitása helyett.
Ha a fent leírt módon történt a támadás, az áldozat ott hibázott nagyot, hogy nem a mobil applikációt használta netbankolásra hanem weboldalt.
Az OTP-nél sokkal kisebb bank például egyszerűen úgy oldja meg az illetéktelen utalások problémáját átlagos lakossági ügyfeleknél, hogy személyesen átadnak egy kódlistát biztonsági papíron. Utalásnál minden új cél-bankszámlaszám esetén fel kell használni egy új kódot a papírról. Ez természetesen elmenthető, így következő alkalommal már nem kell kód a papírról egy már ismert cél bankszámlaszámra. Ez sem 100% de sokkal biztonságosabb mint a semmi. Default nem menti a netbank sablonba az cél bankszámlaszámot, tehát a lusta user minden utalásnál elhasznál egy kódot.
A történetben a legnagyobb hibás a Vodafone, aki személyazonosság ellenőrzése nélkül adott új sim-kártyát egy idegennek. Plusz egy érv az eSIM ellen. Ha fizikai SIM kártyákkal is ennyire trehány a mobilszolgáltató mi lenne itt eSIM kártyákkal?!
Szvsz érdemes több telefonszámot használni és egy külön mobilszámot fenntartani kizárólag banki és egyéb biztonsági azonosítóknak, aminek a száma senkinek sincs megadva. Az sem árt ha ez a sim egy még eredeti BlackBerry mobilban van.
Egy .bank top-domain sem ártana, ahova nem regisztrálhatna boldog-boldogtalan, csak bankok. Évek után menne át a köztudatba, de utána egyből szemet szúrna egy ilyen trükk.