A bankok egyébként vagy saját maguk, vagy szolgáltatásként igénybe véve figyelik/keresik a fake oldalakat, és a jog adta lehetőségeken belül igyekeznek tenni ezeknek a "lekapcsolásának" az érdekében.
Tudom, ez egy szelete a törénetnek.
. Az SMS fallback akkor van, ha explicit kéred/jelzed, hogy ne push, hanem sms érkezzen.
Egyrészt kérte explicit a nehézség, aztán mégis volt, hogy abban kaptam a 3DS kódot. Másrészt az kurvajó, hogy authentikálatlanul mondhatom, hogy mégis inkább legyen a fallback (mármint nem én, hanem a támadó ugye), és én nem tudom bekonfolni, hogy nem baszki, nekem ne legyen aktív az a gomb. Aztán ha ezen keresztül megnyomják az accomat, akkor majd persze jön a bank, hogy én voltam a hülye, és beperelnek :)
Egyébként meg mindegy, mert ugyanaz az eszköz végződteti mindkettőt...
Ugye te sem gondolod komolyan így évekkel az SMS infrastruktúra vérzik index szintig publikussága után, hogy az odavezető útvonal nem számít, és ezeknek a securityja ekvivalens.
De hasonló a kártya is, nem nagyon láttam még, hogy meg lehetne oldani, hogy ha megvan a digitalizált kártya, akkor a fizikai használatát letilthassam. Pedig összességében szerintem jobb a securityje a telefonomon a biometrikus azonosításnak, mint a fizikai kártyának.