Konkrétan semmit nem érne ha lenne.
Lássuk konkrét példán hogy is működik (épp az imént capture-öltem le):
1. Webshopon vásárlok. Fizetés kiválasztom: bankkártya.
2. Máris kapok egy redirectet egy külső oldalra. Konkrét példában ez saferpay.com
Adjam itt meg a bankkártyám minden adatát, beleértve CVC kódot.
A TLS certben a következő van:
Common Name (CN): "www.saferpay.com"
Organization (O): "SIX Group AG"
Organizational Unit (OU): "<Not Available>"
(Jogos lehet a kérdés: ki a franc ez a cég, és mi a fenét akar a kártyadataimmal?!)
3. Miután megadtam, egy iframe-ben megnyílik egy oldal, amiben a bankom logója szerepel. Legyen a konkrét példában a bank az Erste. Amúgy az oldal egyáltalán nem hasonlít a netbankom kinézetére, csak egy darab png képben ott a bank logója.
Mit kér: "e-Csatorna jelszavamat". Az Erste bank esetében ez _konkrétan a netbank belépési jelszavam_ (let that sink in for a moment...)
Ha F12 network tab nyitva van, akkor meg tudom nézni, hogy az oldal honnan jött (ugye az iframe miatt az address barban még mindig a www.saferpay.com látszik.)
3ds.egcp.com a cím, a TLS certben a következő van:
Common Name (CN): "3DS.EGCP.COM"
Organization (O): "<Not Available>"
Organizational Unit (OU): "<Not Available>"
Issuer: C = US, O = "DigiCert, Inc.", CN = GeoTrust Global TLS RSA4096 SHA256 2022 CA1
Nahát ez szuper. Ez ki a franc a négyzeten. Utánakerestem, EGCP == Erste Group Card Processor. Nem hogy EV cert nincs, de még a kötelező mezők sincsenek kitöltve a certben, semmi ami utalna a valós jogi személyre a domain mögött. Minek is, hiszen iframe-ben van, úgyse látja az átlag jobbágy...
4. Submit. A következő kérdés: adjam meg az SMS-ben küldött kódot. A domain továbbra is 3ds.egcp.com (annak aki a network tabon követi...)
Annyi különbség van, hogy a normál netbank belépésnél úgy nézne ki a kód, hogy az első 3 szám előre be van írva (gondolom, hogy ne keverd össze a korábbi SMS-ben kapott kóddal), majd kötőjel, és utána kell beírni a többit számjegyet. Itt viszont nincs előre megadott 3 szám, se kötőjel, így összesen kevesebb számjegyből áll a kód. Vagyis ez a kód minden bizonnyal nem "olyan" kód, ami netbankra is jó lenne. Persze erre az apróságra nem hívják fel a jobbágy figyelmét...
5. Fizetés sikeres volt.
Ez volt a legális, nem csalásos, normális fizetés webshopon keresztül!
Fel sem akarom sorolni hány redflag van benne. Ezután az, hogy valakit beetetnek egy kamu fizetési oldallal, ami ellopja a netbank belépési adatokat, abban semmi különleges nincs. Ráadásul a folyamat payment processoronként kissé változik, a Barion-nál pl teljesen máshogy is jelenik meg, más domain-ek vannak stb. Gyakorlatilag nincs az a hozzáértés, amivel ki tudod védeni a csalást, ha a normális fizetési procedúra is így van megcsinálva.