"A phising ritkán irányul kártyás fizetésre"
No igen, de gondolom érted a mondanivalóm lényegét: a bank megoldása és az egész külső payment processor-os rendszer gyakorlatilag trenírozza a felhasználót a rossz viselkedésre. Akkor is, ha nem pont a kártyás fizetés a célpont.
Ha hozzászoktatjuk a user-t, hogy:
- az teljesen oké, hogy pont a fizetésnél hirtelen redirectelve lesz egy számára ismeretlen külső oldalra, és adja meg ott az érzékeny adatokat
- az teljesen oké, hogy ha legalább annyi fáradtságot vesz a user, hogy megpróbálja megtalálni a külső oldal mögötti jogi személyt, akkor vagy nem talál semmit, vagy egy olyan céget talál amiről életében nem hallott
- az teljesen oké, hogy a kártyás fizetésnél (bármi olyan tranzakciónál, aminek amúgy semmi köze a netbank belépéshez) is a netbankos jelszót kell megadni
- az teljesen oké, hogy a netbankos jelszót _látszólag_ a külső payment processor oldalnak küldöd el (átlag user legfeljebb a böngésző address bar-t nézi meg, nem fog debug módban iframe-eket vadászni)
- az teljesen oké, hogy ha annyi fáradtságot vesz a user, hogy kiderítse, hogy valójában kinek is küldi el a netbankos jelszavát, akkor egy ismeretlen rövidítéses domainbe ütközik, egy olyan certtel, amiből megint nem deríthető ki, hogy a mögötte álló jogi személy kicsoda
- az teljesen oké, hogy ugyanezen a külső szolgáltatónak látszó felületen még az SMS kódot is írja be
...akkor semmi csodálkoznivaló nincs abban, ha a szerencsétlen delikvens beszopja a netbankot célzó phishing támadásokat, mert ténylegesen rá volt szoktatva, hogy a folyamat összes gyanús eleme ellenére menjen csak tovább.
Na ez itt a fő baj. És a legszomorúbb, hogy egészen kis változtatásokkal már rengeteg antipatternt ki lehetne kerülni, de valahogy ezt az érintettek, auditorok, akárkik, nem érzik fontosnak.