> A felhasználó a mobil alkalmazást használva nem megy semmilyen weboldalra, tehát ezen mim támadás meghiusul. Sikertelen támadás.
Ez minimum véleményes, és teljesen ignorálja, hogy a mobil alkalmazás hogyan is működik.
Én eddig kétféle működéssel találkoztam:
- A mobil alkalmazás kap egy push notifikációt, hogy hagyd jóvá a belépést. Rányomsz az értesítésre, bekéri a PIN/biometrikus faktort, beléptet -> sikeres támadás
- A mobil alkalmazással le kell olvasni valamilyen kódot, ami validálja a belépést a banknál, majd ezután bekéri a PIN/biometrikus faktort, beléptet. Itt ugye ha a támadó valós időben tud visszafelé is kommunikálni (ki tudja jelezni a QR kódot a "fake" weboldalon is) akkor az app boldogan validálni fogja a belépést -> sikeres támadás.
A közös pont itt az, hogy valós időben kommunikáljunk a banki interfésszel, ha ezt meg tudja a támadó ugrani - és annyira nem is nehéz - akkor a banki oldalról legfeljebb azt tudod levédeni, hogy Magyarországon kívülről nem engeded a parasztot belépni, vagy nem lakossági internetszolgáltatói hálózatból nem engeded belépni. Azaz, lényegében, csak az ügyfél korlátozásával tudsz ezek ellen védekezni. Ez sajnos abból fakad, hogy a HTTP(S) állápotmentes protokoll, és az, hogy mégis tud állapota lenni, azt mindenféle körülmegoldással oldjuk meg.
Ezért megy orrba-szájba az edukáció, hogy figyeljünk a címsorra, legyünk biztosak, hogy jó weboldalon vagyunk, stb. Mert szerver oldalról ha lehet is védekezni a fake oldalak ellen, az komplex, és az eredményessége minimum kétséges. Ez ellen a 2 faktor se véd.