"4. Beirta felhasználói név/jelszó ...és kapott SMS-t ...
Bakker...tehát már az SMS...alapvetően a BANK rendszeréből kapta vissza...uhh...tehát már ott a sebezhetőségi pont...
...mert ugyebár a KAMU oldalon írta be a felh név/ jelszó párost és valahogyan az MBH rendszeréből jött ki az SMS...vagy hogyan is?"
Új lehetsz a szakmában... A kamu oldal a kapott adatokkal szépen eljátszotta a logint a bank felé, amire a bank az adott userhez tartozó 2. faktort elindította - jelen esetben SMS-t, de lehetne push is(!), az user, ahogy szokta, megadta a felületen a 2.faktort, jóváhagyva a támadó bejelentkezését.
Tudod ha minden "új eszközről/ip-címről" történő bejelentkezést blokkolna a bank, akkor nagyon nem működne semmi sem.. Mert ha adott szolgáltatótól kell jönnie az "új" loginnak? És mi van, ha szolgáltatót váltott az ügyfél? vagy épp összeolvadó szolgáltatóknál van, és a címtartományok még az egyes korábbi cégek "nevén vannak" (RIPE)? De ha azonos szolgáltatótól érkezik, a szolgáltatói címtartományok akkorák, hogy bőven beleférhet az, hogy a támadó adott szolgáltatónál lévő "ugrópontot" használ, ami egy korábban kompromittált eszköz...
GeoIP? Nekem T-s hálózatból GeoIP alapján ugyanaz a végpont képes volt a router újraindítása után másik városban látszani.
Ha a webböngésző a futtatásra használt gép+OS n+1 paraméterét begyűjtve felküldené a banknak a login adatokkal együtt, akkor meg az lenne egyébként a baj, hogy "mé' gyűjt ilyen adatokat a bank"...