Túlbonyolítod.
- Felmész a phishing oldalra
- Beírod a usernevet, jelszót, submit*
- A túloldalon a fószer** beírja ugyanezt az igazi netbankba
- A netbank kiküldi neked az SMS-t, hiszen a támadó belépett a valid jelszóval
- Te beírod a kódot a kamuoldalon, submit*
- A túloldalon a fószer** beírja ugyanezt az igazi netbankba
- Kész a működő session, lehet lopni a pénzt.
* Teljesen mindegy, hogy hogy küldi el. Lehet, hogy küld egy emailt. Lehet, hogy beírja egy SQL táblába. Lehet, hogy már van admin felületük, ahol látják a próbálkozókat. Egy HTTP POST elmegy valahova az adataiddal, ott meg valaki, valahogy feldolgozza.
** Vagy szkript.