Online adathalászat ellen nem tudom, hogy bármi védene-e. Ha van olyan hülye az ügyfél, hogy a kamu oldalon megad minden adatot, onnan pedig a támadó csak kimásolja a valódi oldalra a belépési adatokat, ez ellen gondolom csak úgy lehet védekezni, hogy az ügyfél ne adja meg a kamu oldalon az adatait. SMS azonosítás sem véd az adathalászat ellen.
Viszont ha a bank telefonon tényleg tud jelszót módosítani, vagy telefonon is indítható utalás, az gáz. A telefon nem biztonságos csatorna.
SMS azonosítás helyett pedig jobb lenne a token, ami egyszer használatos belépő kódot generál minden belépéshez, és a bank és a token között adatforgalom nem történik (van ilyen). A tokent PIN kód védi. Emellé a legjobb, ha a token egyszeri belépés kód mellett továbbra is meg kell adni a felhasználónevet és a statikus jelszót.
Így ha az adathalászatot kivesszük a képből, akkor a támadó csak úgy járna sikerrel, ha megszerezné a jelszót, felhasználónevet, valamint fizikailag megszerezné a tokent, és annak valahogy feltörné a PIN kódját. Ez így együtt mind elég esélytelen. De adathalászat ellen tudtommal ez sem véd!
Érdekes kérdés, mi van a DNS eltérítésekkel. Lehet olyan támadás, hogy a felhasználó a böngészője címsorában azt látja, hogy otpbank.hu, de valójában nem is az otpbank.hu-n van, hanem egy támadó oldalon? Gyakorlatban történt már ilyen DNS eltérítéses támadás, pl. ha a felhasználó gépére rosszindulatú program kerül fel?