Сейчас многие платежные системы/онайн-банкинги переходят на СМС-авторизацию. Те же WebMoney -- уже без СМС не работают.
Преимущества очевидны:
1. Телефон есть у 90% людей.
2. Телефон не нуждается в настройке или установке ПО.
3. В отличии от простого генератора ОТП, телефон выполняет еще и функцию "экстренного оповещателя" (если будут попытки взлома -- клиент моментально об этом узнает).
В свете растущей популярности данного способа защиты, хотелось бы обсудить возможные атаки: как заполучить доступ к управлению счетом, защищенным СМС-авторизацией?
Приходят такие идеи:
1. Украсть телефон. Но не решает проблему, т.к. есть еще и обычный пароль + SIM-карту можно заблокировать звонком оператору.
2. Фишинговый сайт с подменой получателя средств. Работает только на невнимательных жертвах, т.к. СМС-ка содержит данные о настоящем получателе средств.
3. Перехват СМС-сообщения. Видимо, нужно жить по соседству с жертвой. Хотя кроме самого СМС, нужно иметь данные интернет-сессии. Т.е. атака должна быть двух-уровневой: и перехват трафика (либо доступ к компу жертвы), и перехват СМС-сообщений.
