Здравствуйте, 0K, Вы писали:

0K>В свете растущей популярности данного способа защиты, хотелось бы обсудить возможные атаки: как заполучить доступ к управлению счетом, защищенным СМС-авторизацией?
0K>Какие еще есть идеи?
1) атака на телефон. в смарт-фонах уже обнаружили кучу дыр, для атаки не нужно даже знать номера, достаточно заманить жертву на сайт. такие атаки уже появились. посылаем письмо. обычно коммуникаторы его хавают за раз. но для полноценного просмотра юзер будет использовать компьютер, таким образом, хакер накрывает и телефон и комп только зная мыло;

2) атака на телефон два -- если нет дыр, можно написать гейму или другую погать какую для телефона, которая и без дыр перехватит все, что нужно;

3) смена телефона путем звонка оператору банка (в русских банках с которыми столкнулся требуется номер паспорта, дата рождения, фио, кодовое слово, в иностранных -- ssn и имя);

4) приход уведомлений на телефон легко блокируется шквалом sms.

5) у некоторых банков номер телефона можно менять через веб без подтверждения от самого телефона после того как залогнились.

6) некоторые банки позволяют генерить виртуальные карты. при этом часть номера приходит по вебу, а часть -- на телефон. проблема в том, что "телефонная часть" очень предсказуемая и восстанавливаемая по избыточности самого номера. я даже демонстрационную программу писал. для одного банка одна угадывала недостающую часть стразу, для другого -- перебирала десять вариантов. но!!! это же десять вариантов номеров!!! если их юзать в тырнет магазинах, то никакого риска. тут же блокировки не происходит. тут можно хоть до потери пульса перебирать. правда секретный номер приходит только на телефон, но некоторые магазины (типа амазона) его не требуют. а имя и срок истечения перехватывается вебом. так что виртульные карты довольно опасны.

7) да много что можно придумать...