Nem nyújt már abszolút védelmet a bűnözőkkel szemben internetes bankolásnál a tranzakció igazolására szolgáló sms, ha előzőleg az ügyfelek legalább egy súlyos biztonsági hibát elkövettek, például illetékteleneknek adták meg adataikat – hívta fel a figyelmet a G Data német kiberbiztonsági vállalat.

A bűnözők már megtalálták annak a módját, hogy egy bankszámla belépési adatainak birtokában a tranzakció visszaigazolására szolgáló kódot ne a számla tulajdonosának a telefonszámára, hanem egy másik, általuk megadott számra küldjék el sms-üzenetben.

Ehhez azonban először meg kell szerezniük az ügyfél belépési adatait a banki szolgáltatásokhoz, ami általában valamilyen "hagyományos" adatlopási megoldással történik, például becsapós, félrevezető, megtévesztő "phishing" levelek küldésével.

A banki ügyfelek tehát ebben az esetben is csak akkor vannak kitéve veszélynek, ha ők maguk követnek el valami olyan adatvédelmi hibát, amelyet egyébként el tudnak kerülni, ha gondolkodnak egy kicsit.

A módszer széleskörű elterjedését egyelőre akadályozza, hogy a bűnözőknek meg kell szerezniük a mobilszolgáltatóknak a SIM-kártyák beazonosítására használt úgynevezett SS7 protokollját is, ami nem kis befektetést igényel a részükről. Az ismeretek szerint a protokoll körülbelül ezer dollárba kerül az internet ilyen és hasonló üzletekre szakosodott "mély bugyraiban".

A G Data mindenesetre felhívja a figyelmet arra, hogy a bankoknak egyszer majd más módszert kell majd keresniük az internetes bankolás biztonságának garantálására, hiszen az sms már bizonyítottan nem nyújt holtbiztos megoldást.