Никога не ползвайте SMS за 2FA, ако е достъпен по-надежден метод (генериран офлайн код с Google Authenticator или подобно приложение).
Измамник може да отиде в мобилния оператор с фалшива лична карта и да поиска втора SIM карта, където ще получава всички SMS-и, които и вие и няма как да разберете, защото телефонът ви ще работи нормално. Също така може да отговаря на обаждания вместо вас.
А може да поиска анулиране на вашата SIM карта и да си вземе нова с вашия номер. В резултат ще останете и без достъпа до телефонния си номер, докато не отидете при мобилния оператор да се разберете.
Алтернативи на Google Authenticator са GAuth (ползвайте го офлайн, след като го свалите, а не директно от сайта, за всеки случай) и мениджърите на пароли като KeePassXC. Тези алтернативи може да ги ползвате на офлайн компютър, ако се притеснявате да се доверите на телефона си.
Israeli spyware used to target phones of journalists and activists, investigation finds
Човек който се занимава близо 20г. в сферата на ИТ и комуникации бих казал ,че плана е добър ,но изпълнението да се източат пари е много много малко 3%.
ОтговорИзтриванеАтакера трябва:
- да има достъп до онлайн банкирането ( тоест да ви знае user / pass ) тук също може да имате 2FA ( Ако говорим само за аксес към онлайн банкирането ,а не за плащане )
- да направи фалшива лична карта ( копие на вашата )
- да изглежда като вас
Ако случайно кажем ,че успее да излъже оператора с фалшивата лична карта 2рата карта се заплаща и тече като услуга тоест може би до 30 дни ще разберете.
След като целият този ефърт се случи и атакера успее да мине всичките тези звена може и да се опита да ви източи сметката ,но това с източването идва следващият механизъм на банката която ще спре всичко съмнително.
Придобиването на достъп и източването са две различни неща. Сега започваме плана как да се източат парите...