...
Já se s Vámi vůbec nepřu o tom, jestli je kombinace klientské číslo / nešifrovaná SMS / PIN dostatečná. V obecném případě ano.
Co říkám je, že bezpečnost devalvovala (z tokenu na sim toolkit, ze sim toolkitu na planou SMS).
To je potřeba vzít v potaz ve chvíli, kdy dojde k opakovanému pokusu (dorazí SMS bez vyžádání oprávněným).
Je to klasický příklad povyšování chyby na standard. Zatímco u SIM toolkitu by taková situace nemusela člověka pozastavit, v případě SMS už by měla.
Bohužel, banka přenáší odpovědnost za ochranu SIM / SMS na zákazníka. Když se zákazník nakazí malwarem a někdo se mu do účtu dostane, banka od toho dává ruce pryč (pochopitelně). Nepochopitelně však ignorují nahlášené incidenty. Na místě by bylo, aby
v tomto zmíněném případě banka konala. Běžný zákazník si vůbec neuvědomuje, že SMS může přeposlat malware, vůbec si neuvědomuje, že telefonní číslo se dá přenést na jinou SIM kartu atd. Banka je však odborně na výši a měla by na tyto situace umět reagovat. Minimem by bylo prověřit, kdo zadává požadavek na odeslání SMS a postavit na jisto, že se jedná jen o překlep v klientském čísle, nikoliv o útok. A zde nastupuje právní alibismus: bance je jednodušší popírat byť i jen potenciální narušení bezpečnosti, než ho řešit. Řešením by připustila svoji odpovědnost - minimálně od okamžiku nahlášení. To se jim nehodí.