Koncem března jsme vás informovali, že Česká spořitelna kvůli sérii phishingových útoků preventivně zdvojnásobila časovou prodlevu mezi zažádáním o změnu telefonního čísla pro autorizaci transakcí a skutečným provedením této změny. Klient, za kterého by se číslo pokusil změnit podvodník, měl na obranu 24 hodin. Na původní telefonní číslo mu totiž přišlo oznámení o žádosti ke změně. Ale ani to zřejmě nestačilo a tak Česká spořitelna před časem úplně zrušila možnost změny autorizačního telefonního čísla po Internetu. (iDnes)
Naopak platební systém PaySec stále trpí stejným nedostatkem, na který jsme upozorňovali už při jeho spouštění. V jeho případě je sice autorizace implicitně vyžadována u každé platby nad 50 korun, ovšem změna čísla mobilního telefonu pro zasílání SMS s kontrolním kódem je překvapivě jednoduchá. Je jištěna pouze odpovědí na kontrolní otázku, kterou však lze z důvěřivých uživatelů vymámit stejně snadno jako přístupové jméno a heslo. PaySec sice podmiňuje provedení změny opsáním kontrolního kódu z SMS zprávy, ale ta putuje jen na nově zadané číslo. Na původní číslo nemíří ani upozornění, že dochází ke změně nastavení.
Doplnění a oprava (18.07.2008 v 12:07) Omlouváme se za nepřesnost v původním textu. Ověřovací kód sice putuje skutečně jen na nové číslo, ale na původní číslo po provedení změny přijde oznámení. Byla to jedna z prvních změn, které jsme provedli na základě reakcí uživatelů systému PaySec, protože se chceme řídit jejich přáními a názory. Změna mobilního telefonu je dodatečně zabezpečena informační SMS na staré číslo a možností stornování změny telefonu přes rozhraní PaySec nebo uživatelskou podporu na Lince PaySec. Je tomu tak již od června,
uvedl pro Lupu Tomáš Stegura, projektový manažer z ČSOB, která PaySec provozuje.
