Esiste uno scenario credibile in cui l'OTP (One Time Password) per le transazioni con carta di credito online (in particolare per Verified by Visa) può essere aggirata?
Contesto: un ragazzo che conosco è stato truffato tramite le solite rotte di ingegneria sociale (stupido lo so!) nel rivelare i dettagli della sua carta di credito & è stata effettuata una transazione fraudolenta. La banca dice che è stato inserito un OTP accurato e quindi la loro responsabilità finisce. Tendo ad essere d'accordo con loro.
La vittima OTOH insiste sul fatto che, sebbene abbia dato il suo numero di carta, data di scadenza e amp; CVV ai phisher per telefono, non ha mai dato loro l'OTP ricevuto tramite il suo cellulare SMS (messaggio di testo). Lo trovo difficile da razionalizzare.
Ecco perché mi chiedo se potrebbero davvero esserci canali di attacco che in qualche modo sconfiggere la protezione OTP-SMS? L'unica possibilità di brainstorming è una variante della clonazione delle SIM card.
Che cosa pensano le persone? Conoscere eventuali rapporti di exploit come questo in natura? (Normalmente non avrei creduto alle vittime insistendo sul fatto che non ha mai rivelato l'OTP, ma sto solo facendo un po 'di difesa per i diavoli)
Nel caso in cui sia importante, Verified by Visa utilizza un OTP di 4-6 cifre inviato tramite SMS e amp; dovrebbe scoppiare tra 180 secondi.