L'OTP dei servizi sensibili su un cellulare non è una buona idea. Le banche dovrebbero utilizzare l'hardware OTP o altro.
Il tipico vettore di attacco per OTP è di tre tipi.
Controllo del telefono
Bene. Letteralmente.
I cellulari, anche se non così spesso in questi giorni, sono facilmente compromessi. In particolare, le applicazioni Android possono accedere liberamente ai messaggi SMS (ovviamente con autorizzazione).
Sfruttare la funzione di blocco dello spam SMS
La maggior parte dei gestori ora supporta il blocco automatico dello spam, che blocca lo spam prima di accedere al telefono dell'utente. Gli utenti possono accedere al sistema di controllo dello spamming, impostare i numeri di spam e visualizzare gli SMS di spam.
L'utente malintenzionato utilizza i dati credienziali dai dati violati, imposta il numero di destinazione (ex banca) come numero di spam e ottiene con successo dati OTP dal sistema di controllo dello spam.
Scambio / Copia SIM
One particular vulnerability that has gained popularity with hackers is SIM card fraud. This is basically an attack that essentially dupes your telco into swapping your line of communication to a different SIM card that the hackers have in their possession.
This allows a culprit to take over your phone line. Every time you call your GSM provider with any sensitive request, they’ll ask you for some personal data that helps them identify you as the true owner of the line. This is where hackers come in. Armed with personal information on you, a fraudster has the ability to request a SIM change.
Source: https://www.standardmedia.co.ke/business/article/2001296918/sim-card-fraud-why-it-hurts-when-it-hits