私は この質問と回答 を読みましたが、それが実際にどのように機能し、ユーザーがどのようにハッキングされる可能性があるのかはまだわかりません。私の兄はおそらくハッキングされており、彼の銀行はまさにこの種のセキュリティを使用しているので、私は尋ねています。
それで、私の質問は、ハッカーからの莫大な努力/費用なしでこれをどのように行うことができるでしょうか?私が見る唯一の方法はMITM攻撃です。 DNSを偽装し、銀行のサイトになりすまして、送信されたログインデータを使用します。しかし、攻撃はあなたがログインしているときに正確に同時に発生する可能性があります。この場合、彼は確かにそうではありませんでした(私がそこにいた家族のイベント、彼もそうでした...)。これを達成するための他の可能なシナリオは何ですか?
MITMは起こりそうにありません-銀行はCAからの署名された証明書とSSL接続を持っている必要があります。これは大きな赤い画面で警告し、あなたを怖がらせます。セキュリティで保護されていないバージョンのサイトにリダイレクトされ(偽の/そっくりのサイトが存在する)、そこに情報を入力し始めた可能性もありますが、これにより、銀行(そして、赤い画面が表示されていない場合でも、南京錠がないなど、警告する兆候がいくつかあるはずです)。
より可能性が高いのは、独自の偽のCAをインストールして上記のように続行するか、認証Cookieなどを盗んでセッションをハイジャックする可能性のあるウイルスです。
銀行自体が他の場所で別の脆弱性を持っていた可能性もあります-これはおそらく複数のアカウントに影響を及ぼしますが、他の人が同様の問題を抱えているという事実に気付かないかもしれません(しかしうまくいけば銀行は気づきます)。
また、MITM攻撃は、彼がログオンしているときにのみ発生する可能性があると想定していますが、これは誤った想定である可能性があります。MITM攻撃者は、「ログオフ」要求を渡しますか?なぜそうなるのかわかりません-タイムアウトを許可するのではなく、毎回(新しいページに移動するなど)バンキングセッションを延長した場合はどうなりますか? -ある時点で銀行がパスワード/コードを再度要求しない限り(UIの観点からはありそうにありません)、まだ「ログイン」していることに気付かない可能性があります(ただし、銀行にはログイン時までのログが必要です)イン/アウトし、この種のものをチェックすることができます)。