Nakon značajnog porasta krađa i troškova napada na usluge Internet bankarstva, financijske kuće odlučile su dodati još jednu razinu sigurnosti u svoje usluge. Naime, prilikom većih financijskih transakcija, banka bi poslala SMS (eng. short message service) poruku s jednokratnom lozinkom za pokrenutu transakciju na mobilni uređaj čiji je broj korisnik prijavio banci. Tako je krađa onemogućena čak i zlonamjernim korisnicima koji posjeduju korisničko ime i lozinku žrtve ili čak njihov token. Međutim, ubrzo nakon uvođenja dodatne provjere, bankarski trojanski konj SpyEye počeo je na nekoliko načina zaobilaziti tu dodatnu provjeru. Tako bi korisnici čija su osobna računala već zaražena ovim programom dobivali obavijest koja je izgledala kao da je od banke. Obavijest je upozoravala da ako žele biti potpuno sigurni, moraju instalirati dodatan program na svoj mobilni uređaj. Taj program bi, međutim, preusmjeravao SMS poruke napadačima te bi oni obavljali financijske transakcije bez žrtvinog znanja. Drugi način prevare se sastoji od „bankine“ obavijesti korisniku da će mu poštom biti poslana nova SIM (eng. subscriber identity module) kartica s drugim brojem, koju će koristiti samo za obavljanje financijskih transakcija te ga treba odmah registrirati. Od trenutka kada korisnik s bankom registrira broj koji mu se pojavio na zaslonu, napadač ima pristup računu korisnika. Za više detalja moguće je pročitati originalnu vijest na stranicama portala The Register.
Izvor: LSS Security