¿Existe un escenario creíble en el que la OTP (One Time Password) para transacciones en línea con tarjeta de crédito (específicamente para Verified by Visa) se pueda omitir?
Contexto: un chico que conozco fue engañado a través de las rutas habituales de ingeniería social (¡qué tonto lo sé!) para revelar sus detalles de tarjeta de crédito y amp; Se realizó una transacción fraudulenta. El banco dice que se ingresó una OTP precisa y, por lo tanto, su responsabilidad finaliza. Tiendo a estar de acuerdo con ellos.
La víctima OTOH insiste en que a pesar de que sí dio su número de tarjeta, fecha de caducidad y amp; CVV a los phishers por teléfono, nunca les dio la OTP recibida a través de su teléfono celular SMS (mensaje de texto). Me resulta difícil racionalizar eso.
¿Por eso me pregunto si realmente podría haber canales de ataque que de alguna manera derroten la protección OTP-SMS? La única posibilidad que podría hacer una lluvia de ideas es alguna variante de la clonación de la tarjeta SIM.
¿Qué piensa la gente? ¿Conoces algún reporte de exploits como este en la naturaleza? (Normalmente, no habría creído que las víctimas insistieran en que él nunca reveló la OTP, pero solo estoy haciendo un poco de defensa de los demonios)
En caso de que importe, Verified by Visa utiliza una OTP de 4-6 dígitos enviada por mensaje de texto & se supone que expira en 180 segundos