Небезопасный PSB-Retail?!

Здравствуйте, Два года прошло с тех пор, как я последний раз задавал вам здесь вопрос. С тех пор мало что изменилось. Промсвязьбанком я также доволен, всё также стабильно работает, также удобно. Конечно же, ничего идеального не существует и ряд мелких недочётов я мог бы назвать, но время на занятие ими и общение с поддержкой вряд ли бы "окупилось". Но вот вчерашний визит в центральный офис заставляет задуматься. Одно из основных преимуществ Промсвязьбанка -- мобильность и правильно организованная система безопасности ДБО (интернет-банкинг PSB-Retail). Информационный доступ по паролю, будь то проверка баланса, общение с поддержкой, реквизиты и тому подобное, а непосредственно операции подтверждаются разовыми кодами получаемыми по альтернативному каналу связи (карта разовых кодов или SMS). Отсюда получается, что ты знаешь, что твои средства в безопасности и ты можешь или распорядиться где угодно. Разделение каналов связи ======================== Чтобы мой вопрос был понятен большему кругу читателей поясню про альтернативный канал связи и зачем его разделяют с основным. Основной канал связи (интернет-соединение) и терминальное устройство (персональный компьютер) используется для взаимодействия с системой ДБО (PSB-Retail). В случае, если бы каналы связи не разделялись, то злоумышленникам достаточно контролировать основной или связанное с ним терминальное устройство посредством компьютерного вируса (широко распространенный случай) для получения полного доступа к учётной записи жертвы и кражи средств. В случае когда операции подтверждаются по альтернативному каналу, например берутся из карты разовых кодов или доставляются по GSM (SMS-сообщение), то злоумышленнику задача существенно усложняется. Проблема ========= Вчера зайдя в основной офис я заодно решил взять новую карту разовых кодов, поскольку на моей осталось их только около десяти. На мою просьбу, сотрудница банка попробовала убедить меня в том, что "пора переходить на современные технологии", имея в виду SMS-коды. Я, конечно, объяснил, что имею представление о предметной области и мне нужна именно карта разовых кодов, и мне её выдали. Вот только сотрудница добавила, что работать (или выпускаться) карты через 2-3 месяца уже не будут. Проблема в том, что в современных реалиях мобильные телефоны, в частности телефоны на платформе Android имеющие бо́льшую долю рынка, практически приблизились по возможностям к персональным компьютерам. Соответственно приблизились и возможности для вредоносного ПО (вирусов, троянских-коней и т.п.). Уже не раз публиковались материалы о вредоносных системах нацеленных именно на интернет-банкинг. Например, вирус, заразив компьютер и обнаружив в истории браузера ссылки на ДБО под разными предлогами (социальная инженерия) получает номер телефона жертвы, и также под разными предлогами склоняет к установке приложения, отправляя SMS со ссылкой на него.  По сути любое приложение для Android с доступом к SMS и интернет-соединению, которых масса, несёт существенный риск кражи средств. Если аналогичные SMS-коды (3D-Secure) для подтверждения интернет-платежей по платежной карте ещё выглядят приемлемо в виду незначительных сумм на платежной карте, то риск для депозитов уже выглядит недопустимым. Поэтому мобильный телефон на платформе Android и SMS-коды не выглядит адекватной заменой картам разовых кодов. Карты, по моим ощущениям, хватает на месяцев 5-6, они полностью лишена рисков удалённой компрометации и прекрасно помещается в бумажнике. У меня, например, на телефоне установлено около 100 приложений. Если переходить на SMS-коды как вы себе представляете аудит 100 приложений на предмет полученных ими прав? И чтобы потом постоянно нервничать обновляя их, устанавливая новые и вообще использую телефон для Интернета? Или может отдельную "звонилку" вы предлагает завести для ДВО? Аналогичных вопросов возникает масса. В случае отказа от карт разовых кодов получается выбор между безопасностью и мобильностью. Например, мобильное приложение работающее на мобильном устройстве совмещающее оба канала связи становится в принципе не безопасным. Если отмена действительно планируется, то придётся искать другой банк, по крайней мере для депозитов, либо для всего остального, предлагающий такой же уровень безопасности и мобильности как предлагает Промсвязьбанк сейчас. Делать это, конечно же, очень бы не хотелось. Вопрос ====== В связи с вышесказанным прошу разъяснить будущее карт с разовыми кодами и позицию банка по безопасности ДБО в современных условиях.