Bezpieczeństwo w sieci

Euronet oferuje "przekaz bankomatowy" - ale uważaj! To również atrakcyjna furtka dla oszustów

Jakub Szczęsny
Euronet oferuje "przekaz bankomatowy" - ale uważaj! To również atrakcyjna furtka dla oszustów
2

Bankomaty sieci Euronet są niezwykle popularne w Polsce - w niemal każdej większej galerii handlowej znajdziemy przynajmniej jedno takie urządzenie dzięki któremu wybierzemy z konta potrzebną nam gotówkę. Od niedawna oferują one także opcję "przelewu", dzięki temu wskazany przez nas odbiorca może wybrać przekazane przez nas pieniądze w innym bankomacie należącym do tej sieci. Jest jednak pewien haczyk, jak wykazał serwis Niebezpiecznik, bezpieczeństwo takiej operacji stoi pod ogromnym znakiem zapytania.

Jak działa "przekaz bankomatowy"?

Wybierając opcję przekazu bankomatowego w urządzeniu Euronetu podajemy kwotę oraz numer telefonu odbiorcy takiego przelewu. Wtedy to w wiadomości SMS odbiorca otrzymuje kod PIN oraz dwie ostatnie z sześciu cyfr kodu uprawniającego do pobrania gotówki. Reszta jest w posiadaniu nadawcy takiego przelewu i ten musi przekazać całość odbiorcy, by przelew mógł zostać zrealizowany. Jeżeli po siedmiu dniach pieniądze nie zostaną podjęte z bankomatu, automatycznie wracają one na konto nadawcy. Pozornie całość wydaje się być absolutnie bezpieczna, jednak pewien niuans przesądza o tym, iż taka metoda przekazywania gotówki może się okazać ciekawą możliwością dla oszustów.

Identyfikator transakcji okazuje się być nielosowy. Dodatkowo, jest absolutnie przewidywalny

Po pierwsze - pierwsze cztery cyfry całości kodu to element globalnego identyfikatora transakcji, który można sobie sprawdzić wykonując jakikolwiek przelew bankomatowy w urządzeniu Euronetu. Wtedy mamy dostęp do:

a) pierwszych dwóch cyfr (te przekazuje nam nadawca przelewu)
b) ustalamy sobie pierwszą część globalnego identyfikatora, którzy przy każdej kolejnej transakcji jest większy o 1
c) do kodu PIN, dzięki któremu pobierzemy gotówkę.

Dodatkową przeszkodą być może i jest konieczność podania numerów telefonu nadawcy i odbiorcy (a zatem nie ma możliwości, że ktoś będzie czatował pod bankomatem w celu wyłapywania nieodebranych pieniędzy). Jednak mogą znaleźć się oszuści, którzy wykorzystają znaną im lukę w działaniu identyfikatorów transakcji i mocno kogoś oskubią.

Wyobraźcie sobie sytuację, że za taką metodę płatności zabiera się szemrany sprzedawca na portalu aukcyjnym. Dogadujecie się, że robicie przelew za pośrednictwem Euronetu - jesteście zapewniani, że dopóki Wy nie podacie całości identyfikatora, sprzedawca nie ma dostępu do pieniędzy. A Wy macie podać go dopiero, gdy otrzymacie zakupiony towar. Interes wydaje się być naprawdę uczciwy. Wszystko wygląda dobrze, dopóki nie odniesiecie się do tego, co wykazał Niebezpiecznik w przytaczanym przeze mnie artykule. Całość ID transakcji można sobie w naprawdę prosty sposób podejrzeć i może się okazać, że z pozoru bardzo uczciwa transakcja okazuje się być perfidnym szwindlem. Gdyby tylko identyfikator transakcji był absolutnie losowy i niezdatny do ustalenia wykazaną powyżej drogą, to przekaz bankomatowy byłby całkiem ciekawym sposobem na przelewanie pieniędzy wewnątrz sieci.

Grafika: 1

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu