Partnerzy strategiczni
Partnerzy wspierający
Partnerzy wspierający
Partnerzy wspierający
Partnerzy merytoryczni
Luka w nowej usłudze Euronetu załatana. Firma zmienia algorytmy przelewów bankomatowych

Dziurę w systemie wykorzystać mogli nieuczciwi sprzedawcy na platformach aukcyjnych

O sprawie napisał wczoraj szczegółowo serwis Niebezpiecznik. Tekst na ten temat znajdziecie tutaj. W skrócie przedstawię, na czym polegał problem.

Kilka tygodni temu pisałem o nowej usłudze Euronetu, zwanej przelewem bankomatowym. Ciekawy, na razie bezpłatny produkt, pozwalający przesyłać środki na odległość z rachunku karty płatniczej i wypłacać je z bankomatu bez konieczności posiadania plastiku przez odbiorcę – wystarczy telefon komórkowy. Usługa może się przydać np. w sytuacji, gdy dziecku na koloniach skończyły się pieniądze i rodzice muszą je wspomóc.

Aby wysłać pieniądze, nadawca przelewu powinien podejść do dowolnego bankomatu Euronetu z własną kartą. Następnie wybrać odpowiednią opcję na urządzeniu i zlecić przelew. W tym celu musi podać numer telefonu odbiorcy oraz numery PESEL własny i odbiorcy. Odbiorca otrzymuje SMS-em od Euronetu dwie ostatnie cyfry z sześciocyfrowego numeru transakcji oraz kod PIN. Nadawca zaś jest zobowiązany przekazać odbiorcy cztery pierwsze cyfry numeru transakcji. Na tej podstawie odbiorca może pobrać pieniądze z dowolnego bankomatu Euronetu.

Przeczytajcie także: Nowa karta przedpłacona od WizzAir i Euronetu

Jak donosi Niebezpiecznik, problem polega jednak na tym, że podawane numery PESEL nie są weryfikowane przez Euronet. To oznacza, że transakcja dojdzie do skutku nawet wtedy, jeżeli numer PESEL czy to nadawcy czy to odbiorcy, będzie fałszywy, np. wygenerowany przez jedno z narzędzi dostępnych w internecie. Z kolei numer transakcji nie jest losowy. Każda transakcja powiększa go o jeden. W rezultacie łatwo zidentyfikować jego pierwsze cztery cyfry, które zmieniają się rzadko. Okazuje się, że to luka, na wykorzystanie której już wpadli przestępcy.

Serwis opisuje historię jednego ze swoich czytelników. Ukradziono mu laptopa tym cenniejszego, że miał tam wiele rodzinnych zdjęć. Postanowił więc nagłośnić sprawę, ogłaszając to na Facebooku. Po chwili zgłosiła się osoba, która twierdziła, że posiada informacje mogące pomóc w odzyskaniu sprzętu. W zamian poprosiła o znaleźne, które czytelnik miał przesłać przelewem bankomatowym Euronetu.

Rozwiązanie to miało zabezpieczyć interesy obu stron: informator po otrzymaniu SMS-a z Euronetu już wiedział, że przelew wykonano. Natomiast czytelnik miał pewność, że otrzyma informacje o laptopie bo informator nie odbierze pieniędzy dopóty, dopóki nie dostanie pierwszych czterech cyfr numeru transakcji od nadawcy przelewu.

Przeczytajcie także: Euronet wypłaci gotówkę Blikiem zbliżeniowo

I już pewnie domyślacie się, na czym polegał przekręt. Oszust oczywiście nie miał żadnych informacji na temat skradzionego laptopa. Po prostu znalazł post osoby poszukującej zguby, która stała się dla niego łatwą ofiarą. Po otrzymaniu SMS-a z PIN-em i dwiema ostatnimi cyframi brakowało mu tylko pierwszych czterech cyfr numeru transakcji. Nie musiał czekać, aż nadawca mu je podeśle. Mógł je łatwo poznać wykonując przelew do samego siebie.

Potencjalnymi ofiarami tej luki mogły być nie tylko osoby, którym ukradziono sprzęt. Mogli się nimi stać np. kupujący w serwisach aukcyjnych. Sprzedawca mógł zaproponować szybszą wysyłkę wylicytowanych produktów w zamian za przesłanie pełnej kwoty płatności czy zaliczki przelewem bankomatowym Euronetu.

Co na to sam Euronet? – Usługa jest w początkowej fazie. Zastosowany algorytm jest w stanie prawidłowo obsłużyć zarówno duży i mniejszy ruch transakcyjny. W fazie mniejszego ruchu identyfikatory mogą się wydawać niewystarczająco zdywersyfikowane. Aby uniknąć jakichkolwiek wątpliwości co do bezpieczeństwa klientów, parametry dywersyfikacji identyfikatorów zostały już zmienione – zadeklarował przed chwilą Paweł Trocki, dyrektor sprzedaży produktów innowacyjnych w Euronet Polska.

Dodał, że wprowadzając na rynek nowy produkt Euronetowi zależało, aby proces realizacji przekazu został uproszczony do niezbędnego minimum. - W związku z tym podczas realizacji transakcji zbierane są wyłącznie dane niezbędne do jej przetworzenia. Pozwalają one na weryfikację zarówno nadawcy jak i identyfikację odbiorcy. Raz użyte dane są na stałe zapisywane wraz z innymi danymi transakcyjnymi w systemie Euronet i są elementem narzędzi przeciwdziałania nadużyciom – uważa Paweł Trocki.

UDOSTĘPNIJ TEN ARTYKUŁ

Zapisz się do newslettera

Aby zapisać się do newslettera, należy podać adres e-mail i potwierdzić subskrypcję klikając w link aktywacyjny.

Nasza strona używa plików cookies. Więcej informacji znajdziesz na stronie polityka cookies