Euronet zaliczył wpadkę z usługą "przekaz bankomatowy"

Nowa usługa "przekaz bankomatowy" dostępna w bankomatach Euronet otwierała oszustom nowe pole do działania.

Euronet wprowadził niedawno do swoich bankomatów nową usługę "przekaz bankomatowy". Jest ona całkiem przydatna, ponieważ pozwala na przekazanie komuś pieniędzy po podaniu numeru jego telefonu komórkowego. Odbiorca pieniędzy otrzymuje od Euronetu SMS z kodem PIN oraz 2 ostatnie cyfry z 6-cyfrowego numeru transakcji. Pozostałe 4 musi podać mu nadawca przekazu.

Wszystko wydaje się bardzo sensowne i bezpieczne, lecz...takie nie było. Dowiedzieliśmy się o tym dzięki czytelników serwisu Niebezpiecznik, który miał okazję przyjrzeć się tej usłudze. Chronologicznie jego przygoda z nią wyglądała następująco:

Zobacz również:

- czytelnikowi ktoś kradnie bardzo drogi laptop

- czytelnik rozwiesza ogłoszenia (umieszczane są one również na Facebooku) informujące o nagrodzie dla znalazcy

- szybo zgłasza się "życzliwa" osoba, która jednak za podanie informacji o miejscu, w którym znajduje się laptop chce 2000 zł (maksymalny jednorazowy przekaz)

- stara się wyglądać na uczciwą proponując skorzystanie z usługi "przekaz bankomatowy" ponieważ, jak podkreśla, przesłane przekazem pieniądze odbierze dopiero po podaniu czterech brakujących cyfr, które wysyłający przekaz otrzyma po odzyskaniu laptopa

- właściciel laptopa jest podejrzliwy więc postanawia sprawdzić nieznaną mu usługę Euronetu

- Euronet potwierdza sposób jej działania

- właściciel laptopa dalej jest podejrzliwy i wykonuje dwa próbne przekazy do znajomego

- otrzymuje następujące dwa kody transakcji: 001131 i 001132

Tutaj do akcji wkroczył zaalarmowany Niebezpiecznik, który również wykonał przekaz i otrzymał numer...001149. Okazało się, że 0011 jest częścią globalnego identyfikatora transakcji, który zwiększa się o 1 dla każdej kolejnej transakcji. To bardzo zaskakujące, ponieważ nadawca (zresztą odbiorca też) przekazu jest proszony również o podanie PESELU. Co prawda nie jest on w żaden sposób sprawdzany (na dany pesel przypada limit transakcji), lecz przecież mógłby zostac wykorzystany do wygenerowania znacznie bardziej bezpiecznego kodu.

W jaki sposób oszust mógł się dobrać do pieniędzy?"

Po otrzymaniu SMS-a z Euronetu naciągacz natychmiast wykonałby jakikolwiek przekaz, co pozwoliłoby mu na poznanie kolejnego globalnego identyfikatora kodu transakcji i na tej podstawie pozyskania pierwszych 4 cyfr.

Co na to Euronet?

Niebezpiecznik zadał kilka pytań Euronetowi zwracając uwagę na niebezpieczne elementy nowej usługi. Z otrzymanej odpowiedzi wynikało, że Euronet nie widzi żadnego problemu. Nieco później przysłał jednak kolejnego e-maila, w którym przyznał, że "w fazie mniejszego ruchu identyfikatory mogą się wydawać niewystarczająco zdywersyfikowane" i zadeklarował, że "parametry dywersyfikacji identyfikatorów zostały już zmienione".

Więcej informacji: Niebezpiecznik