20:45
17/3/2016

Przestępcy znaleźli nowy sposób na wyłudzanie pieniędzy. Wykorzystują do tego bankomaty Euronetu i nową usługę, czyli tzw. “przekaz bankomatowy”. Dzięki niemu dowolna osoba może “wybrać” pieniądze z bankomatu Euronetu — wystarczy, że posiada telefon komórkowy.

Doskonały sposób na anonimowe wypłaty środków

Osoby korzystające z bankomatów Euronetu zapewne zauważyły nową opcję w menu wypłaty bez karty — przekaz bankomatowy:

Przekaza bankomatowy Euronetu

Przekaz bankomatowy Euronetu

Usługa Euronetu polega na realizowanym natychmiastowo przekazaniu komuś pieniędzy jedynie poprzez podanie jego numeru telefonu komórkowego (odbiorca nie musi posiadać karty płatniczej). Odbiorca przekazu bankomatowego otrzymuje SMS-a od Euronetu z PIN-em oraz 2 ostatnimi cyframi z 6 cyfrowego numeru transakcji. Aby wybrać środki, w bankomacie musi jednak podać pełen 6 cyfrowy numer transakcji. Skąd odbiorca wie, jakie są 4 pierwsze cyfry numeru transakcji? Tą informację musi przekazać mu osoba nadająca przelew (w ten sposób Euronet weryfikuje, że podane podczas transakcji numery telefonów nadawcy i odbiorcy są poprawne).

SMS jaki otrzymuje ODBIORCA szkolenia.

SMS jaki otrzymuje ODBIORCA.

Euronet przy zlecaniu przekazu wymaga, poza numerem telefonu nadawcy, także jego numeru PESEL. PESEL musi też podać odbiorca podczas wypłaty. Bankomaty nie sprawdzają jednak poprawności PESEL-u — służy on jako unikatowy “identyfikator” na podstawie którego liczony jest roczny limit przekazu bankomatowego, który nie może przekroczyć 2000 PLN “na człowieka/PESEL”. Innymi słowy, maksymalnie, za pomocą tego typu transakcji przekazać można 2 000 PLN. Limit jest jednak teoretyczny, bo wystarczy zmienić numer telefonu i pesel i już można odebrać więcej niż 2000 PLN w skali roku.

Brak konieczności posiadania karty płatniczej i uwierzytelnianie odbiorcy jedynie poprzez numer telefonu (może być prepaid) oraz PESEL (może być dowolny) jest doskonałym sposobem na anonimowe wypłaty gotówki (o ile nie nagra nas bankomatowa kamera). Nie dziwne więc, że przestępcy już zaczęli z niego korzystać. Na czym dokładnie polega ten scam?

Wyłudzenie na przekaz bankomatowy Euronetu

Kilka dni temu napisał do nas jeden z czytelników, nazwijmy go Robert, któremu ktoś ukradł bardzo drogiego laptopa z jeszcze cenniejszą zawartością (rodzinne zdjęcia). Robert w akcie desperacji rozwiesił na mieście ogłoszenia informujące o nagrodzie dla znalazcy, a dodatkowo poprosił znajomych z Facebooka aby udostępnili posta o takiej samej treści jak ogłoszenie. Znajomi pomogli i post zaczął żwawo krążyć po sieci.

Po kilku godzinach, do Roberta zgłosiła się życzliwa osoba, nazwijmy ją Ewa, która oświadczyła, że wie, kto ma poszukiwanego laptopa. Ewa nie była jednak skora do wskazania adresu “dziupli” za darmo. Nie chciała też pieniędzy “z góry”. Przedstawiła Robertowi “sprawiedliwy sposób rozwiązania tej sprawy“, a mianowicie — zlecenie przelewu przez bankomat Euronetu.

Ewa wyjaśniła, że po zleceniu przelewu (poprosiła o 2000 PLN znaleźnego) nie otrzyma od razu pieniędzy, ponieważ do ich wybrania potrzebny jest 6 cyfrowy kod, a ona dysponować będzie jedynie 2 ostatnimi cyframi tego kodu. 4 pierwsze cyfry miał przesłać Robert, ale dopiero po samodzielnym sprawdzeniu adresu wskazanego przez Ewę i odzyskaniu sprzętu.

Brzmi fair, prawda? Ewa po otrzymaniu SMS-a z Euronetu wie, że Robert rzeczywiście zlecił przelew, ale nie odbierze go, dopóki nie otrzyma 4 początkowych cyfr. To pozwala jej z czystym sumieniem udzielić informacji na temat skradzionego sprzętu. Robert z kolei nie przekaże 4 cyfr, dopóki nie upewni się, że cynk od Ewy jest prawdziwy. W dodatku, gdyby cynk nie był prawdziwy, Robert nie musi nic robić. Pieniądze niepodjęte przez 7 dni wracają na jego konto. Mówiąc wprost, Euronet działa jak usługa escrow, doskonale znana z cyberprzestępczych marketów, ale mająca także zastosowanie w biznesie.

Dociekliwy Robert, który Ewie nie zaufał

Ponieważ Robert był dość podejrzliwy i nie słyszał wcześniej o tej usłudze, zadzwonił na infolinię Euronetu. Tam operator potwierdził sposób działania bankomatowego przelewu dokładnie tak, jak opisała to Ewa. Robert, wciąż nieufny, przed przesłaniem Ewie 2 000 PLN postanowił sprawdzić działanie systemu wraz z kolegą Krzysztofem. Przesłał mu 50 złotych i otrzymał następujący kod transakcji:

001131

Ponieważ pierwsze 4 cyfry, wyglądały podejrzanie nielosowo, Robert postanowił przesłać Krzysztofowi kolejne 50 złotych. Tym razem kod transakcji był taki:

001132

Robert zaczął więc podejrzewać, że:

  • A. 0011 to jego ID jako nadawcy (stałe i generowane np. na podstawie PESEL-u)
  • B. 0011 to ID bankomatu nadającego przelew (stałe dla danego bankomatu)
  • C. 0011 jest częścią globalnego identyfikatora transakcji, który jest zwiększany o 1 dla każdej kolejnej transakcji.

W przypadku (B), nieuczciwa Ewa mogłaby wybrać pieniądze samodzielnie, o ile wiedziałaby z którego bankomatu Robert nadał jej przekaz (mogłaby po prostu sprawdzić te najbliższe jego miejscu zamieszkania. Po ogłoszeniu na Facebooku łatwo zorientować się, gdzie mieszka Robert).

W przypadku (C), nieuczciwa Ewa mogłaby wybrać pieniądze samodzielnie, bo zaraz po otrzymaniu SMS-a z Euronetu, sama wykonałaby jakikolwiek przekaz, i poznała “następny” globalny identyfikator kodu transakcji i na tej podstawie pozyskała pierwsze 4 cyfry.

Która z powyższych hipotez jest poprawna? Niestety C… Skąd to wiemy? Bo kilka godzin po wiadomości od czytelnika, sami wykonaliśmy testowy przelew, na innym bankomacie Euronetu, w innym mieście. I wiecie jakie ID transakcji otrzymaliśmy?

001149

Wygląda znajomo?

Potwierdzenie przekazy bankomatowego Euronetu, wygenerowane dzień po dniu.

Potwierdzenie przekazu bankomatowego Euronetu, wygenerowane dzień po dniu.

Euronet nie widzi problemu w działaniu swojej usługi

Oto pytania, jakie zadaliśmy Euronetowi:

1. Czy Euronet potwierdza, że identyfikatory transakcji są kolejnymi liczbami całkowitymi?

2. Dlaczego Euronet zdecydował się na stosowanie kolejnych liczb całkowitych jako OrderID, skoro wartość ta jest trywialna do ustalenia? Czy nie lepiej sprawić aby to PIN był “sekretem” przekazywanym przez nadawcę do odbiorcy pieniędzy?

3. Jaką funkcję pełnią numery PESEL, skoro Euronet nie weryfikuje ich prawdziwości w kontekście danego klienta (zlecającego lub odbierającego przekaz)?

4, Czy podanie numeru telefonu A oraz peselu B powoduje, że w kolejnych transakcjach nie będzie już można podać numeru telefonu A z innym peselem, lub numeru pesel B w parze z innym telefonem?

5. Po ilu błędnie wprowadzonych danych transakcji (numer i PIN) przekaz przeznaczony dla danego numeru telefonu nie będzie mógł zostać zrealizowany?

A oto odpowiedź Euronetu przesłana nam przez p. Adriannę Fajerską:

dziękujemy za przesłane zapytanie. Ze względów bezpieczeństwa zasady działania systemów oraz algorytmów usługi przekazu bankomatowego nie są podawane do publicznej wiadomości.

Numer PESEL jest pobierany od klienta usługi (zlecającego przekaz bankomatowy) jako jeden z kilku elementów jego identyfikacji. Odpowiedzialność za podanie prawidłowego numeru PESEL spoczywa na kliencie usługi. Dodatkowo numer PESEL zlecającego przekaz bankomatowy oraz odbiorcy pobierane są w celu zapobiegania oszustwom związanym ze świadczonymi usługami oraz dochodzeniem i wykrywaniem tego rodzaju oszustw. Każdorazowe użycie numeru PESEL przez klienta usługi (zlecającego przekaz bankomatowy) lub odbiorcę przekazu jest zapisywane wraz z innymi danymi transakcyjnymi w odpowiednich systemach Euronet i stanowi element późniejszej analizy pod kątem zapobiegania oraz wykrywania potencjalnych oszustw.

Łączymy pozdrowienia
Zespół Euronet Polska

Po takiej odpowiedzi, trudno oprzeć się wrażeniu, że dla Euronetu, problem wykorzystania jego usługi do celów wyłudzeń nie wydaje się być wartym uwagi. Nazwanie inkrementacji zmiennej algorytmem, jest już tylko wisienką na torcie…

Nie przesyłaj bankomatem pieniędzy nieznajomym

Na razie wszystko wskazuje na to, że oszuści na celownik wzięli sobie wyłącznie osoby, które poszukują informacji w sieci, np. w sprawie skradzionych rzeczy. Wtedy model Escrow sprawia wrażenie atrakcyjnego i sprawiedliwego dla obu stron. Łatwo sobie jednak wyobrazić inne zastosowania usługi przekazu bankomatowego do wyłudzeń, np. na giełdach bitcoinowych lub podczas internetowych aukcji (“Nie wysyłam tego sprzętu do innego miasta, tylko odbiór osobisty, ale zrobię wyjątek, jeśli będę miał pewność, że otrzymam zapłatę“).

Wniosek z tej historii jest prosty. Jeśli coś od kogoś kupujesz przez internet i ktoś proponuje Ci zapłatę poprzez przekaz bankomatowy Euronetu, nie zgadzaj się. Jeśli kontrahent okaże się oszustem, będzie w stanie wyciągnąć pieniądze zanim “potwierdzisz” zgodność/sprawność towaru poprzez przesłanie 4 brakujących cyfr — po prostu się ich “domyśli” na podstawie samodzielnie wykonanego testowego przekazu.

Nie jesteśmy w stanie zrozumieć, dlaczego projektanci przekazów bankomatowych Euronetu, zamiast bawić się w składanie identyfikatora transakcji, po prostu nie zdecydowali się na przesyłanie PIN-u tylko do nadawcy przelewu? Czy nie lepiej aby to PIN był “sekretem”, który trzeba przesłać odbiorcy? PIN przynajmniej wygląda na losowy…

PS. Imiona i inne niemające wpływu na sens zdarzenia szczegóły dotyczące historii Roberta zostały zmienione.

PPS. Jakie ID u was? ;-)

Aktualizacja 14:10, 18.03.2016
Niespodziewanie Euronet podesłał dodatkowe wyjaśniania (wytłuszczenia nasze):

„Usługa jest w początkowej fazie. Zastosowany algorytm jest w stanie prawidłowo obsłużyć zarówno duży i mniejszy ruch transakcyjny. W fazie mniejszego ruchu identyfikatory mogą się wydawać niewystarczająco zdywersyfikowane. Aby uniknąć jakichkolwiek wątpliwości co do bezpieczeństwa klientów, o którym zawsze pamiętamy projektując kolejną dogodną usługę, parametry dywersyfikacji identyfikatorów zostały już zmienione.

Istotnym było dla nas, aby proces realizacji przekazu bankomatowego został uproszczony do niezbędnego minimum. W związku z tym podczas realizacji transakcji zbierane są wyłącznie dane niezbędne do jej przetworzenia, w szczególności nadawca i odbiorca przekazu są proszeni o podanie następujących danych: numer telefonu nadawcy, numer telefonu beneficjenta, numery PESEL. Zbierane dane pozwalają na weryfikację zarówno nadawcy, ale – co równie istotne – identyfikację odbiorcy. Raz użyte dane są na stałe zapisywane wraz z innymi danymi transakcyjnymi w systemie Euronet i są elementem narzędzi przeciwdziałania nadużyciom. Dodatkowo, dbając o bezpieczeństwo finansowe klientów celowo ustanowione przez Euronet limity transakcji są niskie. Górna kwota jednego przekazu bankomatowego wynosi 2000,00 zł, przy jednoczesnym założeniu, że maksymalna kwota wszystkich przekazów zleconych do danego odbiorcy nie może przekroczyć 4 000,00 zł w roku kalendarzowym.” – Paweł Trocki, dyrektor sprzedaży produktów innowacyjnych w Euronet

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

81 komentarzy

Dodaj komentarz
  1. Wymarzona usluga dla kazdego sprzedawcy. Ciekawe kiedy szemrane sklepy albo fanpagy z kodami zaczna preferowac te metode platnosci. Moze wtedy Euronet cos z tym zrobi. Ewidentnie sie nie popisali nawet nie dlatego bo nie przewidzieli takiego scenariusza ale ze olali wasze zgloszenie. Skoro inkrementacje nazywaja algorytmem to moze nie zrozumieli modus operandi przestepcow? :]

    • A co jesli celem takiej wypowiedzi bylo publiczne zamiecenie sprawy pod dywan, a dzial IT dostal najwyzszy priorytet poprawienia tego?
      Nie wiesz jakie dzialania podjeli u siebie poza oficjalnym komunikatem….

      Oczywiscie nie zmienia to faktu, ze takie oswiadczenie jest slabe na maksa i dzial PR mogl lepiej je przygotowac :P

    • Jeśli chcieliby zamieść sprawę pod dywan, wyłączyliby to w cholerę, odpisali, że IT już nad tym pracuje, a osoby odpowiedzialne za ten genialny “algorytm” obciążył kosztami obsługi zgłoszeń i pokrycia szkód.

      Na miejscu redakcji podesłałbym tego arta do gazet. ;)

  2. I to jest odpowiedz i olewka dla wszystkich ich klientow ze strony Euronet. Po prostu zalosne. Niebezpiecznik – Twoj serwis powinien docierac do wiekszego grona ludzi, swiadomosc to podstawa, niestety Ci co powinni sie orientowac takimi tematami nie maja o nim pojecia…

  3. Człowiek haszuje, saltuje, a tu okazuje się że “wystarczy” ustawić autoincrement aby otrzymać PIN. Dawno nie było tak zaciętej walki o tytuł Janusza Biznesu…

    • Mój serwis o kotach ma lepsze zabezpieczenia, niż firmy obracające pieniędzmi.

    • W tym roku raczej nikt nie ma szans z Bartkiem J. z firmy 2be or not 2be.pl na zdobycie takiego tytułu ;)

  4. “Ul. Armi Krajowej” WSTYD!

    • pewnie to brakujace i poszło na entropie do algorytmu generowania numeru transakcji ;)

    • To jeszcze jako orto-nazi dorzucę “Tą informację…” do poprawienia. Ale najważniejsze, że tradycyjnie merytorycznie artykuł na najwyższym poziomie.

    • Identyfikator wygląda jak ID z DB, tu entropii nie zwiększysz, bo się posypie integralność. :)

    • @Piotr K.

      i++;

  5. jest bezpiecznie i Euronet trwać będzie wiecznie. PS. inkrementacja zmiennej to też algorytm. Co z tego, że jednolinijkowy.

    • Dwuznakowy wręcz ;)

    • powiedziałbym ze co najmniej kilku znakowy
      np: dla C++ .. i++ (3 znaki)
      php: $i++ (4znaki)
      ewentualnie w zalezności od jezyka i programisty te same zapisy można by bylo zrobić dłuższe np: $i=$i+1;

      :)

    • A o średniku ktoś z Was nie zapomniał?

    • Może nawet 0-linijkowy. W definicji tabeli w bazie jest identity(1,1) a jako numer brane 6 ostatnich cyfr.

  6. Przekaz bankomatowy można stosować o ile obie strony transakcji są świadome, że:
    1) Otrzymanie SMSa z kodem nie daje żadnej gwarancji, że będziemy mogli wypłacić pieniądze.
    2) Niepodanie 4 pierwszych cyfr wcale nie oznacza, że odbiorca już sobie nie wypłacił pieniędzy.

    Nie przesadzajmy też z tą anonimowością w dzisiejszych czasach, bo już samo włączenie telefonu z kartą SIM (nie ważne, czy pre-paid czy nie) powoduje, że możemy zapomnieć o jakiejkolwiek anonimowości. Z drugiej strony coś, co miało ograniczyć ryzyko nadużyć (limit wypłat do 2000 zł) paradoksalnie tylko zwiększa ryzyko utraty środków. Nikt nie będzie sięgał do wyrafinowanych technik operacyjnych żeby znaleźć złodzieja, który wypłacił sobie 50 zł czy nawet 1000 zł.

    • Odnosnie prepaid, to dopoki ktos nie skojarzy Twojej osoby z danym numerem telefonu/urzadzeniem i nie dasz sie nagrac na kamery, dopoty pozostajesz anonimowy.
      No i oczywiscie nei ma sensu sie kryc jak odpalasz taki telefon we wlasnej chacie :P

  7. Kolejny powód, żeby zostać operatorem sieci komórkowej (choćby wirtualnej) – wtedy ma się dostęp do wszystkich SMS-ów z kodami :D

    • W modelu MVNO zazwyczaj jedziesz na infrastrukturze MNO wiec duzo nie podejrzysz. A i u MNO naprawde trzeba sie postarac zeby dotrzec do takich danych…

    • Poza tym, druga ‘refleksja’: jak masz kase zeby odpalic MVNO to raczej nie bawisz sie w dodatkowy przychod z operacji na uzyskanych w ten sposob kodach:)

    • Ad. 1. Rzeczywiście, może być ciężko dotrzeć do takich danych – w końcu przez sieć przechodzi wiele innych danych, często równie użytecznych. Ale nikt nie musi ich ręcznie przeglądać – od czego są odpowiednie algorytmy? Czytałem kiedyś, jak użytkowniczka jakiejś sieci skarżyła się, że po każdym SMS-ie wysłanym do koleżanki dostawała od sieci dopasowaną do niego reklamę. A gdy tamta chciała jej zaproponować zmianę operatora, wiadomość nie doszła…
      Ad. 2. Równie dobrze można by powiedzieć, że jak ktoś ma pieniądze na założenie sieci supermarketów, to nie będzie się bawił w dodatkowy dochód z notorycznego “bycia winnym grosika” :)

  8. Do generowania tych PIN-ów nie wystarczy nawet zwykły generator liczb (pseudo)losowych – potrzeba czegoś dającego wyniki trudniejsze do przewidzenia. Na przykład w Javie jest do tego klasa SecureRandom: http://www.javamex.com/tutorials/random_numbers/securerandom.shtml

    • Dlaczego? Moim zdaniem wystarczy.

    • Najważniejszy jest odpowiedni dobór ziarna, żeby zależało od naprawdę losowych czynników.

  9. Euronet najlepsze, co mógłby zrobić ze swoimi bankomatami, to popracować mocno nad ich wydajnością. Czasami w przerwach między kolejnymi ekranami mógłbym robić po 15 przysiadów.

    • Tja, a wtedy przypadkowo lecą reklamy :P To nie jest problem wydajności…

    • pamiętaj – najpierw masa, potem rzeźba :)

  10. > Dodatkowo numer PESEL zlecającego przekaz bankomatowy oraz odbiorcy pobierane są w celu zapobiegania oszustwom związanym ze świadczonymi usługami oraz dochodzeniem i wykrywaniem tego rodzaju oszustw.

    Zabójcza logika. To tak jak z obowiązkiem meldunkowym, nie można znieść, bo policja nie będzie wiedziała gdzie szukać przestępcy. Powszechnie wiadomo przecież, że przestępcy podają prawdziwe dane i ukrywają się w swoim miejscu zameldowania.

  11. Nie rozumiem roznicy miedzy nie zrobieniem przelewu a zrobieniem przelewu i nie podaniem pinu przy zapewnieniu kogos ze ma wieksza pewnosc ze dostanie kaske za usluge. Jak bede chcial kogos olac to i tak to zrobie nie podajac pinu po wszystkim. I kaski nie dostanie. Takze jezeli ktos czuje sie pewniej kiedy dostanie czesc danych do zrealizowania wyplaty, wedlug mnie jest zludne. Mowie tu o szeroko pojetej i przytaczanej przez Was gwarancji w ten sposob. Jedyne co daje ten sposob transakcji to anonimowosc…

    • Ale pin odbiorca dostaje od razu, w smsie od euronetu.

    • Piotrze, odbiorca nie dostaje przecież PINu…

    • Odbiorca nie dostaje wszystkich danych potrzebnych do pobrania pieniędzy. Pomijając domyślanie się brakujących cyfr, nie ma większych gwarancji niż zwykła obietnica zapłaty.

    • Istotnie, różnica jest czysto psychologiczna.

      W wypadku Escrow przy konflikcie dochodzi do arbitrażu. Tu natomiast nadawca jedynie zamraża fundusze na 7 dni i nikt i nic nie zmusi go do podania brakujących 4 cyfr.

      Jest tylko kwestia czy już po transakcji, mając jej przedmiot w kieszeni ma kopsnąć się na stronę przelewów i wklepać konto odbiorcy, kwotę, autoryzować i wysłać (przydługa operacja przy której może się rozmyślić) czy radośnie odpowiedzieć na SMSa czterema cyferkami ze świstka – łatwe, szybkie i wygodne bo całą pisaninę odwalił wcześniej. Czysta psychologia – jak nie zechce podać reszty kodu to nie poda.

      Natomiast jeśli tajne 4 cyferki to zawsze 0011 a pesel nie jest weryfikowany – to przepraszam, nic tylko stanąć przy bankomacie i wklepywać 0011xx z losowymi xx i losowymi peselami, żeby przechwycić jakiś przelew zanim odbiorca go podejmie, nie mając nawet pojęcia kto i do kogo go nadaje.

  12. Wpadka porównywalna z wpadką inpostu jak startowali z paczkomatami i czterocyfrowy pin musiał być unikalny w obrębie systemu i był losowany przy nadawaniu paczki, różnica polega na tym, że w inpoście nie dało się nadać paczki, nikt nie był dzięki temu oszukiwany.

  13. Odpowiedz Euronetu przypomina mi stary strip Dilberta i jego rozmowe z Piesbertem:

    Piesbert: “Wymyśliłem naukowy algorytm optymalizacji naszej kadry pracowniczej”
    Dilbert: “Algorytm? Myślałem że zwalniacie pracowników z najwyższymi pensjami”
    Piesbert: “Do dobrze – może algorytm to za duże słowo…”

    Kolejny przykład że Scott Adams świetnie przewiduje absurdy

  14. 6 lutego miałem kod 000857 … czyli w 36 dni niecałe 300 transakcji :D

  15. patrząc na ruch w interesie nie traktowałbym tematu jako priorytetowy dla euronetu

  16. Co wy za BZDURY w artykule piszecie. Numer ID transakcji nie jest jedynym, który jest konieczny do odbioru pieniędzy w tej usłudze. Wiem co mówię, bo wykonałem już kilka przekazów bankomatowych odkąd uruchomili go na przełomie roku.

    Do odbioru przekazu Euronet konieczne jest: podanie numeru telefonu własnego, numeru transakcji ORAZ NUMERU PIN, który jest przesyłany w chwili nadawania przekazu SMSem na telefon nadawcy. I to właśnie ten numer nadawca ma przekazać odbiorcy.

    Inna rzecz, jaka się nie zgadza, to cytat czytelnika z artykułu, że wystarczy zmienić PESEL i numer telefonu. Nie wystarczy, bo (niestety) Euronet przy pierwszym przekazie powiązuje numer karty płatniczej z PESELem. Wiem to, bo chcąc w kolejnym miesiącu wykonać przekaz bankowatowy wsadziłem kartę , podałem inny PESEL i otrzymałem komunikat, że ta karta należy do kogoś innego. Więc niestety po wyczerpaniu limitu 2000 tą samą kartą można transakcje wykonywać dopiero w kolejnym roku.

    Po szybkim przeczytaniu artykułu nie widzę ryzyka, ale jeszcze się wczytam raz i poczytam komentarze. W każdym razie do wypłaty konieczny jest PIN z SMSa do nadawcy.

    • To przeczytaj artykuł nie “szybko” a wolno. Wtedy zrozumiesz o co chodzi. A gdybyś był z pokolenia TL;DR: to PIN do odbioru jest w SMS-ie u odbiorcy, nie nadawcy. Badum tsss.

    • No dobra, przyznaję, że dopiero teraz widzę zrzut z ekranu SMSa, w którym odbiorca dostaje PIN, a nadawca ma mu przekazać OrderID, czyli numer przekazu. Nie wydaje mi się,żeby wcześniej tak było, bo faktycznie OrderID wygląda na narastający po kolei, a z powodu małej liczby transakcji przestępcy wystarczy wykonanie przekazu tuż przed lub po, by poznać OrderID tej transakcji.
      Piotrze, nie musisz zrażać komentujących.
      Faktycznie patrząc w możliwość przewidzenia wszystkiego potrzebnego do wypłaty należy uznać, że to nie jest metoda na ESCROW. Założenia Euronetu były fajne. Przekazem można wspomóc rodzinę w tarapatach, albo wykorzystać przekaz do wykonania limitu transakcji kartowych (do 2000 w roku), ale nie nadaje się na zabezpieczenie transakcji. Przekazywany powinien być losowy PIN a orderID powinien być jawny – inaczej będą przekręty, na które Euronet będzie się zgadzał.

      EURONECIE – nie wspieraj złodziei, bo pójdzie przekaz medialny, w którym do świadomości ludności może przebić się, że z jakichś tam traknsakcji EURONET korzystają złodzeje i oszuści i że trzeba się ich wystrzegać.

    • Wtrącę się – zacząłeś posta od oskarżeń o pisanie bzdur. Myślisz, że Ty możesz jechać, a red. nacz. będzie grzecznie i pokornie Ci tłumaczył? Mnie, jako czytelnika, zraża Twój komentarz. Odpowiedzi Piotra mnie nie zraziły, więc z łaski swojej nie wypowiadaj się za mnie (jako że też jestem komentującym), tylko za siebie – najwyżej zraża Ciebie, ale na Twoje życzenie.

  17. Dlaczego przypadek C został uznany na poprawny? Przecież pokazane tu potwierdzenia przekazu które zostały zrobione dla różnych transakcji wskazują dalej na ten sam numer 0011. Moim zdanie przypadek A by tu pasował. Może redakcja niech napisze jak wygenerować 0012.

    • odczekac 100 transakcji

    • Żeby było 0012 to musieliby zrobić jeszcze 47 transakcji, żeby numerek przeskoczył…

  18. @Niebezpieczniku
    Czy do wykonania takiej transakcji wystarczającym jest posiadanie dwóch dowolnych numerów PESEL (nawet nie swoich lub wygenerowanych) oraz dwóch dowolnych numerów telefonów komórkowych (dwa świeże prepaidy + jeden/dwa telefon/y) do tego by wypłacić gotówkę z bankomatu? [P.S.Nie korzystałem z tej usługi]

    • Na potwierdzeniach widnieją numery 001149 i 001153. “sekretem” są pierwsze cztery cyfry id transakcji. Jeśli chcesz aby “sekretem” było 0012 to wykonaj jeszcze 47 transakcji :)

  19. Kto robi te GUI do bankomatów? Przecież to wygląda jak jakiś żart.

    • To prawda. Ikonki NEW jak z internetu lat dziewięćdziesiątych. Sam takie strony www wtedy tworzyłem – kwadratowa ikonka albo animowany gif to był szczyt stylu, a teraz to tylko śmiech…

    • One BYŁY zapewne tworzone w latach 90-tych.Bankowość to bardzo konserwatywny sektor podobno (taaa – a raczej skąpy),jak coś działa to oni tego nie ruszają bo po co – póki kasa leci…

    • Chyba, że trzeba napisać jakąś podejrzaną/podglądającą aplikację, która żąda większości możliwych uprawnień, to już potrafią iść z duchem czasu…

  20. a pewnie pin przesylany do odbioryc jest suma kontrolna 4 cyfr ktore zna nadawca?

  21. Ja na ich miejscu obstawałbym twardo że numery są absolutnie losowe i to po prostu zbieg okoliczności :—DDDD

  22. Piotrze,
    Czy mógłbyś podrążyć temat tego limitu 2000 PLN (i tego jak dokładnie traktowana jest ta operacja zlecenia przelewu od strony zlecającego – jako “wypłata w bankomacie”/”operacja gotówkowa” czy “operacja kartowa”/”bezgotówkowa”) w kontekście doraźnego przekroczenia:
    – limitów na np. kartach prepaid (tych już wycofanych parę miesięcy temu ze sprzedaży, ale nadal aktywnych). Tam jednorazowa wypłata z bankomatu to max.500 zł (a bezgotówkowa – max 4.000)
    – limitów ustawianych samodzielnie jako zabezpieczenie/ochrona swojej karty (np. inaczej dla “Transakcje bezgotówkowe”, inaczej “Transakcje korespondencyjne i telefoniczne” a jeszcze inaczej “Wypłaty w bankomatach”)

    Dodatkowo nie jest dla mnie pewne, który PESEL jest ograniczeniem limitu:
    – mogę z mojego PESELu (i mojej karty – jak ktoś napisał w komentarzu) nadać max.2000 w ciągu roku?
    – mogę do danego odbiorcy (PESEL) wysłać max.2000 w roku (ale takich odbiorców mogę mieć kilku)?

    • Jeśli chodzi o limity to sprawa z moich dotychczasowych obserwacji wygląda tak.
      Po wykonaniu pierwszej transakcji PESEL nadawcy powiązywany jest z numerem karty. Nie wiem, czy do nich powiązywany jest też numer telefonu.
      Limit wg regulaminu jest na 1 rok kalendarzowy.
      Ten numer PESEL, a więc i ten numer karty, może wykonać w ciągu roku jeden lub wiele przelewów będących wielokrotnością 50 zł na łączną kwotę 2000.

      Ten sam numer PESEL może za to wg regulaminu odebrać do 4000 zł.

      Transakcja jest traktowana jako BEZGOTÓWKOWA, czyli np. robiąc przekaz z karty kredytowej nie musimy obawiać się o prowizję od wypłaty – jest to traktowane jak zapłata w sklepie. Przetestowane. Limity z karty zapewne będą te, które dotyczą transakcji bezgotówkowych, czyli sklepowych.

  23. Czy w ogole sprawdzaja poprawnosc PESEL-u, czy wystarczy dowolny ciag cyfr?

  24. Dawno dawno temu myślałem sobie, że bank to ma jakieś przekosmiczne systemy zabezpieczen, informatykow o najwyzszych umiejetnosciach a ich zespoly programistow to elitarne jednostki z wplecionymi w zespoły matematykami, kryptografami itp a nad wszystkim stoją jeszcze wyspecjalizowane firmy monitorujące cały proces i robiące regularne audyty. Oj jak bardzo się myliłem… Im głębiej siedzę w informatyce tym dokładniej to widzę.

  25. Mnie jakoś nie dziwi koncepcja całego systemu oraz dobór “algorytmów”. Znam parę osób, które pracują w bankach jako (sic!) programiści bez ukończenia podstawowego kursu programowania (nawet samodzielnego via internet). Ich praca polega na kopiowaniu kodu w VBA znalezionego w sieci i tworzeniu zajebistych narzędzi analitycznych. Miałem kiedyś wątpliwą przyjemność obejrzenia kodu źródłowego takiej aplikacji a nawet pomagałem w znalezieniu błędu i słowo “masakra” nie oddaje tego co zobaczyłem. Jeżeli dodać do tego rotację pracowników i podejście managierów co mają wszystko w d*, to na prawdę nie dziwi sposób generowania pinów itp. Nie zdziwiłbym się gdyby na cały pomysł przekazów bankomatowych wpadła jakaś łania po markietingu albo pokrewnym kierunku ściśle związanym z bankowością i bezpieczeństwem IT.

  26. Załóżmy że “sekretna” część kodu jest rzeczywiście sekretna i Ewa nie cwaniakuje, ale chciałaby dostać kasę za donos. Jaką gwarancję ma Ewa, że Adam po odzyskaniu lapa poda jej tą część kodu, niezbędną do odbioru kasy?

  27. Witam!

    Jako, że jestem aktywnym czytelnikiem tego portalu chciałbym zadać pytanie w tym newsie, ponieważ jest on najnowszy.

    Może odbiegnę trochę od tematu ale pytanie jest moje następujące.

    Czy mogę czuć się bezpieczny jeśli do każdej strony internetowej, w której mam założone konto (sklepy, gry, banki, emaile itd itp.) mam inne hasło? Dosłownie każda strona = inne hasło i nie typu admin1, admin2 tylko ciąg cyfr, liter, małych znaków, wielkich znaków. Co o tym uważacie? Czy mając do każdego serwisu inne hasło można czuć się bezpiecznym?

    Pozdrawiam

    • @MRX

      Niestety nigdy nie możesz czuć się bezpiecznym. Możesz czuć się co najwyżej bezpieczniej oraz trochę spokojniej. Bezpieczniej, bo to zawsze dodatkowe utrudnienie dla atakujących. A spokojniej, bo nawet gdy zdarzy się najgorsze chociaż pod tym względem nie będziesz mieć nic sobie do zarzucenia. Poszukaj analogii do innych sfer życia. Czy kupując samochód z 8 poduszkami powietrznymi podczas wypadku nic Ci nie grozi? I tak dalej.

    • W przypadku gdy jakiś soft typu keylogger działa na Twoim PC inne hasła i ich siła chyba nie grają roli, tym samym nie rozwiązują one wszelkich problemów.

  28. Niebezpiecznik coraz wiecej szkolen bedzie prowadzil dzieki takim akcjom . Kolejny weekendzik za 3k (osoba) dla calej ekipy euronetu

  29. Ciekawe jak bedzie wygladala sprawa reklamacji. Dzien dobry ktos wybral mi pieniadze z konta dzieki waszej nowej usludze.a to nie do nas pan dzwoni.

  30. Euronet to zero…nawet pisać nie umieją:na paragonie ze stacji jest ul. Armi Krajowej,a ja mieszkam obok “Niebezpiecznika”, przy tej samej ulicy ale Armii Krajowej.może drobiazg,ale denerwujący..

    • E tam, lepszy był jeden ze sklepów w M1.
      Adres na paragonie: Nowochucka

    • a najbardziej obesrany przez gołębie bankomat euronetu w krakowie to ten na rogu ulic Prądnickiej i Zdrowej-wypłacasz kasę a gołębie na Ciebie srają-nie ma nic przyjemniejszego jak rozbryzgujące się gówno gołębie na głowie…….kiedyś kilka razy wkładałem kartę Mastercard i twierdził że nie może jej odczytać-zadzwoniłem do Euronetu,gość stwierdził że coś z czytnikiem,byłem po drugiej stronie też nie urobił…..a w innym bankomacie problemów nie było….

  31. Jedno tylko mam na usprawiedliwienie dla Euronetu – to jest usługa do przekazywania pieniędzy, a więc dla osób, których intencją jest przekazanie pieniędzy. 2-3 razy z niej już korzystałem. Jeśli ktoś nie zamierza środków przekazywać, albo robi to warunkowo, to niech z tej usługi nie korzysta. Prawdą natomiast jest, że Euronet powinien lepiej usługę przemyśleć, jeśli nie chce zobaczyć nagłówków gazet typu: “Euronet wspiera oszustów”.

  32. A jaką gwarancję, że euronet ma kasę, ma wysyłający towar organizator aukcji, póki jej nie podejmie?

  33. Bardzo interesujący artykuł.

    Kilka uwag językowych:
    1. “Odbiorca przekazu bankomatowego otrzymuje SMS-a” -> “Odbiorca przekazu bankomatowego otrzymuje SMS” biernik nie dopełniacz
    2. “Tą informacJę musi przekazać mu osoba nadająca przelew” -> “Tę informację musi przekazać mu osoba nadająca przelew” nieprawidłowa odmiana zaimka “ta”
    3. “(…) poprosił znajomych z Facebooka aby udostępnili posta” -> “(…) poprosił znajomych z Facebooka aby udostępnili post” biernik nie dopełniacz

  34. A czy oni po prostu nie pomieszali who-is-who, jak parę osób z komentarzy? Po co przesyłać kawałek order ID – w założeniu pewnie odbiorca miał dostać SMS z numerem transakcji, a PIN iść do nadawcy, tak żeby stanowił on sekret do przekazania. Ktoś to źle zanotował, a później oprogramował to jakiś mi-nie-płacą-za-myślenie.

    Ale mniejsza o to, bo w tym temacie akurat sposób wypłaty jest najmniej chyba ważny – czy tylko ja zauważyłem, że to jest sposób na bardzo nieoficjalne przekazywanie kasy? I mam tu na myśli takie najbardziej ordynarne i dokuczliwe przestępstwa, typu “prześlij mi 1000 zł, albo masz przerysowany samochód” – nie wiadomo, kiedy i gdzie kasa będzie pobrana, o ile bankomat nie ma kamery, to zostaje szukanie po telefonie (powodzenia, nie za 1000 zł).

    Oczywiście, są inne metody na haracz:
    – doładowanie telefonu wiadomo, nie do nienamierzalnego wykorzystania,
    – PSC i inne kupony – niskie kwoty, dużo roboty,
    – BTC to w ogóle nie jest półka takiego osiedlowego menelstwa.

  35. W rajchu papierosy w automatach mozna kupic jedynie po zeskanowaniu dowodu/paszportu. I tak powinien byc uwierzytelniany numer pesel przy odbiorze gotowki. Wroc, pesel powinen byc skojarzony z losowym numerem id (mogl by byc nawet koncowka puli iban na to przeznaczonej). Bo pesel mozna jeszcze gdzies uzyc.

  36. >> W fazie mniejszego ruchu identyfikatory mogą się wydawać niewystarczająco zdywersyfikowane.

    Czyli rozumiem że teraz dodają 10 po każdej transakcji…

  37. Przepraszam za OT. Coś o tym Państwo słyszeli? CVE-2015-2344, CVE-2016-2075 – VMware poinformowało o podatnościach występujących w VMware vRealize Automation, vRealize Business Advanced oraz Enterprise. Podatności wykryte w poprzednich wersjach oprogramowania mogą umożliwić osobie atakującej m.in. na przejęcie kontroli nad podatnym systemem. za cert.gov.pl

  38. “Algorytm” jest prosty i nie wiem co można mieć tutaj do ukrycia:

    int id = 000000;
    id++;

    :)

  39. UZYC base 64 https://www.youtube.com/watch?v=gocwRvLhDf8

  40. Mimo wszystko jest to idealne rozwiązanie dla posiadaczy kart kredytowych, którzy standardowo za wypłatę gotówki w bankomacie płacą prowizję (do 10%, w zależności od banku i rodzaju karty).
    Wystarczy wysłać przekaz na inny numer telefonu, aby umożliwić sobie wypłatę gotówki bez odsetek do 2000PLN na czas tzw. grace period (w Polsce do 2 miesięcy?).
    Transakcja jest księgowana jako BEZGOTÓWKOWA, więc jest rozliczana jak zwykły zakup w sklepie.

    • Niestety tylko do kwoty 2000 zł rocznie. I nie da się tego obejść podając inny PESEL. I to mimo, że regulamin mówi, że limitem 2000 jest mniejsza z kwot: suma wysłanych przekazów lub suma zwróconych przekazów. Zatem teoretycznie dałoby się wykonać przekazy na 4000, ale bankomaty nie działają zgodnie z regulaminem…

Odpowiadasz na komentarz MRX

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: