Przestępcy znaleźli nowy sposób na wyłudzanie pieniędzy. Wykorzystują do tego bankomaty Euronetu i nową usługę, czyli tzw. “przekaz bankomatowy”. Dzięki niemu dowolna osoba może “wybrać” pieniądze z bankomatu Euronetu — wystarczy, że posiada telefon komórkowy.

Doskonały sposób na anonimowe wypłaty środków

Osoby korzystające z bankomatów Euronetu zapewne zauważyły nową opcję w menu wypłaty bez karty — przekaz bankomatowy:

Usługa Euronetu polega na realizowanym natychmiastowo przekazaniu komuś pieniędzy jedynie poprzez podanie jego numeru telefonu komórkowego (odbiorca nie musi posiadać karty płatniczej). Odbiorca przekazu bankomatowego otrzymuje SMS-a od Euronetu z PIN-em oraz 2 ostatnimi cyframi z 6 cyfrowego numeru transakcji. Aby wybrać środki, w bankomacie musi jednak podać pełen 6 cyfrowy numer transakcji. Skąd odbiorca wie, jakie są 4 pierwsze cyfry numeru transakcji? Tą informację musi przekazać mu osoba nadająca przelew (w ten sposób Euronet weryfikuje, że podane podczas transakcji numery telefonów nadawcy i odbiorcy są poprawne).



Euronet przy zlecaniu przekazu wymaga, poza numerem telefonu nadawcy, także jego numeru PESEL. PESEL musi też podać odbiorca podczas wypłaty. Bankomaty nie sprawdzają jednak poprawności PESEL-u — służy on jako unikatowy “identyfikator” na podstawie którego liczony jest roczny limit przekazu bankomatowego, który nie może przekroczyć 2000 PLN “na człowieka/PESEL”. Innymi słowy, maksymalnie, za pomocą tego typu transakcji przekazać można 2 000 PLN. Limit jest jednak teoretyczny, bo wystarczy zmienić numer telefonu i pesel i już można odebrać więcej niż 2000 PLN w skali roku.

Brak konieczności posiadania karty płatniczej i uwierzytelnianie odbiorcy jedynie poprzez numer telefonu (może być prepaid) oraz PESEL (może być dowolny) jest doskonałym sposobem na anonimowe wypłaty gotówki (o ile nie nagra nas bankomatowa kamera). Nie dziwne więc, że przestępcy już zaczęli z niego korzystać. Na czym dokładnie polega ten scam?

Wyłudzenie na przekaz bankomatowy Euronetu

Kilka dni temu napisał do nas jeden z czytelników, nazwijmy go Robert, któremu ktoś ukradł bardzo drogiego laptopa z jeszcze cenniejszą zawartością (rodzinne zdjęcia). Robert w akcie desperacji rozwiesił na mieście ogłoszenia informujące o nagrodzie dla znalazcy, a dodatkowo poprosił znajomych z Facebooka aby udostępnili posta o takiej samej treści jak ogłoszenie. Znajomi pomogli i post zaczął żwawo krążyć po sieci.

Po kilku godzinach, do Roberta zgłosiła się życzliwa osoba, nazwijmy ją Ewa, która oświadczyła, że wie, kto ma poszukiwanego laptopa. Ewa nie była jednak skora do wskazania adresu “dziupli” za darmo. Nie chciała też pieniędzy “z góry”. Przedstawiła Robertowi “sprawiedliwy sposób rozwiązania tej sprawy“, a mianowicie — zlecenie przelewu przez bankomat Euronetu.

Ewa wyjaśniła, że po zleceniu przelewu (poprosiła o 2000 PLN znaleźnego) nie otrzyma od razu pieniędzy, ponieważ do ich wybrania potrzebny jest 6 cyfrowy kod, a ona dysponować będzie jedynie 2 ostatnimi cyframi tego kodu. 4 pierwsze cyfry miał przesłać Robert, ale dopiero po samodzielnym sprawdzeniu adresu wskazanego przez Ewę i odzyskaniu sprzętu.

Brzmi fair, prawda? Ewa po otrzymaniu SMS-a z Euronetu wie, że Robert rzeczywiście zlecił przelew, ale nie odbierze go, dopóki nie otrzyma 4 początkowych cyfr. To pozwala jej z czystym sumieniem udzielić informacji na temat skradzionego sprzętu. Robert z kolei nie przekaże 4 cyfr, dopóki nie upewni się, że cynk od Ewy jest prawdziwy. W dodatku, gdyby cynk nie był prawdziwy, Robert nie musi nic robić. Pieniądze niepodjęte przez 7 dni wracają na jego konto. Mówiąc wprost, Euronet działa jak usługa escrow, doskonale znana z cyberprzestępczych marketów, ale mająca także zastosowanie w biznesie.

Dociekliwy Robert, który Ewie nie zaufał

Ponieważ Robert był dość podejrzliwy i nie słyszał wcześniej o tej usłudze, zadzwonił na infolinię Euronetu. Tam operator potwierdził sposób działania bankomatowego przelewu dokładnie tak, jak opisała to Ewa. Robert, wciąż nieufny, przed przesłaniem Ewie 2 000 PLN postanowił sprawdzić działanie systemu wraz z kolegą Krzysztofem. Przesłał mu 50 złotych i otrzymał następujący kod transakcji:

001131

Ponieważ pierwsze 4 cyfry, wyglądały podejrzanie nielosowo, Robert postanowił przesłać Krzysztofowi kolejne 50 złotych. Tym razem kod transakcji był taki:

001132

Robert zaczął więc podejrzewać, że:

A. 0011 to jego ID jako nadawcy (stałe i generowane np. na podstawie PESEL-u)

to jego ID jako nadawcy (stałe i generowane np. na podstawie PESEL-u) B. 0011 to ID bankomatu nadającego przelew (stałe dla danego bankomatu)

to ID bankomatu nadającego przelew (stałe dla danego bankomatu) C. 0011 jest częścią globalnego identyfikatora transakcji, który jest zwiększany o 1 dla każdej kolejnej transakcji.

W przypadku (B), nieuczciwa Ewa mogłaby wybrać pieniądze samodzielnie, o ile wiedziałaby z którego bankomatu Robert nadał jej przekaz (mogłaby po prostu sprawdzić te najbliższe jego miejscu zamieszkania. Po ogłoszeniu na Facebooku łatwo zorientować się, gdzie mieszka Robert).

W przypadku (C), nieuczciwa Ewa mogłaby wybrać pieniądze samodzielnie, bo zaraz po otrzymaniu SMS-a z Euronetu, sama wykonałaby jakikolwiek przekaz, i poznała “następny” globalny identyfikator kodu transakcji i na tej podstawie pozyskała pierwsze 4 cyfry.

Która z powyższych hipotez jest poprawna? Niestety C… Skąd to wiemy? Bo kilka godzin po wiadomości od czytelnika, sami wykonaliśmy testowy przelew, na innym bankomacie Euronetu, w innym mieście. I wiecie jakie ID transakcji otrzymaliśmy?

001149

Wygląda znajomo?

Euronet nie widzi problemu w działaniu swojej usługi

Oto pytania, jakie zadaliśmy Euronetowi:

1. Czy Euronet potwierdza, że identyfikatory transakcji są kolejnymi liczbami całkowitymi? 2. Dlaczego Euronet zdecydował się na stosowanie kolejnych liczb całkowitych jako OrderID, skoro wartość ta jest trywialna do ustalenia? Czy nie lepiej sprawić aby to PIN był “sekretem” przekazywanym przez nadawcę do odbiorcy pieniędzy? 3. Jaką funkcję pełnią numery PESEL, skoro Euronet nie weryfikuje ich prawdziwości w kontekście danego klienta (zlecającego lub odbierającego przekaz)? 4, Czy podanie numeru telefonu A oraz peselu B powoduje, że w kolejnych transakcjach nie będzie już można podać numeru telefonu A z innym peselem, lub numeru pesel B w parze z innym telefonem? 5. Po ilu błędnie wprowadzonych danych transakcji (numer i PIN) przekaz przeznaczony dla danego numeru telefonu nie będzie mógł zostać zrealizowany?

A oto odpowiedź Euronetu przesłana nam przez p. Adriannę Fajerską:

dziękujemy za przesłane zapytanie. Ze względów bezpieczeństwa zasady działania systemów oraz algorytmów usługi przekazu bankomatowego nie są podawane do publicznej wiadomości. Numer PESEL jest pobierany od klienta usługi (zlecającego przekaz bankomatowy) jako jeden z kilku elementów jego identyfikacji. Odpowiedzialność za podanie prawidłowego numeru PESEL spoczywa na kliencie usługi. Dodatkowo numer PESEL zlecającego przekaz bankomatowy oraz odbiorcy pobierane są w celu zapobiegania oszustwom związanym ze świadczonymi usługami oraz dochodzeniem i wykrywaniem tego rodzaju oszustw. Każdorazowe użycie numeru PESEL przez klienta usługi (zlecającego przekaz bankomatowy) lub odbiorcę przekazu jest zapisywane wraz z innymi danymi transakcyjnymi w odpowiednich systemach Euronet i stanowi element późniejszej analizy pod kątem zapobiegania oraz wykrywania potencjalnych oszustw. Łączymy pozdrowienia

Zespół Euronet Polska

Po takiej odpowiedzi, trudno oprzeć się wrażeniu, że dla Euronetu, problem wykorzystania jego usługi do celów wyłudzeń nie wydaje się być wartym uwagi. Nazwanie inkrementacji zmiennej algorytmem, jest już tylko wisienką na torcie…

Nie przesyłaj bankomatem pieniędzy nieznajomym

Na razie wszystko wskazuje na to, że oszuści na celownik wzięli sobie wyłącznie osoby, które poszukują informacji w sieci, np. w sprawie skradzionych rzeczy. Wtedy model Escrow sprawia wrażenie atrakcyjnego i sprawiedliwego dla obu stron. Łatwo sobie jednak wyobrazić inne zastosowania usługi przekazu bankomatowego do wyłudzeń, np. na giełdach bitcoinowych lub podczas internetowych aukcji (“Nie wysyłam tego sprzętu do innego miasta, tylko odbiór osobisty, ale zrobię wyjątek, jeśli będę miał pewność, że otrzymam zapłatę“).

Wniosek z tej historii jest prosty. Jeśli coś od kogoś kupujesz przez internet i ktoś proponuje Ci zapłatę poprzez przekaz bankomatowy Euronetu, nie zgadzaj się. Jeśli kontrahent okaże się oszustem, będzie w stanie wyciągnąć pieniądze zanim “potwierdzisz” zgodność/sprawność towaru poprzez przesłanie 4 brakujących cyfr — po prostu się ich “domyśli” na podstawie samodzielnie wykonanego testowego przekazu.

Nie jesteśmy w stanie zrozumieć, dlaczego projektanci przekazów bankomatowych Euronetu, zamiast bawić się w składanie identyfikatora transakcji, po prostu nie zdecydowali się na przesyłanie PIN-u tylko do nadawcy przelewu? Czy nie lepiej aby to PIN był “sekretem”, który trzeba przesłać odbiorcy? PIN przynajmniej wygląda na losowy…

PS. Imiona i inne niemające wpływu na sens zdarzenia szczegóły dotyczące historii Roberta zostały zmienione.

PPS. Jakie ID u was? ;-)



Niespodziewanie Euronet podesłał dodatkowe wyjaśniania (wytłuszczenia nasze):

„Usługa jest w początkowej fazie. Zastosowany algorytm jest w stanie prawidłowo obsłużyć zarówno duży i mniejszy ruch transakcyjny. W fazie mniejszego ruchu identyfikatory mogą się wydawać niewystarczająco zdywersyfikowane. Aby uniknąć jakichkolwiek wątpliwości co do bezpieczeństwa klientów, o którym zawsze pamiętamy projektując kolejną dogodną usługę, parametry dywersyfikacji identyfikatorów zostały już zmienione. Istotnym było dla nas, aby proces realizacji przekazu bankomatowego został uproszczony do niezbędnego minimum. W związku z tym podczas realizacji transakcji zbierane są wyłącznie dane niezbędne do jej przetworzenia, w szczególności nadawca i odbiorca przekazu są proszeni o podanie następujących danych: numer telefonu nadawcy, numer telefonu beneficjenta, numery PESEL. Zbierane dane pozwalają na weryfikację zarówno nadawcy, ale – co równie istotne – identyfikację odbiorcy. Raz użyte dane są na stałe zapisywane wraz z innymi danymi transakcyjnymi w systemie Euronet i są elementem narzędzi przeciwdziałania nadużyciom. Dodatkowo, dbając o bezpieczeństwo finansowe klientów celowo ustanowione przez Euronet limity transakcji są niskie. Górna kwota jednego przekazu bankomatowego wynosi 2000,00 zł, przy jednoczesnym założeniu, że maksymalna kwota wszystkich przekazów zleconych do danego odbiorcy nie może przekroczyć 4 000,00 zł w roku kalendarzowym.” – Paweł Trocki, dyrektor sprzedaży produktów innowacyjnych w Euronet

Przeczytaj także: