środa, 30 maja 2012

Już niedługo kolejne SOFAILE

Po moim ostatnim poście w Polskim Internecie powstało nowe określenie -  SOFAIL.  Przyznam, że bardzo mi się spodobało bo oddaje sedno sprawy. Blog ten nie powstał jednak tylko po to, żeby napisać jednego skromnego posta o Sofort (aczkolwiek to co stworzyli było tak wielkim wałkiem, że stanowiło pewien impuls).

Dotychczas działałem pod wieloma różnymi nickami i w różnych miejscach, ale teraz postaram się te moje odkrycia zbierać w jednym miejscu na tym blogu.

W następnym odcinku...
jak w domowych okolicznościach zalogować się do (niejednego) banku na cudze konto, nie znając loginu i hasła ofiary. To też niezły przekręt i dość popularnie występująca dziura. Do włamania wymaga ona spełnienia pewnych specyficznych okoliczności (więc proszę bez paniki).... ale jednak jest to możliwe i realne a trojany nie śpią. Nakręcę filmik, żeby pokazać zastosowanie. Zdjęcia nie oddałyby prostoty i możliwości tego manewru. Trochę potrwa zanim opiszę proces i ogarnę filmik bo ostatnio nie mam za dużo czasu dla siebie.

niedziela, 20 maja 2012

Jak za darmo dostać buty w Deichmanie dzięki Payment Network AG - FAIL z sofort banking

W lutym roku 2012 wszedł na polski rynek system płatności Sofort firmy Payment Network AG ( https://www.payment-network.com/deb_com_pl  ). Ponieważ metody płatności to temat z cyklu "white & nerdy", postanowiłem bliżej przyjrzeć się temu systemowi.


Jak zatem działa system płatności Sofort banking?
W tym celu najpierw musimy znaleźć sklep, który był na tyle głupi, żeby wdrożyć tą bramkę płatności. Najprościej zadzwonić do biura obsługi sofort (to też zabawne - telefon na stronie to komórka i odbiera ją jedna kobieta). Z tego co się dowiedziałem na dzień 01.05.2012 z tego systemu w Polsce korzysta już (uwaga uwaga 30 SKLEPÓW), ale ponoć w Niemczech mają 15% rynku.... no dobra, wróćmy do tematu.

Załóżmy, że znaleźliśmy już ofiarę z tym systemem i jest to sklep obuwniczy Deichmann.pl.

Jak za darmo odebrać towar dzięki Sofort na koszt Sklepu?
Składamy zatem zamówienie w sklepie https://www.deichmann.com/PL/pl/shop/welcome.html . Niech to będzie torebka dla Ukochanej, buty sportowe dla Ciebie i  całej rodziny (Deichmann ma ograniczenie do max 1000 PLN w sklepie online, ale inne sklepy nie mają takich limitów).

Teraz przechodzimy do podsumowania zamówienia i zakładamy nowe konto. Ważne, abyśmy mieli jednorazową kartę pre-paid za 5 PLN, żeby odebrać telefon (ktoś z obsługi będzie dzwonił, aby potwierdzić zamówienie, przyjdzie również SMS o tym, że paczka czeka do odbioru i później ktoś z Sofortu będzie dzwonił, aby nas postraszyć, że jesteśmy źli i w ogóle jak mogliśmy taką karygodną rzecz zrobić, ale to wina Sofortu, że jest niebezpieczny i na to pozwala, a nie Twoja)

1. Rejestrujemy się w sklepie na fikcyjne dane. Tylko telefon musi być prawdziwy (patrz prepaid powyżej). Email najlepiej z jakiejś świeżo założonej skrzynki.


2. Ważne! Jako miejsce odbioru wybieramy Paczkomat InPost! Dzięki temu jesteśmy w pełni anonimowi, wystarczy karta prepaid 5 PLN do odebrania sms.
 
 3. Następnie wybieramy metodę płatności Sofort :)

4.  Potwierdzamy jeszcze raz zamówienie i jesteśmy przekierowani do systemu płatności sofort:


5.  Który swoją drogą ma tylko 15 banków w Polsce, a jak ktoś nie ma konta w jednym z tych banków, to uwaga: Nie może zapłacić! ;D MEGA FAIL


6. Wybierasz jeden z czterech najpopularniejszych banków w Polsce: mbank, Multibank, iPKO lub Inteligo (dlaczego akurat jeden z tych 4 - o tym za chwilę).
Po wybraniu banku widzisz prośbę o podanie danych do logowania do bankowości internetowej:

Myślisz sobie - WTF!? To jakiś phishing! Dzwonisz do Sofort UBERWAJSUNG i tam miła Pani zapewnia Cie, że to wielka firma i ma miliony klientów, a ty jesteś głupi, że w ogóle możesz myśleć, że to wyjebka skoro "mają certyfikat TUV".... haha dobre, szkoda, że nie chwalą się paszportem Polsatu ;).

A może myślisz, że Payment Network AG to jakaś Krajowa Izba Rozliczeniowa i są tak wielcy i spasieni, że dogadali się ze wszystkimi bankami, aby te wymieniały z nią dane transakcji klientów po zalogowaniu? Przyznam, że taki był mój początkowy tok rozumowania.... Ale jakim prawem bank dawałby dostęp komukolwiek do konta? Czy zatem banki wyrażają zgodę na zbieranie danych do logowania przez inną firmę lub przekazują jej Twoje dane?

NIE! Żaden bank nie współpracuje z Sofort!!! ŻADEN!!! Co więcej: robią to wbrew woli banków!!! Wystarczy zadzwonić na infolinię banku i się zapytać :) Pracownik banku przestrzeże nas wtedy, że podanie loginu i hasła na innej stronie jest łamaniem regulaminu banku i wiąże się m.in. z utratą gwarancji bankowej (SIC!) dotyczącej posiadanych środków, możliwością natychmiastowego wypowiedzenia umowy przez Bank, itd... Płacisz przez Sofort na WŁASNE RYZYKO


Confirmed WTF!
To co i jak oni to robią?

Oficjalnie pracownicy Sofort informują, że nie pośredniczą w przekazywaniu środków, tylko za pomocą ich systemu klient dokonuje przelew bezpośrednio na konto odbiorcy. Hmmm. To daje do myślenia.

Mi przyszła na myśl pewna niewiarygodna hipoteza... Że podczas transakcji system sofort loguje się na konto użytkownika bez jego wiedzy i zleca za niego przelew... Tak zwyczajnie, bez żadnych ceregieli i zabezpieczeń. Prosty system logujący i przekazujący dane podane przez użytkownika w otwartym oknie z panelem transakcyjnym Sofort... i przy okazji zbierający dane z Twojego konta bankowego bez Twojej wiedzy.

przecież to mega wałek.....trzeba to sprawdzić....

Kontynuujmy zatem proces płatności przez Sofort:

 WAŻNE! Teraz za nim zrobisz ceremonialne harakiri i podasz dane do logowania w Sofort, zmień najpierw hasło do Twojej bankowości (bo znając życie korzystasz z niego w kilku miejscach i nie wiadomo, czy sofort tego nie wykorzysta próbując włamać Ci się na pocztę czy coś). Jeżeli masz unikatowe haslo, to możesz je zmienić PO realizacji przelewu przez Sofort (co jest konieczne w obu przypadkach).

Podaj zatem swój login i hasło do bankowości, na stronie internetowej Sofort (samo to zdanie brzmi jak nakłanianie do samobójstwa).

Po podaniu loginu i hasła, sofort zaloguje się na Twoje konto i karze Ci wybrać rachunek:




Po wybraniu rachunku każe Ci wpisać kod sms (na stronie Sofortu!!!)


Po potwierdzeniu przelewu zaloguj się do banku i anuluj przelew :)
Poniżej jak to zrobić w Multibanku:
Wystarczy przejść do zakładki Płatności ---> Płatności oczekujące ---> Usuń
 A następnie potwierdzić Usunięcie nowym kodem SMS

W międzyczasie dostaniesz email od Deichmanna z podziękowaniem za wpłatę i informacją o przekazaniu zamówienia do realizacji :)

Po anulowaniu przelewu koniecznie zmień hasło na nowe ( i nie zdziw się, jeżeli Twój dostęp do bankowości zostanie spontanicznie zablokowany - to tylko Sofort próbuje się ponownie logować na Twoje konto bez Twojej wiedzy :)).

Uwagi końcowe
1. Najpierw upewnij się, że twój odbiorca nie ma konta w tym samym banku co Ty, ponieważ wtedy bank zaksięguje przelew natychmiast i nie będzie można go cofnąć.
2. Nie rób przelewu w momencie trwania sesji Elixir w Twoim banku, inaczej przelew zostanie wysłany natychmiast i nie będzie można go cofnąć (każdy bank ma 2-5 sesji Elixir na dzień i publicznie informuje w jakich godzinach one trwają).
3. Przelewy zewnętrzne można cofnąć NA 100% online (do momentu ich wpuszczenia do systemu Elixir przez Bank) w następujących bankach: mBank, MultiBank, iPKO, Inteligo. Możliwe, że w pozostałych też, ale nie sprawdzałem.
4. Sofort bezczelnie kłamie na swoich prezentacjach, że nie ma możliwości oszustwa (fraudu) ;) To, żeby dolać oliwy do ognia, poniżej skreeny od znajomego, któremu powiedziałem jak działa Sofort, a on nie omieszkał sprawdzić tego na własnej skórze :D

Potwierdzenie zaksięgowania wpłaty za zamówienie w Deichmann:
i anulowanie przelewu w mBanku:

kolega mówił, że Deichmann bardzo szybko zrealizował zamówienie :) Najlepsze jest to, że po odbiorze z paczkomatu można iść do pierwszego lepszego salonu i oddać towar w ramach ustawowych 10 dni i żadać zwrotu wpłaty. W takiej sytuacji Deichmann zwraca całą kwotę w gotówce :) Nie ma to jak zarobić 900 PLN na 1 zamówieniu w 3 dni :) A jakby złożyć 30 takich zamówień, to już się uzbiera na całkiem niezły używany samochód ;)

5. Jak myślisz, jakie dane pobiera Sofort po zalogowaniu się do Twojej bankowości internetowej?
Jeśli dobrze przeczytałeś ich regulamin, to jest w nim napisane, iż Sofort zastrzega sobie prawo do sprawdzenia:

"Poprzez wydanie polecenia przelewu w systemie sofortbanking zlecają nam Państwo, aby automatycznie skontrolować,
  • czy Państwa konto pokrywa kwotę zleconą do przelewu (kontrola pokrycia rachunku bankowego), i
  • czy ewentualne inne przelewy w systemie sofortbanking realizowane z Państwa konta w przeciągu ostatnich 30 dni wykonane zostały z powodzeniem"
A zatem Sofort pobiera nie tylko Twój LOGIN i HASŁO do bankowości internetowej, ale także Stan Twojego konta bankowego i historię operacji z ostatnich 30 dni. Co więcej definitywnie pobiera Imię i Nazwisko. MASAKRA! Na szczęście nie pobiera adresu, więc w razie problemów jesteś nie do ustalenia ;)
6. Czy skoro Sofort korzysta z bezpiecznego certyfikatu SSL Extended Validation, to czy to oznacza, że dane do Twojej bankowości są bezpiecznie przesyłane? 

Dlaczego banki nie próbują zablokować botów logujących się na konta innych użytkowników? Przecież jeśli jest np. 1000 logowań z jednego adresu IP, to wystarczy zablokować ten adres na firewallu w banku i po problemie....
 I tak też banki prawdopodobnie robiły... I to jest dla mnie jeszcze większy szok...  Aby obejść blokady liczby logowań nakładane przez Banki na jeden IP..... Sofort korzysta po drodze z bramek PROXY. wynajmoawanych od jeszcze zewnętrznych firm... TOTALNA MASAKRA!!!! Skąd takie oskarżenia?

Jeżeli masz rachunek w ING to wygeneruj zamówienie, podaj dane do logowania podczas płatności w sofort (nie dokonuj jej). Następnie zaloguj się bankowości i zobacz adresy IP ostatnich logowań (każdy porządny bank to udostępnia właśnie dla bezpieczeństwa, Multibank tego nie udostępnia). Wystarczy wpisać w http://www.ip-adress.com/ip_tracer/ adres IP jaki tam zobaczysz. Jak narazie nie udało mi się trafić na 2 takie same adresy w przypadku płatności sofort... to oznacza, że dane do logowania ma nie tylko Sofort, ale jeszcze zewnętrzne, nikomu nieznane firmy będące właścicielami serwerów proxy, które wynajmuje Sofort... Jak to nie jest MEGA SKANDAL, to ja nie wiem co nim jest.

Moim zdaniem GIODO i KNF powinny nałożyć maksymalne możliwe kary na Sofort i zdelegalizować ten twór, żeby nikt więcej nie próbował robić takich przewałów. Jakby na to nie patrzeć, to jest jednak bardzo wyrafinowany PHISHING.

Tymczasem... tutaj na slajdzie #16 masz obecnych klientów Sofort: http://www.slideshare.net/EastCamp/dagmara-kruszewska-prezentacja-eastcamp . Dobry jest motyw z Media Markt, gdzie możesz zapłacić w Niemczech przez internet i odebrać towar w placówce :))) A przelewy między bankami w niemczech działają jeszcze wolniej jak w Polsce ;) Na prawdę dziwne, że nikt jeszcze nie rozwalił tego systemu.

W Polsce Sofort mają wdrożone następujące systemy, a dzięki temu ich klienci:
IAI-SHOP.COM:

COMARCH ISKLEP24.PL (od 23-05 już nie - patrz EDIT2)

 PRZELEWY24.pl (od popołudnia 22-05 już nie - patrz EDIT)

Gratulujemy powyższym systemom głupoty i braku analizy partnerów, z którymi współpracują :) Cieszmy się darmowymi zakupami u ich klientów :)

EDIT 22-05-2012 18:16:


Przelewy24 z tego co widzę już nie umożliwiają zapłaty przez Sofort.
W Deichmann.pl nadal możesz kupić buty przez Sofort :)

Publikując tego posta o 1h dzisiaj w nocy, nie spodziewałem się, że nowo utworzony blog może w kilka godzin zdobyć taką popularność - 45070 wyświetleń o 18:20, poniżej screen z google analytics:

To dokumentuje potęgę Internetu. Jeden post nieznanego człowieka na nieznanym blogu, a taki zasięg.

Najpopularniejsze banki w Polsce zajęły stanowisko w tej sprawie:
http://niebezpiecznik.pl/post/zakupy-przez-internet-za-darmo-powazne-bledy-w-systemie-platnosci-sofort/
co tylko potwierdza, że jest tak jak napisałem.

Pozdrawiam użytkownika ruzak, który opublikował ten news na wykopie oraz serwis niebezpiecznik.pl, któremu należy się plus za błyskawiczny czas reakcji.

EDIT2 23-05-2012 10:42:

Otrzymałem wiadomość od przedstawiciela firmy Comarch, że już usunęli Sofort ze swojego systemu.


poniedziałek, 14 maja 2012

Blog powstał w celu dokumentowania i rozpowszechniania fatalnych błędów korporacyjnych

hello,

już niebawem opublikuję post, na temat błędów w jednym z dostępnych systemów płatności na polskim rynku, który demaskuje stosowane przez niego praktyki. To co odkryłem jest tak nierealne, że aż sam nie mogę w to uwierzyć, ale prawda jest taka, że jeden z systemów zbiera dostępy użytkowników do bankowości internetowej i przesyła je niezabezpieczonymi kanałami. Muszę to tylko jeszcze raz udokumentować, gdyż pierwotnie nie robiłem zdjęć.

To będzie SZOK i niedowierzanie, a ten wredny system płatności czeka POT i ŁZY.
 
Pozdrawiam,
failhunter