Krytyczny błąd bezpieczeństwa w internetowych przelewach PeKaO SA

Nie jest to błąd w skryptach czy oprogramowaniu a stosowanej metodzie weryfikacji przelewu, ale umożliwia on postronnym osobom dokonanie dowolnej ilości przelewów na dowolne konta. Przelewów UWIARYGODNIONYCH KODEM SMS i to bez konieczności jakiejkolwiek biegłości w technikach hakerskich i przejęcia telefonu komórkowego!  Szczególnie jest to niebezpieczne, że nie widzę przy tym szans do odzyskania pieniędzy od banku.  A jakie mogą być scenariusze tak bolesnej straty kasy? Niestety bardzo proste.
Wg mnie jedynie kwestią czasu jest kiedy na czarnym rynku pojawi się oprogramowanie pozwalające na automatyczne wykorzystanie tego błędu i wyczyszczenie ludziom kont.

Cały problem leży w błędzie dotyczącym uwiarygodnienia przelewu kodem otrzymywanym SMSem.  Otóż jeśli wejdziemy na strony banku PEKAO SA i chcemy zrobić przelew do kogoś to musimy wpisać dwa kody uwiarygadniające. Jeden dotyczy “autoryzacji pliku”, który mamy na naszym nośniku (zwykle dysku czy pendrajwie) a drugi dostajemy SMSem. To podwójne zabezpieczenie, które powinno chronić przed atakiem hakera przez zainfekowanie komputera (kodu wysyłanego SMSem nie pozna).
Niestety w PeKaO SA nie chroni!
Jeśli raz użyjemy takiego kodu do przelewu i natychmiast nie zamkniemy sesji (przeglądarki) to okazuje się, że wpisany wcześniej kod zostaje zapamiętany i umożliwia dokonanie… dowolnej ilości kolejnych przelewów!

Jak to może zostać wykorzystane?  Ano niestety bardzo prosto, wystarczy, że atakujący zainfekuje nasz komputer jakimś specjalnym programem lub po prostu się do niego przysiądzie w odpowiedniej chwili!   I to wszystko!
Dlaczego? Bo ten kod SMSowy zapamiętuje się a bank PEKAO nie zrobił tak by każdy przelew miał INNY kod uwiarygadniający przesyłany SMSem.  Jak dla mnie jest to poważny, wręcz krytyczny błąd, przez który ludzie  prędzej czy później stracą pieniądze.

Dlatego dobrze Wam radzę – jeśli używacie systemu tego banku to interweniujcie.
Póki czas. Bo potem bank się wypnie i powie, że to Wy sami autoryzowaliście przelew i będzie po kasie na amen.

Zachęcam do przeczytania raportu ze szpiegowania klienta przez Polkomtel:

https://arnoldbuzdygan.com/oto-jak-szpieguje-polkomtel-wespol-z-krukiem/comment-page-1/

12 myśli na temat “Krytyczny błąd bezpieczeństwa w internetowych przelewach PeKaO SA

  1. Nie wylogowanie się przez użytkownika z systemu jest jego karygodnym błędem. Równie dobrze można na biurku zostawić telefon i wtedy nawet kody jednorazowe nie pomogą.

    A klucze lepiej trzymać na bezpiecznych nośnikach, a nie na dysku.

    1. Nie. Wyobraź sobie taką sytuację – komputer zostaje zainfekowany specjalnym programem, który :
      1. Czeka aż ktoś zaloguje się na Pekao SA i dokona przelewu.
      2. W tym momencie program przejmuje kontrolę nad komputerem i… dokonuje przelewów na zadane mu konto/konta.
      3. Robi to tak sprytnie, że siedzący przed komputerem nawet nie zauważa tego np. programik wyświetla mu statyczny obraz przeglądarki,
      a człowiek czeka na jej reakcję. Czy w jakikolwiek inny sposób na kilkadziesiąt sekund „przytrzymuje/odwraca” uwagę.

      Dla mnie karygodnym błędem jest, że JEDEN kod weryfikacyjny pozwala dokonać dowolnej ilości przelewów choć powinien być unikalny do każdego z osobna.

  2. To już science fiction. Sam napisałeś, że jest jeszcze „autoryzacja pliku”. Więc jeżeli ten sprytny program nie posiądzie pliku, to żadnego lewego przelewu nie wykona.

    1. Ale plik weryfikacyjny przecież jest także w tym momencie dostępny – albo jest na dysku albo flashu. Takoż hasło do tego pliku przejmuje z klawiatury.

      1. No i właśnie dlatego piszę, że taki plik trzeba trzymać na bezpiecznym nośniku – na przykład karcie mikroprocesorowej.

        najsłabszym ogniwem zabezpieczeń systemu jest zawsze człowiek – jak sam sobie zawali, to nawet najlepsze zabezpieczenia nie pomogą.

        1. Tylko, że to nic nie zmian bo tą kartę musisz podłączyć do wykonania przelewu.
          Wystarczy, że taki programik poczeka aż zrobisz swój przelew i natychmiast wykona np. „zamulenie komputera” i będziesz grzecznie czekał aż odpowie Ci przeglądarka, że dokonała przelewu.
          Tyle, że w tym czasie programik dokona go także tam gdzie sobie nie życzysz.

          1. To juz nawet nie science finction… potem programik jeszcze zhackuje Twój ekspres do kawy, wyżłopie z lodówki browara przeznaczonego na mecz i dopiero będzie dramat.

          2. Mówisz o produktach zdolnych atakować instalacje nuklearne, rafinerie czy elektrownie. Kto, mając taką moc sprawczą, zawracałby sobie cztery litery, żeby ukraść parę groszy z banku w kraju europy środkowej? Nie ta skala, nie te cele. Produkcja takiego robaka jest po prostu nieopłacalna. Proszę, daruj sobie wymyślanie kolejnych argumentów, które nijak nie mają się do rzeczywistości – to już zakrawa na urojenia prześladowcze. Straszysz Bogu ducha winnych klientów Banku, którzy – podobnie jak Ty – nie mają pojęcia, w jaki sposób działają systemy autoryzacji transakcji.

            Z drugiej strony jednak osoby znające się na rzeczy na pewno mają z Twoich wywodów nieziemski ubaw. Kontynuujemy dyskusję?

  3. Zrobienie wirusa działającego jak opisuje Arek jest wbrew pozorom nie takie trudne. Wirus musi tylko czekać, aż użytkownik zacznie wykonywać sprzyjającą mu operację bankową i wtedy przejąć na chwilę sesję wykonywania przelewu… hello – przecież to nie jest takie trudne 😉
    Nawet przetransportowanie wirusa do użytkownika nie jest trudne… cały czas powstają nowe pomysły na to… wiem, bo się tym interesuję.
    Nie wiem, czy zaczynam wpadać w paranoje ale krytyczne operacje, jak np. bankowe lepiej wykonywać z przeglądarki w Linuxie albo przeglądarki w jakimś sandboxie bo internet zaczyna przypominać pole walki.
    Za rozsądną kaskę nawet ja bym napisał taki programik z opisaną funkcjonalnością.

Odpowiedz