Usługa polega na natychmiastowym przekazaniu komuś pieniędzy jedynie poprzez podanie jego numeru telefonu komórkowego (odbiorca nie musi posiadać karty płatniczej). Odbiorca przekazu bankomatowego otrzymuje SMS od Euronetu z numerem PIN oraz 2 ostatnimi cyframi z 6 cyfrowego numeru transakcji. Aby pobrać pieniądze z bankomatu musi jednak podać pełen 6-cyfrowy numer transakcji. Skąd odbiorca wie, jakie są 4 pierwsze cyfry tego numeru? Tą informację musi przekazać mu osoba nadająca przelew.


Eksperci stwierdzili jednak, że numery transakcji są generowane nie losowo, lecz w kolejności np. 001131, 001132.


"Wniosek z tej historii jest prosty. Jeśli coś od kogoś kupujesz przez internet i ktoś proponuje ci zapłatę poprzez przekaz bankomatowy Euronetu, nie zgadzaj się. Jeśli kontrahent okaże się oszustem, będzie w stanie wyciągnąć pieniądze zanim potwierdzisz zgodność/sprawność towaru poprzez przesłanie 4 brakujących cyfr - po prostu się ich domyśli na podstawie samodzielnie wykonanego testowego przekazu" – wyjaśnia portal niebezpiecznik.pl.


PESEL nie wystarczy jako zabezpieczenie


Euronet przy zlecaniu przekazu wymaga, poza numerem telefonu nadawcy, także jego numeru PESEL. PESEL musi też podać odbiorca podczas wypłaty. Bankomaty nie sprawdzają jednak poprawności PESEL-u — służy on jako “identyfikator” na podstawie którego liczony jest roczny limit przekazu bankomatowego, który nie może przekroczyć 2 tys zł dla jednego odbiorcy.


Według wyjaśnień Euronetu - "każdorazowe użycie numeru PESEL przez klienta usługi (zlecającego przekaz bankomatowy) lub odbiorcę przekazu jest zapisywane wraz z innymi danymi transakcyjnymi w odpowiednich systemach Euronet i stanowi element późniejszej analizy pod kątem zapobiegania oraz wykrywania potencjalnych oszustw".


Jednak w opinii fachowców od bezpieczeństwa transakcji brak konieczności posiadania karty płatniczej i uwierzytelnianie odbiorcy jedynie poprzez numer telefonu (może być na kartę prepaid) oraz PESEL (może być dowolny) jest doskonałym sposobem na anonimowe wypłaty gotówki  - o ile oszusta nie nagra wyraźnie bankomatowa kamera.

 

Euronet tłumaczy, że poprawił już generowanie numerów transakcji i ich bezpieczeństwo

 

- Usługa jest w początkowej fazie. W fazie mniejszego ruchu identyfikatory mogą się wydawać niewystarczająco zdywersyfikowane. Aby uniknąć jakichkolwiek wątpliwości co do bezpieczeństwa klientów, parametry dywersyfikacji identyfikatorów zostały już zmienione – wyjaśnił polsatnews.pl Paweł Trocki, dyrektor w Euronet Polska.

 

Dodał też, że "nadawca i odbiorca przekazu są proszeni o podanie następujących danych: numer telefonu nadawcy, numer telefonu beneficjenta, numery PESEL. Zbierane dane pozwalają na weryfikację zarówno nadawcy, ale – co równie istotne – identyfikację odbiorcy. Raz użyte dane są na stałe zapisywane wraz z innymi danymi transakcyjnymi w systemie Euronet i są elementem narzędzi przeciwdziałania nadużyciom".

 

niebezpiecznik.pl, polsatnews.pl