2012-05-23: Sofort, czyli „uznane” płatności, które działają jak phishing

Dwa dni temu na blogu Hackmana pojawił się post opisujący możliwość zakupienia za darmo butów w Deichmanie, dzięki kiepsko zaprojektowanemu systemowi płatności Sofort firmy Payment Network AG. Ważniejszym jednak elementem niż sama kradzież jest sposób w jakim tenże system płatności działa, a nie odbiega to od pospolitej próby phishingu.

System ten przy dokonywaniu płatności prosi o podanie loginu i hasła do bankowości internetowej klienta. Po czym loguje się i zleca przelew. Dziura wspomniana w poście to możliwość szybkiej zmiany hasła, a następnie anulowania przelewu jeśli zakup nie został dokonany w godzinach wykonywania przelewów Elixir.

Ważniejsze jest jednak to, że Payment Network AG w celu dokonania prostej płatności chce zyskać pełen dostęp do naszego konta (włącznie z prośbą o wpisanie hasła z smsa potwierdzającego). W regulaminie z kolei rezerwuje sobie możliwość również do prześledzenia płatności z ostatnich 30 dni, by stwierdzić czy wszystkie płatności zostały wykonane poprawnie.