Dwa dni temu na blogu Hackmana pojawił się post opisujący możliwość zakupienia za darmo butów w Deichmanie, dzięki kiepsko zaprojektowanemu systemowi płatności Sofort firmy Payment Network AG. Ważniejszym jednak elementem niż sama kradzież jest sposób w jakim tenże system płatności działa, a nie odbiega to od pospolitej próby phishingu.
System ten przy dokonywaniu płatności prosi o podanie loginu i hasła do bankowości internetowej klienta. Po czym loguje się i zleca przelew. Dziura wspomniana w poście to możliwość szybkiej zmiany hasła, a następnie anulowania przelewu jeśli zakup nie został dokonany w godzinach wykonywania przelewów Elixir.
Fragment oferty systemu Sofort ze strony produktu
Ważniejsze jest jednak to, że Payment Network AG w celu dokonania prostej płatności chce zyskać pełen dostęp do naszego konta (włącznie z prośbą o wpisanie hasła z smsa potwierdzającego). W regulaminie z kolei rezerwuje sobie możliwość również do prześledzenia płatności z ostatnich 30 dni, by stwierdzić czy wszystkie płatności zostały wykonane poprawnie.
Osobiście nie mam odwagi wypróbować rzeczonych płatności, bo nie mam do nich żadnego zaufania. Przytoczony schemat przecież nie różni się niczym od zwykłej próby phishingu, które większość internautów po prostu omija szerokim łukiem. Również uważam, że banki powinny blokować tego typu logowania botów i aż dziw, że jeszcze tego nie robią okazuje się, że robią to, lecz Sofort stosuje proxy do logowania na konta ich klientów.
