19/3/2025
Napisał do nas Łukasz, który stał się ofiarą ciekawego incydentu, o jakim Zenon Martyniuk powiedziałby…
Wszystko zaczęło się przy kasie w supermarkecie Dino. Łukasz chciał za zakupy zapłacić kodem BLIK. Wpisał więc kod i otrzymał prośbę o potwierdzenie płatności w aplikacji mobilnej banku PKO BP.
Łukasz płacił tak w Dino już wiele razy, więc odruchowo potwierdził transakcję. I to był błąd. Bo jak się po chwili okazało opłacił, ale nie swoje zakupy w Dino, a czyjś obiad na Pyszne.pl na kwotę 51,79 PLN.
Ale… jak to możliwe, że Łukaszowi, który nigdy nie korzystał z Pyszne.pl aplikacja bankowa wyświetliła wyświetlił do potwierdzenia cudzą transakcję? Spróbujmy to wyjaśnić.
Nie mamy pana płaszcza i co nam pan zrobi?
Zanim Łukasz podjął próbę kontaktu z nami, złożył reklamacje wszędzie gdzie się dało. Ale nic z tego nie wynikło.
Bank PKO odrzucił reklamację, bo transakcja została poprawnie potwierdzona. Pyszne.pl odmówiło udzielenia informacji i poradziło zgłosić sprawę na policję, a BLIK odpowiedział tak:
BLIK nie przechowuje danych użytkowników i ich numerów kont, dlatego w sprawach związanych z przebiegiem transakcji prosimy o złożenie pisemnego zapytania do banku – wydawcy aplikacji mobilnej, z której została wykonana transakcja BLIKIEM.
Co tu się mogło zdarzyć?
Do głowy przychodzą nam następujące wyjaśnienia tego co spotkało Łukasza:
Hipoteza #1. Łukasz robił w przeszłości transakcje BLIK-iem z komputera i w przeglądarce “zapamiętał” zakupy blikiem na Pyszne.pl. Kiedy był przy kasie w Dino, ktoś inny, mający dostęp do przeglądarki skojarzonej z BLIK-iem Łukasza, kupił jedzenie na Pyszne.pl płacąc BLIK-iem. To spowodowało wysłanie prośby o potwierdzenie transakcji do Łukasza.
Hipoteza solidna, ale Łukasz nigdy z Pyszne.pl nie korzystał. Mimo to, sprawdził na naszą prośbę “skojarzone” ze swoim BLIK-iem przeglądarki i odpisał tak:
nie mam żadnych zapisanych sklepów ani wpisów w zakładce “zakupy bez kodu BLIK”.
No to pora na hipotezę #2. Kiedy Łukasz chciał zapłacić za zakupy BLIK-iem, po otwarciu aplikacji zobaczył kod, powiedzmy że taki: 021 370. W tym samym momencie, na drugim końcu Polski, jakiś głodny Bożydar też chciał zapłacić BLIK-iem, ale za jedzenie w serwisie Pyszne.pl. Pokażmy co się działo, sekunda po sekundzie:
-
T=0. Bożydar otwiera swoją aplikację i widzi tam kod: 021 379. Ale kiedy go wpisuje na stronie Pyszne.pl, popełnia błąd. Zamiast 9 wprowadza 0.
T+1. Łukasz wpisuje swój kod przy kasie w Dino.
T+2. Łukasz dostaje prośbę o potwierdzenie transakcji — czego się spodziewa. Problem w tym, że jego kod, przypadkiem, na skutek pomyłki, został 2 sekundy wcześniej użyty przez Bożydara, wiec smartfon Łukaszowi pokazuje prośbę o autoryzację, ale transakcji zainicjowanej przez Pyszne.pl, a nie Dino.
Ta hipoteza zakłada bardzo małoprawdopodobną, ale mimo wszystko możliwą sytuację. Dwie osoby w tym samym czasie chcą zainicjować transakcję podobnym kodem, przy czym jedna z nich ma grubego palucha, więc swój kod wprowadza z bardzo specyficznym błędem, w rezultacie używając kodu kogoś innego.
Możemy też rozważyć hipotezę #3, czyli coś, co nigdy nie powinno mieć miejsca, ale się zdarza, bo komputery to podłe maszyny a programiści to… wiadomo co. W każdym razie źródłem tej hipotezy jest błąd. W trakcie dokonywania transakcji przez Łukasza, w systemach BLIK-a (lub PKO BP) następuje jakiś race-condition albo przeskok bitu na skutek promieniowania kosmicznego, co powoduje, że dwie różne osoby widzą w swoich aplikacjach ten sam kod. Alternatywnie — i to hipoteza #3.1 — system PKO BP źle rutuje prośbę o potwierdzenie transakcji wykonywanej przez Bożydara i zamiast do Bożydara wysyła ją do Łukasza, który też powinien dostać potwierdzenie, ale związane z innym kodem/transakcją.
I wreszcie, hipoteza #4. Nie było żadnego race condition czy błędów w systemach BLIK lub PKO BP. To był atak! Głodny Bożydar napisał sobie bota do bruteforcingu kodów BLIK-a na ekranie płatności za zamówienie w Pyszne.pl i po prostu trafił na aktualnie ważny kod. Kod, który Łukaszowi wygenerowała aplikacja PKO BP.
To też możliwe, ale wydaje nam się, że jeśli jakiś atakujący próbowałby takich numerów, to raczej robiłby to dla większych kwot, za które kupowałby złote iPhony albo dubajską czekoladę na kilogramy, a nie byle schabowego z ziemniaczkami za marne 51,79 ziko…
Która z hipotez jest prawdziwa?
Macie już swój typ? Dodatkowe informacje udzielone przez Łukasza zdają się sugerować hipotezę #2, czyli “gruby paluch Bożydara” lub hipotezę #3 “na skutek błędu dwie osoby widzą ten sam kod”.
Łukasz wspomniał nam bowiem, że po pierwszej próbie płatności i akceptacji transakcji w aplikacji, usłyszał od osoby przy kasie, że “jest odmowa”. Być może właśnie z powodu tego, że wpisany w Dino kod, został już chwilę wcześniej podany przez Bożydara na Pyszne.pl (i zaakceptowany przez Łukasza), więc inicjacja transakcji z tym samym, ale “spalonym” już kodem ze strony Dino została odrzucona.
Łukasz wygenerował więc kolejny kod i ten przeszedł. Sprawa jednak nie dawała mu spokoju, więc sprawdził historię transakcji w aplikacji i tak dowiedział się, że de facto oba potwierdzenia, których dokonał, skończyły się pobraniem środków. Tylko pierwsze z nich, dotyczyło transakcji, której nie realizował, na inną kwotę niż ta, którą pokazywała kasa w Dino no i nie w Dino a w Pyszne. Wrócił więc do sklepu po paragon “odrzuconej” transakcji:
Hipotezę #3.1 — błąd w routingu prośby o autoryzację — chyba można odrzucić, bo wtedy Dino nie otrzymałoby “odmowy” (albo Łukasz dostałby od razu drugą prośbę o autoryzację, tym razem swojego kodu).
Wciąż jest kilka pytań…
Wyjaśnienia wciąż jednak wymagają jeszcze te kwestie:
- Czy możliwe jest, żeby dwie różne osoby próbujące zapłacić za coś kodem BLIK zobaczyły w tej samej chwili ten sam kod na swoich smartfonach?
Oto odpowiedź od BLIK-a:
Nie ma możliwości, aby dwie różne osoby próbujące zapłacić BLIKIEM zobaczyły w tej samej chwili, ten sam kod na swoich smartfonach. Kod BLIK generowany jest indywidualnie na urządzeniu użytkownika i przypisany do konkretnego konta bankowego. Kody są jednorazowe i ważne przez 2 minuty, po tym czasie tracą ważność i mogą zostać ponownie wykorzystane przez inną osobę, jednak nigdy równocześnie przez dwie osoby autoryzujące transakcje BLIK. Ważne jest, aby każdorazowo sprawdzać szczegóły wskazywane w podsumowaniu transakcji – zarówno kwotę, jak i nazwę akceptanta (sklepu), zanim nastąpi jej zatwierdzenie. BLIK jako jedno z nielicznych narzędzi płatniczych wykorzystywanych na polskim rynku daje klientom możliwość weryfikowania odbiorcy płatności i wysokości kwoty transakcji podczas autoryzacji płatności wykonywanej w aplikacji mobilnej.
- Jak dokładnie wygląda proces wysyłania prośby o autoryzację transakcji BLIK w banku PKO BP? Czy prośbę o autoryzację transakcji kodem np. ABC DEF zobaczy tylko ten klient, któremu bank wcześniej wygenerował kod ABC DEF?
- Czy Pyszne.pl może, na podstawie informacji o kodzie BLIK i dacie transakcji, ustalić który z klientów dokonał wtedy zakupu? Jeśli tak, co musi zrobić Łukasz, aby Pyszne.pl przekazało mu informację o adresie dostawy i zamawiającym? Jest mało prawdopodobne, że policja będzie się chciała zając sprawą dziwnie znikniętych 50 złotych.
Oto — podkreślmy: supermiła — odpowiedź od Pyszne.pl:
Zwróciliśmy się do naszego agenta reprezentującego nas w PayU, ponieważ w Pyszne.pl transakcje tego typu przechodzą przez ten serwis. Jedno jest pewne – na podstawie naszego regulaminu nie możemy przekazać żadnych danych osobowych i innego typu nt. dokonywanych transakcji w naszym serwisie osobom trzecim. Prawo do takiego dostępu mają jedynie uprawnione służby na wniosek i w powiązaniu z toczącym się postępowaniem. Zatem informacja udzielona zwrotnie odnośnie konieczności kontaktu z Policją ma w tym świetle absolutnie zasadność. Chciałem mocno podkreślić, że choć sytuacja dotyczy nas i pośrednio transakcji dokonanej w naszym serwisie – technicznie nie mamy za wiele wspólnego z zaistniałym problemem. Proszę nie odczytywać tego, jako przysłowiowe chowanie głowy w piasek – wręcz przeciwnie – przeanalizujemy sytuację i będziemy starali się odtworzyć sekwencję wydarzeń do punktu, w którym to my mamy nad nimi sprawczość. Sama transakcja zadziała się poza naszym serwisem. Tym niemniej chcielibyśmy za Państwa pośrednictwem przekazać osobie poszkodowanej voucher do wykorzystania na naszej platformie na kwotę 100 pln (ważny do końca maja). Bez względu na fakt czy mieliśmy na sytuację wpływ, czy zadziała się poza nami – dotyczy zakupów na naszej platformie i w tym aspekcie poczuwamy się do rekompensaty za niedogodność.
Powyższe pytania zadaliśmy BLIK-owi, PKO BP oraz Pyszne i jeśli otrzymamy odpowiedzi, pojawią się one pod pytaniami.
Płacę BLIK-iem, co robić, jak żyć?
Płać dalej, tylko za każdym razem uważnie czytaj, jaką transakcję potwierdzasz. Bo jak widać, na drugim końcu Polski, głodny Bożydar może grubym paluchem przez przypadek wpisać Twój kod i postawisz mu kolację za friko. Albo iPhona.
PS. I na koniec, mała prośba, sprawdźcie czy znacie kogoś, kto 13 marca o 18:38 płacił 51.79 za zakupy na Pyszne.pl ale nie pobrało mu kasy? Bardzo chcielibyśmy poznać jego wersję wydarzeń. I dowiedzieć się co zjadł na kolację :-)
Aktualizacja (20.03.2025 12:55)
Po naszej publikacji BLIK ponownie skontaktował się z Łukaszem i przekazał następujące, dodatkowe wyjaśnienia dotyczące tego incydentu (przytaczamy je poniżej, wytłuszczenia nasze):
Po dokładnej analizie Pana sprawy, Zespół BLIK zaobserwował, że doszło do sytuacji, w której inny użytkownik wpisał wygenerowany przez Pana kod. Zbieg czasu był na tyle niefortunny, że doszło do zaakceptowania przez Pana płatności innego użytkownika pyszne.pl.
W zaistniałym przypadku doszło do nieuprawnionego przysporzenia klienta pyszne.pl i zgodnie z ustawą o usługach płatniczych, ma Pan możliwość pisemnego zwrócenia się do swojego banku o pozyskanie danych tej osoby w celu odzyskania Pana środków. Jest to procedura dedykowana przypadkom transferu środków do innych niż zamierzonych odbiorców. Nie jest to procedura reklamacyjna a wystąpienie z prośbą o pomoc w pozyskaniu danych niezbędnych do odzyskania środków. Po uzyskaniu przez Pana danych klienta banku, który posłużył się kodem wygenerowanym dla Pana, będzie mógł Pan wystąpić do tej osoby o zwrot należnych środków.
Chociaż powyższa informacja nie wskazuje w jaki sposób inny użytkownik wszedł w posiadanie kodu Łukasza, to przynajmniej wiemy, że hipotezę #1 można zdecydowanie odrzucić. My wciąż obstawiamy “gruby paluch”.
Aktualizacja (21.03.2025 13:57)
Umieściliśmy w tekście odpowiedź od Pyszne.pl, którą otrzymaliśmy w odpowiedzi na nasze pytania. A korzystając z tej aktualizacji, chcemy jeszcze raz podkreślić, że choć w tym incydencie brały udział marki Dino i Pyszne.pl, to problem nie jest zależny od tych marek ani konkretnej lokalizacji. Równie dobrze sytuacja mogła mieć miejsce w Biedronce i RTV Euro AGD — i jak wskazują Wasze inne komentarze, podobne historie spotkały Was podczas płatności w różnych miejscach.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te krótkie szkolenia! Niektóre z nich są darmowe. Wszystkie to praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy.
Aż się prosi żeby jednak kod miał sumę kontrolną, wówczas nie byłoby miejsca dla grubych palców Bożydara.
A może ma i to nie ta hipoteza…
Weryfikacja aktywnego kodu blik jest. Jak wpiszesz nieaktywny to wyskoczy, ze błędny kod. Trzeba mieć naprawdę duzego pecha jako Łukasz i wielkie Szczęście jako Bożydar aby trafic tak, ze kod wpisany nie ze swojej aplikacji akurat jest aktywny i dostepny.
@Jakun: wielkiego pecha?
Przyjmijmy, że w godzinach szczytu z Blika w danej minucie korzysta 50 tys osób.
Przy 6-cyfrowym kodzie oznacza to z grubsza 1/20 szansę trafienia w kod aktualnie czekający na potwierdzenie.
Pora wydłużyć kody.
Z tą sumą kontrolną to nie taki zły pomysł. Ale jednak trzeba by było wydłużyć kod, gdyż losowanie jedynie 5 cyfr szybko spowodowało by zatory w tym systemie płatności nie pozwalając na realizację więcej niż około 100 tys. transakcji w ciągu 2 minut.
50 tys. to BLIK ma użytkowników… średnio na godzinę, a nie na minutę (w 2024 podali 0,5mld transakcji). I w to wchodzi wszytko – bliki na telefon, bliki bez kodu itd. Tak więc szansa na to, że przypadkowy kod (np.”111 111″) zadziała wcale nie jest 1/20 ale kilkudziesięciokrotnie mniej !!! Do tego jest jeszcze kwestia akceptacji. Większość ludzi jednak patrzy choćby pobieżnie na to co akcpetuje (np. chociaż kwotę).
Ps. Najbardziej prawdopodobny scenariusz to chyba jednak, że ktoś następny w kolejce w sklepie, akurat zamawiając jedzenie za bardzo podobną kwotę, spojrzał przez ramię “roztrzepanego” klienta i podał jego kod, mając nadzieję że w “zamieszaniu” ten to zaakceptuje.
A co jeśli ktoś za plecami lub obok był szybszy i klepną w apce jego kod bo może Łukasz jeszcze sprawdzał poprawność lub się zagadał? Ja w miejscach zatłoczonych zawsze biore taki wariant
Wielce nikczemny pomysł! I jak najbardziej nadający się na kolejną hipotezę. Dopytamy Łukasza, czy dyktował na głos albo machał ekranem smartfona i miał kogoś za plecami.
sam się czasami zastanawiam co by było gdyby
patrząc jak ludzie machają telefonami z odblokowanym ekranem
Ostatni raz jak ktoś przy mnie kwestionował możliwość zapamiętania danych z karty przy machaniu kartą przed płatnością skończył się zamówieniem różowego garnituru z klapką na pupie od przyjaciół niższych na adres tegoż to machającego. Wymagało to współpracy 2 osób, ale jednak się udało.
Kod blik jest duży i wyeksponowany na ekranie. Łatwo go podpatrzeć u kogoś.
Dokładnie o tym pomyślałem. Nawet nie musiał stać za plecami. Wystarczy podgląd z kamer, które często śledzą poczynania kasjera i w szczególności jego monitor. Pozostaje tylko być szybszym w kliknięciu ‘ok’ od kasjera…
Znam kilka historii z czasów doładowań konta na zdrapki… i próby doładować w komunikacji miejskiej jak ktoś za plecami wpisywał szybciej…
A może Pan Bożydar pracuje w ochronie i OCZYWIŚCIE przez pomyłkę przepisał kod, który widział w kamerach monitoringu zamiast przepisać tego, który sam wygenerował?
Widziałeś kiedyś nagrania z monitoringu w sklepie? Tam się z reguły nie da odróżnić czy przy kasie stoi człowiek czy paleta z papierem toaletowym
Hipoteza #5 ktoś hakuje DINO i przechwytuje kody blik, ale to też trochę mało prawdopodobne – musiałby czekać z otwartym zamówieniem na pyszne, na dodatek, pyszne to łatwo namierzalny temat…
Czy ja wiem czy musiałby czekać. Dino to spora sieć, idzie tam dużo transakcji. Po prostu gdy Bożydar jest głodny to przechwytuje blika, a jak nie to bliki działają normalnie.
Transakcje BLIK robi się na terminalu płatności kartowych. To jest zewnętrzny operator – z dobrymi zabezpieczaniami (przetwarza transakcje kartowe – gdzie przechwytując komunikację byłaby znacznie wieksza możliwość i łatwość fraufdów, niż 50zł, i to tylko dzięki nieopatrznej akceptacji przez klienta który nie doczytał).
Myślę że większość osób robi kilkadziesiąt/kilkaset transakcji BLIK rocznie. Ile razy wyświetliła wam się obca transakcja do akceptacji? Mnie: NIGDY. Tak więc bez przesady, że 6-co cyfrowy kod (ważny 2 min.) to jest jakieś istotne ryzyko powtórek. Myślę że większość takich przypadków to kody blik “podejrzane przez ramię”, “dyktowane na głos” itp.
Może po prostu Bożydar stał za Łukaszem w kolejce i sobie w pyszne.pl wpisal kod który zobaczył na telefonie?
Najbardziej prawdopodobna jest wersja przedstawiona przez Bartka i nie koniecznie było to złowienie złożone przez Bożydara z monitoringu, bo Dino jest tak małe, że raczej nie ma pomieszczenia dla sokolego oka. To mógł być ktokolwiek kto zerkał przez ramię.
Jako osoba, która trochę jest w temacie blika: odnośnie trzech punktów pod koniec artykułu:
1. Nie jest możliwe, żeby 2 osoby miały aktywny identyczny kod blik a tym samym czasie
2. Trochę nie rozumiem pytania. Sytuacja w której płatność jakimś kodem autoryzuje osoba, której ten kod nie został wygenerowany jest nie do przyjęcia i raczej niemożliwa
3. Być może, choć niekoniecznie, ale pomocą pośrednika płatności praktycznie na pewno to możliwe (odnośnie pierwszego pytania)
ad 2. Jak ktoś implementował to w taki sposób jak pewien znany software house, to mógł pisać poza tablicą. A wtedy wszystko jest możliwe. Błąd programisty niewykluczony, choć ja skłaniam się w stron wersji z grubym paluchem.
Ad2, dlaczego uwazasz ze niemozliwa?
Generuje kod A na swoim telefonie, potem ide do przegladarki na kompie i tam wpisuje kod, a nastepnie wracam na swoj telefon by zatwierdzic kod A w aplikacji.
Nie ma polaczenia miedzy przegladarka a telefon. Uzycie kodu dopiero laczy transakcje, ale kod moze uzyc kazdy bo to po prostu 6 cyfr.
No chyba, ze masz na mysli ze BLIK nie ma ograniczenia liczby prob wpisania kodu blik przez partnerow lub ich aplikacje w czasie.
@KrzysioMisio użyć może każdy, bo – tak jak mówisz – to tylko 6 cyfr, ale autoryzować traksakcję na kod abcdef może tylko osoba, dla której został wygenerowany kod abcdef (wydaje mi się, że o to chodzi w tym pytaniu, choć tak jak pisałem, nie wiem czy dobrze je roumiem). Błąd programisty o którym mowa w pierwszej odpowiedzi: jestem w stanie w to uwierzyć, ale raczej mało prawdopodobne
Ad.2 użycie kodu BLIK w innym miejscu niz z app telefonu w którym się wygenerował jest jak najbardziej możliwe. Wykorzystuje to w sytuacji jeśli np. Ktoś z rodziny zapomni gotowki/karty a chce zrealizować płatność.
Czytając to naszla mnie myśl: Łukasz robi zakupy-> generuje kod blik-> ktoś stojąc obok odczytuje go i płaci na pyszne-> Łukasz potwierdza.
Wersja kolejna ale nie nie możliwa. Kamera nad kasą jest bardzo dobrej rodzielczości i Łukasz postawił obiad kierowniczce. Wiem , słabe to ale nie takie rzeczy widziałem w sklepach.
Witam
Ja mam ciekawszy przypadek ktory obala każda hipoteze
Aha
(…) powiedzmy że taki: 021 370. (¬‿¬)
Ja proponuję jeszcze inną hipotezę. Bożydar ma kod 021 370, ale jest powolny i wpisuje go dopiero po np. 130 sekundach od jego wygenerowania. Natomiast po 120 sekundach od jego wygenerowania ten sam kod dostaje Łukasz, który akurat 10 sekund przed dostaniem potwierdzenia otworzył BLIKa i dostał ten kod.
Dino nad każdą z kas ma kamery, które umożliwiają odczyt tego co jest wbijane na kasie, a więc i kod ze smartfona można odczytać. Operator ma dostęp do rejestratora i wszystkich kamer poprze IP i otwarty port (lub VPN). Rejestratory mają luki, szczególnie te starsze. Hasła też potrafią być domyślnie. Mogę sobie wyobrazić, że ktoś dostał się na kamery i cierpliwie czekał na okazję. Pyszne.pl to tylko test, następne będzie większe.
Możliwe, kiedyś instalowałem takie generatory. Kamery są spięte z drukarka fiskalną, żeby wrzucać na obraz dane z paragonu. Służy to kontroli rozliczeń przez kasjerów. Jest podgląd live.
Tylko jeżeli ktoś się podłożył na fyscyplinarke plus oszustwo finansowe za 50 zł to nie jest zbyt bystry.
No to widzę kolejny taki przypadek. U mnie (IX 2024) schemat podobny, Różnica taka, że transakcja była robiona w domu (zakup online) a okazało się że zatwierdzając blik-a poszedł zakup w Google Play na czyjeś konto. Reklamacja od banku i operatora Blik-a odrzucone. Z chęcią podzielę się szczegółami.
Podeślij na redakcja@n… – kilka innych osób miało podobnie, właśnie nam opisują swoje przypadki.
Też jestem ofiarą takiej transakcji. Robiąc zakupy w swoim sklepie osiedlowym zapłaciłam komuś za kosmetyki w Superpharm. Superpharm zostało przeze mnie od razu poinformowane, wysłałam im kopię zgłoszenia na policję a i tak zamówienie dostarczyli.
Hipoteza#2 jest bardzo latwa do sprawdzenia przez sam BLIK z duza pewnoscia:
– kod blik jest ważny 2 minuty (przynajmniej tyle pokazuje mi w aplikacji)
– wystarczy spawdzić wygenerowane kody w okienku T-2min a T+2min (a nawet mniej, bo mozna zalożyć czas sukcesu) gdzie T to czas wygenerowania znanego kodu
– z tych kodow nalezy wyfiltrowac te, ktore nie zostaly zrealizowane
– czlowiek sprawdzic “bliskosc” numerow
To co prawda potwierdzi tylko sama hipoteze, a nie dowiemy sie o kotlecie :)
Natomiast nie wykluczy tego, ze “pyszny” mogl nie generowac sam kod tylko uzyc Barkowego.
Dla ulatwienia uzyty kod blik jest na odmowie :)
Stawiam na czeski blad miedzy 5 i 6.
Wersja hipotezy 4: Łukasz ma złośliwą aplikacje na telefonie, która przechwyciła aktywny kod blik i przesłała przestępcom. Zakup “tylko” schabowych, bo to dopiero “testy” ataku, przestępcy liczą że taka transakcja nie wzbudzi podejrzeń.
To niemożliwe, ponieważ atakujący miałby za mało czasu na wpisanie gdzieś kodu blik. Od wpisania kodu blik a kliknięcia zapłać dzili z 1 sekunda? Technicznie byłoby możliwe aby malware robił to automatycznie lecz można to porównać do włamania się na kamery sklepowe aby przepisywać bliki ludzi
Pytanie nooba, czy realnym jest ze gdybym na jakiejkolwiek stronce do zakupu czegokolwiek wybrał opcje płatności blikiem i bym sobie wpisywał numerki z czapy co kilkanaście sekund i akurat gdzieś komuś akurat taki wymyślony kod się wygenerował jak wpisałem ja to jest możliwe że ktoś potwierdzi i zapłaci za to? To teoretycznie w ogóle możliwie?
Oczywiście, że możliwe, choć bardzo mało prawdopodobne. Na tym polega właśnie blik. Równie dobrze twój znajomy może być na drugim końcu polski i przez tel. podać ci blik wygenerowany w swojej apce. Ty go wpisujesz np. na pyszne.pl i realizujesz zakup, znajomy dostaje potwierdzenie w apce i je potwierdza. Sporo osób dzisiaj tak robi np. jak nie ma kasy na koncie. Twoja wersja różni się jedynie tym drobnym szczegółem, że strzelałbyś na oślep te kody i akurat trafił kod nieznajomej osoby. Z technicznego punktu widzenia niczym jednak się to nie różni niż scenariusz, który wyżej opisałem – oprócz tego, że szansa na trafienie pewnie mniejsza niż szóstka w Lotto.
Gandalf, szanse o wiele większe niż w lotto, kombinacji kodów jest milion, a aktywnych w danej chwili setki, jak nie tysiące.
> Sporo osób dzisiaj tak robi np. jak nie ma kasy na koncie.
Czasem coś kumpel chce, żebym mu kupił w sklepie i zamiast wykładać za niego, a potem się rozliczać, to podaje blik, potwierdza i jest. Wygodna rzecz.
Ja podczas robienia blik na telefon dostałem do akceptacji płatność blik do posrednika platniczego za usluge gdzie odwolanie jest do strony ktora na istnieje
Ale na potwierdzeniu transakcji że zdjęcia pisze że jest odmowa po wpisaniu blika więc może wychodzić na to że pomylił numerki
Jest odmowa, bo już kod wykorzystany
Albo zainfekowana aplikacja na koncie Łukasza, która przechwytuje 6 cyfrowe kody i przesyła w czasie rzeczywistym do oszustów. Kolega miał bardzo podobną sytuację przy zakupie na allegro. Zakup na 55zł, a tu nagle alert w aplikacji bankowej “wypłata w bankomacie 100zł”. Okazało się, że bankomat gdzieś przy wschodniej granicy.
Miałem dość podobną sytuację, ale dotyczyła BLIKa na telefon. Płaciłem w ten sposób za usługę bezpośrednio przy usługodawcy w siedzibie jego firmy. Rozliczałem się w ten sposób wcześniej i nie było problemu. Tym razem, chwilę po tym jak w aplikacji bankowej kliknąłem wysyłkę (po wybraniu odbiorcy z listy), ale jeszcze przed zatwierdzeniem operacji, pojawił się formularz potwierdzenia – ale nie mojego niedokończonego zlecenia, a “prośby o przelanie pieniędzy”. Kwota była niemal identyczna, ale w odróżnieniu od tej którą chciałem sam wysłać, różniła się extra groszami – coś w rodzaju 150,52 zamiast 150,00. I ta różnica mnie uratowała, bo ekran potwierdzenia wyglądał bardzo podobnie i zapewne gdyby kwota była ta sama w pośpiechu kliknąłbym akceptację. Po zdarzeniu wykonałem szybki telefon do banku, pierwsza linia nie była nawet w stanie potwierdzić, że oferują u siebie usługę “prośby o przelew” i rzeczywiście trudno było znaleźć taką informację na stronach banku, choć w jednym z regulaminów usługa była odnotowana. Co było przyczyną nie wiem, w każdym bądź razie bank jeszcze tego samego wieczoru wysłał SMS o nocnej przerwie technicznej. Podejrzewałem również zainfekowany telefon usługodawcy, który w połączeniu np. z jakimś namierzaniem telefonów usługobiorców w pobliżu (nie łączyłem się z siecią wifi, ale nie miałem też wyłączonego monitorowania okolicznych sieci) oraz np. rejestracją głosu potrafił dokładnie w tym samym momencie wygenerować prośbę. Brzmi dość nieprawdopodobnie, ale co jakiś czas pojawia się jakiś nowy przekręt, więc radzę być po prostu czujnym i dokładnie sprawdzać wszystko – najgorsza jest rutyna, a aplikacje bankowe też mogą mieć luki. Dodam że swój telefon chronię esetem, do tego posiadam tylko podstawowe aplikacje.
Dzisiaj koleżanka mojej żony robiła blika na telefon innej koleżance. Jak doszło do potwierdzenia transakcji, to na telefonie wyskoczyło na inna kwotę i bez podanego numeru telefonu. Ona oczywiście nie potwierdziła ale coś się może zaczyna dziać z samym systemem. Nie znam więcej szczegółów ale to nie była prośba o blika czy coś.
A możliwa jest hipoteza, że przy monitoringu w Dino siedzi głodny, mało zarabiający, ale lecz sprytny ochroniarz? Zoomuje sobie kamerką na ekran telefonu Łukasza i przepisuje kod do swojego zamówienia w Pyszne.pl zanim Łukasz zdąży go potwierdzić na ekranie kasy/w terminalu. Łukaszowi wyskakuje prośba o autoryzację, którą z automatu potwierdza, bo się jej w tej sekundzie spodziewa, ale nie ogarnia, że w tym samam czasie kod w kasie nie został zaakceptowany, bo się tego nie spodziewa. Płaci za obiad ochroniarza i dostaje odmowę w kasie, więc ponawia próbę płatności.
Dokładnie, Zdzichu, tak właśnie było i wszystko musiało się wydarzyć w parę sekund: Łukasz generuje kod, ale źle go wpisuje (w sensie: akurat trafił w kod głodnego), dostaje do potwierdzenia transakcję, której nie inicjował (nie patrzy, jaką kwotę zatwierdza) i po sekundzie dostaje z Dino odmowę zapłaty, bo właśnie postawił komuś obiad, zamiast zapłacić za swoje zakupy. To się Bożydar ucieszył z prezentu.
Dzisiaj koleżanka w pracy. Wystraszona opowiadała że poszła kupić do sklepu jakaś pierdołę. Podaje kod blik i nagle jej się pokazuje że ma potwierdzić transakcję na Aliexpress za ponad 900 zł
Nie jestem pewny czy ma konto PKO BP
Więc to nie jest jednostkowy przypadek.
> hipoteza #4. Nie było żadnego race condition czy błędów w
> systemach BLIK lub PKO BP. To był atak! Głodny Bożydar
> napisał sobie bota do bruteforcingu kodów…
Biorac pod uwage popularne mechanizmy oszustw internetowych ~ ja zadałbym pytanie:
Jak zabezpieczona jest kasa…?
To naprawdę przestroga, jak łatwo można stać się ofiarą przez przypadek. Sytuacja z BLIK-iem pokazuje, jak ważne jest zachowanie ostrożności przy potwierdzaniu transakcji. Choć taka pomyłka wydaje się mało prawdopodobna, to jednak takie incydenty mogą się zdarzyć. Fajnie, że poruszasz ten temat, bo świadomość użytkowników o takich zagrożeniach to klucz do unikania podobnych sytuacji.
Wraz ze wzrostem popularności blika takich przypadków będzie więcej, kody w końcu się skończą albo będzie trzeba czekać na kod, aktualnie to milion kodów na dwie minuty
Albo hipotezy są bardzo prawdopodobne, albo blik ma jakiś problem.
Podobna sytuacja zdarzyła się mojej znajomej, tylko ona nie kupowała i nie potwierdziła transakcji. Tu była sytuacja z ING.
Mnie przychodzi do głowy jeszcze hipoteza #5
1. Bożydar zamawia sobie schabowego na pyszne.pl i chce zapłacić kodem blik
2. Bożydar w apce swojego banku widzi kod 021 370.
3. Bożydar przepisuje kod
4. Kod blik wygasa
5. Łukasz w Dino też chce zapłacić blikiem
6. Łukasz w apce swojego banku widzi kod 021 370 i zaczyna wpisywać kod
7. Bożydar klika na stronie pyszne zapłać
8. Łukasz akceptuje kod w terminalu w Dino
9. Łukasz widzi prośbę o potwierdzenie i ją akceptuje
10. Bożydar dostaje darmowy obiad
11. Łukasz dostaje informacje, że transakcja odrzucona
Wytłumaczenie dlaczego Bożydar tak długo wpisywał kod, że aż wygasł i nie zauważył tego to może kupował na stronie Pyszne w przeglądarce smartfona i się przełączał między aplikacjami i np. wpisał 3 pierwsze liczby, później znów sie przełączył odczytał kolejne i w między czasie jak wpisywał ostatnie 3 liczby to kod wygasł i wtedy Łukasz dostał ten sam kod i gdy Bożydar dopisał ostatnie 3 liczby i zatwierdził to już był to kod powiązany z aplikacją Łukasza. Albo Bożydar miał telefon na ładowarce i odczytał kod i musiał wrócić do komputera aby go wpisać i w międzyczasie wygasł kod (np. jak ja ładuje telefon to nie leży on koło mnie tylko po drugiej stronie pokoju na szafce, więc wyobrażam sobie, że mógł odczytać kod, pójść do kompa go wpisać, ale wtedy kod wygasł). Pytanie jest czy nie ma jakiegoś zabezpieczenie, że nie może się wygenerować kod, który właśnie komuś innemu wygasł.
Tylko czemu potwierdzeniem rzekomej transakcji z aplikacji iPKO jest zakup przy użyciu karty kredytowej a nie zakup przy użyciu blik. Bajka wyssana z palca a wszyscy wysuwają hipotezy.
Przecież musiał zapłacić jakoś za zakupy po odmowie BLIKIEM, wiec zapłącił kartą. Przecież to logiczne.
Bo tak terminal ma ustawione: inna płatność. Czasem jest napisane karta kredytowa.
Pewnie kasa fiskalna tak nazywa każdą transakcję z terminala. Nie szukaj spisku tam, gdzie go nie ma.
Nie masz racji. Blik podpięty do karty kredytowej. Załóż konto i się sam przekonaj.
To dziwna sytuacja i moim zdaniem winę ponosi BLIK. Kiedyś miałem identyczną sytuację. Płaciłem blickiem za jakieś tam opłaty stałe typu abonament czy coś takiego. To było jak siedziałem w domu, więc nikt mnie nie mógł podejrzeć w żaden sposób zza ramienia. Nagle pojawiło mi się do zapłacenia zamiast 50zl to 3.5 na zakup jakiegoś biletu w Łodzi. Poza tym blik twierdzi, że dane użytkowników są zapisywane w systemie do wglądu służbom.
Żadna z wymienionych hipotez nie jest dla mnie realna. Najprostrzym wytłumaczeniem jest ktoś stojący za p. Łukaszem w kolejce, który stwierdził, że jest glodny sprobowania, czy taka akcja wypali. Czysta sprawa, nie ma zapisanej lokalizacji wykonania transakcji itp, wiec namierzenie może być niemożliwe. Po za tym blik jest aktywny 120 sek, było dużo czasu na przygotowanie się i zgranie w czasie.
Może jest ważny do 120 sekund, ale nie dłużej, niż wykorzystanie przez jego prawowitego posiadacza.
Moim zdaniem Łukasz nie pamięta, że kupił komuś kiedyś coś na Pyszne.pl i to nie na jego przeglądarce jest zapamiętany dostawca.
Jeżeli masz na myśli, że ktoś z konta pokrzywdzonego na pyszne.pl, który został zapamiętany jako zaufany sklep do płatności BLIK bez kodu, a pokrzywdzony o tym zapomniał, to i tak takie zaufane sklepy są zapisane w rejestrze banku. Ich listę zawsze można sprawdzić w aplikacji bankowej i to nie zależnie, na jakim komputerze zatwierdziliśmy taki sklep jako zaufany.
1. Przy 6-cio cyfrowym kodzie i generowaniu milionów kodów może się zdarzyć, że w tym samym momencie powstały 2 takie same kody. Według mnie brakuje w algorytmie jakiegoś zabezpieczenia takiej sytuacji (albo dodatkowego zabezpieczenia). Gdyby Bożydar był równie szybki jak Pan Łukasz to pewnie on krzyżowo zapłaciłby za Pana Łukasza, ale pewnie system pyszne.pl był szybszy i potwierdził płatność a Bożydar nie zgłosił pretensji bo dostał jedzenie za darmo
2. Miałem przypadek, gdy w bazie SQL zapisał się nieistniejący numer faktury który nie dość że był niezgodny z wzorcem to mimo to miał poprawną sumę kontrolną (banalną, ale jednak). Znów przy milionach zapisów jest to mało prawdopodobne ale jednak możliwe
Droga redakcjo! Muszę niestety kilka Waszych hipotez odrzucić :) miałem bardzo podobną sytuację jaką opisujecie, ale związaną z innymi sklepami. W moim przypadku, siedziałem w domu i zamawiałem produkty na allegro (nie mam nigdy zapamiętanych przeglądarek). Zamówiłem sprzęt, zaznaczyłem płatność blikiem, odpaliłem MojeING, przepisałem kod i po zatwierdzeniu dostałem od razu powiadomienie na aplikację na telefonie o zatwierdzenie transakcji. Oczywiście, wszystko zbiegło się w czasie, więc “odruchowo” zatwierdziłem. Wszystko działo się u mnie w domu więc nie ma szans, żeby ktoś podejrzał mój kod. Po sprawdzeniu, okazało się, że opłaciłem 2 etui na telefon, nałączną kwotę około 100zł (podobna kwota jak na allegro) z firmy Ideal Of Sweden, z której nigdy nic nie zamawiałem. Po kontakcie z tą firmą, okazało się, że niby transakcja była, ale nie mają więcej żadnych danych i nie mogą nic z tym zrobić, bo wszystko przechodzi przez inne działy (totalne olanie tematu), zgłosiłem również do ING gdzie po miesiącu dostałem odpowiedź, że BLIK działa poprawnie i nie ma możłiwości abym dostał ten sam kod na telefonie w aplikacji co ktoś inny. Reasumując, kolejna taka sytuacja, inny bank, inny sklep, inne warunki wejściowe :) jeśli droga Redakcjo bardziej zainteresujecie się tematem, to mogę gdzieś na priv podesłać więcej informacji.
Twój przypadek może mieć dokładnie taki sam powód, jak Łukasza. Czyjś gruby paluch.
Miałem identyczną sytuację w Żabce. Kupuje fajki, na terminalu wpisuje mój kod blik, potwierdzam na terminalu, na terminalu pokazuje się błąd, w moim telefonie pokazało się potwierdzenie płatności “zakup blik BokuNone OConnell Street 5D01P5P5 DUBLIN” na ok. 100 zł. Z tego co pamiętam blik był na granicy wygaśnięcia (ok. 1 sek). Reklamacja w Santander nie została przyjęta, no bo potwierdziłem płatność. Dobrze, że to była tylko stówka.
Kiedyś blik mi wygenerował kod 000001 – dwanaście razy patrzyłem czy aby na pewno swoją transakcję potwierdzam:P
Powiem tylko, ze kilka m-cy temu, moja zona miala podobny przypadek, z tą roznica, ze wchodzac do aplikacji bankowej PKO BP dostala info o koniecznosci potwierdzenia operacji blikiem, mimo, ze w tym czasie nie wykonywala zadnych platnosci BLIK. Na szczescie, zachowala czujnosc i nie potwierdzila operacji. Po chwili otrzymala jeszcze jedna prosbe o potwierdzenie, po ktorej odrzuceniu, “prosby BLIKowe” zakonczyly sie. W aplikacji jest slad w eventach, ze takie 2 prosby o potwirdzenie BLIK mialy miejsce. Problem zglosilismy do Banku PKO BP ale jak to w bankach .. kazali przeskanowac telefon i zamkneli temat .. generalnie mam wrazenie, ze bankom nie specjalnie zalezy, by wyjasniac tego typu problemy :/
Co znaczy, że przeglądarka jest skojarzona z blik?
To znaczy, że gdy płacisz BLIKiem masz do wyboru trzy opcje:
– potwierdź
– potwierdź i zapamiętaj
– rezygnuj
Gdy wybierzesz drugą, to dany sklep/przeglądarka zostanie zapamiętana w apce bankowej (lista zapamiętanych do znalezienia w ustawieniach tejże apki) i następnym razem w takim sklepie czy przeglądarce będziesz mógł już płacić bez podawania kodu.
hipotezy hipotezami, gdzie był błąd od strony technicznej na razie nie wiadomo natomiast wiadomo jedno : “Łukasz płacił tak w Dino już wiele razy, więc odruchowo potwierdził transakcję.” Przy generowaniu kody blik jest podana kwota, która zostanie obciążone konto więc jak to mówią “rutyna zabija”. Wystarczyło popatrzyć na kwotę i powiedzieć “halo! coś mi się tu nie zgadza” i pewnie tego artykułu by nie było, a ten mały błąd w matrixie pewnie przeszedł by niezauważony….
W tym przypadku 100% wina osoby która nie sprawdziła co dokładnie potwierdza.
Odnośnie BLIK po raz kolejny wychodzi na to, że odzyskanie pieniędzy przez źle wykonaną transakcje jest prawie niemożliwe. Szkoda, że nie ma tutaj odpowiednika chargeback z kart płatniczych.
BLIK ma ogromną zaletę, że działa mega szybko i wygodnie i jednocześnie jest to jego największa wada- większość osób nie czyta co potwierdza, w ciemno klika akceptuj :(
Mało wygodne i strasznie upierdliwe ale bezpieczne rozwiązanie ma ING – przy płatności BLIK jeśli płatność “wygląda podejrzanie” to poza potwierdzeniem operacji PINem w aplikacji dodatkowo trzeba przepisać kod z SMS (kod wpisujemy w aplikacji ING). Jest to o tyle dobre pod kątem bezpieczeństwa, że mamy więcej czasu na zauważenie, że coś jest nie tak, najpierw w aplikacji ING, a później w SMS-ie. Oczywiście znacznie wydłuża to płatność i o ile przy płatności www to pikuś to stojąc przy kasie i płacąc BLIkiem zabawa w przepisywanie kodów z SMS jest upierdliwa. Mimo wszystko moim zdaniem płatności BLIK powinny mieć jeszcze jakiś dodatkowy mechanizm bezpieczeństwa, bo obecnie przez to, że jest mega szybko wygodnie dużo osób w ogóle nie sprawdza co potwierdza.
Kolejny problem to przelew BLIK na telefon. Pomylisz się w numerze telefonu ? – 0 szans na odzyskanie pieniędzy. Po wpisaniu numer tel powinna wyświetlić się jakaś nazwa. Jest coś takiego jak etykieta klienta BLIK np to mogłoby się wyświetlać po wprowadzeniu nr tel tak żeby była jakaś możliwość weryfikacji, że poprawnie przelewamy pieniądze. Oczywiście nie ma tego problemu jak przelewamy komuś z kontaktów bo wtedy wyświetli się to co mamy zapisane w kontaktach
No i jeszcze BLIK zbliżeniowy, w porównaniu do portfela google jest on mniej bezpieczny – przy odpowiednim ustawieniu można płacić BLIK zbliżeniowym na zablokowanym tel. Portfel google wymaga ponownego przyłożenia palca gdy telefon jest dłużej odblokowany, a BLIK zbliżeniowy pozwala od razu zapłacić niezależnie od tego ile czasu tel jest odblokowany
Co by nie mówić BLIK jest super, ale brakuje jeszcze paru funkcji poprawiających bezpieczeństwo. No i wkurzające jest to, że każdy bank wdraża to “po swojemu” nie każdy bank oferuje też wszystkie funkcjonalności BLIK
Czytałem komentarze w poszukiwaniu wzmianki o chargeback. Fajnie, że nie jestem jedynym, który zwrócił na to uwagę. Ludzie nadal nie zdają sobie sprawy z tego jak i dlaczego działa BLIK. Jeśli przypadków takich jak opisany w artykule jest więcej, czy jedną z rekomendacji redakcji mogłoby być “używaj kart, bo możesz reklamować transakcje w trybie chargeback”?
Zaczyna mnie drażnić podejście pt. wdrożymy coś tańszego, a potem będziemy się zastanawiać jak to naprawić.
Nie mówię, że jedynym powodem wdrożenia BLIKa były koszta operacyjne, ale dlaczego za “afterthought security” płacą osoby starsze, mniej obyte z technologią, mniej uważne?
choć o chargebacku mówimy zawsze, kiedy się da i gorąco zachęcamy do płatności właśnie kartami, to chargeback w analogicznej sytuacji (czyli potwierdziłeś na ekranie 3dsecure transakcję w innym miejscu na inną kwotę) nie zostałby uznany. I dlatego nie ma go w tekście tym razem. Inna sprawa, że płacenie blikiem, o ile wygodne i szybkie dla wielu w internecie, to przy kasie przegrywa i wygodą i szybkością, a jedyny powód żeby z blika tak korzystać to chyba płatność cudzym kodem z cudzego konta (np. dzieci dostają kod od mamy siedzącej w domu).
Pan Ł. nie miał kasy na koncie blik lub już przekroczył limit dzienny, więc zapłacił inną kartą/kredytową – ot całe wytłumaczenie. A historia chyba wyssana z palca. Płacę i wypłacam blikiem na różne sposoby od prawie 9 lat i nigdy nie miałem do czynienia z takimi sytuacjami. To miała być chyba próba odstraszenia od tego sposobu płatności, ale trochę nieudolnie wymyślona. Finalizacją takiej transakcji jest potwierdzenie w aplikacji bankowej, a jak ktoś nie zwraca uwagi na to, co potwierdza i na jaką kwotę, to może mieć pretensje tylko do siebie (niekoniecznie jest to pan Ł.).
To że Ty nie miałeś takiego przypadku nie znaczy że to nie jest niemożliwe.
A nie da się sprawdzić zapis z kamer w Dino czy nikt stojący w kolejce nie zaglądał mu przez ramię? Tak i na oszusta można wyjść.
> to niemożliwe
> to możliwe
Musisz się zdecydować :)
Pan Ł. nie miał kasy na koncie blik lub już przekroczył limit dzienny, więc zapłacił inną kartą/kredytową – ot całe wytłumaczenie ODMOWY. A historia chyba wyssana z palca. Płacę i wypłacam blikiem na różne sposoby od prawie 9 lat i nigdy nie miałem do czynienia z takimi sytuacjami. To miała być chyba próba odstraszenia od tego sposobu płatności, ale trochę nieudolnie wymyślona. Finalizacją takiej transakcji jest potwierdzenie w aplikacji bankowej, a jak ktoś nie zwraca uwagi na to, co potwierdza i na jaką kwotę, to może mieć pretensje tylko do siebie (niekoniecznie jest to pan Ł.).
Nie jesteś najostrzejszą kredką w piórniku.
To że Ty nie miałeś takiego przypadku nie znaczy że to nie jest niemożliwe.
Nigdy niczego sobie nie złamałem, więc pewnie nikt inny też nigdy niczego sobie nie złamał:D
To ja mam takie 2 pytania (skoro jest wiele takich przyapadków)
1. Czy kody są generowane szeregowo (021 370, …371, …372) – to byłaby masakra
2. Jaka jest retencja życia kodu wykorzystanego i niewykorzystanego po choćby tych 120 sek.
Zależy to ilości BLIK’ów w danej jednostce czasu bo 1 000 000 możliwości na np. dobę to dużo?
@rfan Ponad 2,4 mld transakcji blikiem w 2024 roku było (za PSP) – daje to około 13700 transakcji w okresie ważności kodu (jeśli przyjąć, że tylko 16 godzin na dobę używamy blika, no bo chyba trzeba też spać trochę). Milion to jest pula wszystkich kodów (matematycznie licząc, pewnie systemowo jest ich trochę mniej). Kod niewykorzystany “wisi” w systemie 2 minuty i po tym czasie wraca do puli, a wykorzystany – ja myślę, że przeszkód nie ma, aby wrócił zaraz po transakcji (czyli często szybciej).
A potem ludzie się dziwią, że do Dino w Starych Oborzyskach gościu na wstecznym wjechał do środka i zatrzymał się na kasjerce…
Ilość osób w komentarzach, które “miały podobnie” trochę przeraża. Blik to system nowy, bez naleciałości technologicznych ubiegłego wieku, a mimo to nie idioto/pomyłko odporny. Moim zdaniem przekombinowali prostą rzecz. Mogli iść w ślady chińczyków, którzy skanują kody QR aparatem. Zaleta taka, że QR pomieści więcej niż 6 cyfr, a stacjonarnie można by płacić bez wynalazków typu NFC.
A słyszałeś kiedyś o lewych kodach QR?
Pytanie laika.
Po co płacić w sklepach stacjonarnych blikiem?
Nie wygodniej zblizeniowo kartą, choćby wirtualną zapisana na tel?
To jest bardzo dobra metoda na podniesienie ciśnienia osobom stojącym w kolejce. Blik (kody) wg statystyk NBP to ok 2% transakcji w terminalach. Powinni tego zakazać
Dziwna pierwsza odpowiedź BLIKa, że każdy użytkownik generuje kod w aplikacji i że nie ma możliwości wygenerowania zdublowanych kodów. Jeżeli każdy wystawca generuje kod Random() to jak najbardziej jest to możliwe. To tylko milion możliwości. Chyba że jest on od razu wrzucany na listę globalną BLIKa „taken”.
A słyszałeś kiedyś o lewych kodach QR?
Sorry, pomyłka, nie pod tym komentarzem…
Czemu dziwna? Zakładam, ze nie sa na tyle naiwni żeby generować losowe kody i liczyc, ze kolizja nigdy nie nastąpi. A w sledzeniu aktywnych kodów i wygenerowanie nowego spoza tej puli nie jest złożonym problemem.
Hipoteza #9:
Pewien programista porzucił projekt biblioteki wykorzystywanej przez BLIK-a…
A dlaczego nie ma takiej hipotezy: Bożydar stał za plecami maszego bohatera i wpisał sobie jego kod na pyszne.pl
Proste.
Aah jeszcze jedno – to kara boska za płacenie kodem blik w kolejce. Jak mnie to rozsierdza! Ludzie maja problem bo to internet słaby, to sie nie moga zalogowac, to kod wygasł, a to nie wiedzą jak obsłużyć. Wpisują te kody. A ja stoje w kolejce i czekam aż łaskawie kodem blik zapłacą.
Ja podchodzę z NFC i cyk i do widzenia!
Kurczę też nie kumam płacenia blikiem w sklepie. Nie wiem dlaczego blik a nie karta w każdej postaci.
Przecież ktoś zaa pleców mógł sobie w pyszne wpisać u siebie ten kod. Proste
Czyli powinni zrobić zabezpieczenie, że w tym samym czasie mogą być aktywne kody, które różnią się od siebie dwiema cyframi. Wtedy trzeba by było mieć naprawdę fartowny gruby paluch żeby dwa razy nacisnął czyjąś cyfrę
dokładnie to. Albo jakiś algorytm najczęściej mylonych kodów albo czarna lista na niektóre typu 000000
A można używać NFC/BLIK w APCE bankowej (tak jak kiedyś używało się powiązanej karty płatniczej). Nie ma kodów, tylko odblokowanie telefonu, zbliżenie i ewentualnie wpisanie PIN.
hipoteza #4 też jest prawdopodobna. Być może była to próba na małą kwotę, ale tylko dlatego, że to był na razie proof of concept.
Generujący numery kart też na początku pobierają małe kwoty, żeby sprawdzić, że w ogóle istnieje aktywna karta (przy dużej kwoty byłaby odmowa z powodu przekroczenia salda).
czy to nie był atak z użyciem flipper zero?
BLIK powinien dodać jakiś kolejny etap weryfikacji, bo poleganie na tym, że użytkownik sprawdzi co zatwierdza to nie najlepszy pomysł. Np podajesz 6 znakowy kod BLIK i na kasie wyświetla się krótki np 2-3 znakowy kod który trzeba wpisać w aplikacji banku aby zatwierdzić płatność.
Wtedy nie ma opcji potwierdzenia czyjeś płatności bo trzeba by coś więcej przepisać.
No ale banki robią wszystko żeby były łatwe i wygodne w obsłudze. To co bezpieczne to odstrasza klientów bo jest trudne, mało wygodne :( Gdyby banki stawiały na bezpieczeństwo to już dawno każdy bank miałby weryfikacje dwuetapową do logowania (a Citibank np dalej nie ma), w przy przypadku karty każda płatność wymagałby 3D- Secure – niestety ale tak nie jest. ING to pozwala w ogóle wysłać przelew BEZ autoryzacji. A BLIK no niestety jest super wygodny, ale brak możliwości odzyskania pieniędzy i poleganie na tym, że użyszkodnik przeczyta co faktycznie autoryzuje jest mało bezpieczne.
Polecam jak najszybciej udać się do sklepu i ściągnąć nagranie z kamery z kasy. Ktoś stał za naszym gościem i czekał na okazje żeby usłyszeć kod. Stal z telefonem z zamówieniem gotowym i tylko wpisał kod. Mógł to robić wiele razy aż się udało. Nigdy nie byłem w Dino ale kamery by tu pomogły bardzo.
Czyli nie ma to jak karta płatnicza i chargeback bo tutaj widać że bank oraz BLIK umywają ręce.
Problem w tym, że chargeback w analogicznej sytuacji (czyli potwierdziłeś na ekranie 3dsecure transakcję w innym miejscu na inną kwotę) też nie zostałby uznany. Z jakim kodem visa/mc chciałbyś go zgłosić? Nie ma takiego na “odruchowo i przez nieuwagę zaakceptowałem cudzą transakcję”.
@red Jeśli prawidłowo byś zainicjował transakcję, a w trakcie procesu doszłoby do podmiany danych, to na pewno przyczyna procedury chargeback by się znalazła (oszustwo). Zresztą z tym blikiem też doszło do oszustwa – gość wygenerował poprawnie kod, wprowadził go (poprawnie) i zatwierdził. W trakcie tego procesu doszło do nieautoryzowanej podmiany odbiorcy transakcji. Tutaj dane były ewidentnie złe, ale co byś powiedział gdyby dane odbiorcy różniły się minimalnie? Też byś zrzucał na klienta, że nie odróżnił “l” od “I” w nazwie?
Ale nie doszło do podmiany. Bo od oryginalnego mechanta nic nie wyszło – próba rozpoczęcia transakcji zakończyła się kodem błędu (199) – patrz paragon.
Według mnie nieistotne gdzie doszło do podmiany. Jeśli logi faktycznie wskazywałyby że klient wprowadził kod w terminalu, a po kilku sekundach (bo zazwyczaj tyle to trwa) potwierdził operację, która w “normalnych warunkach” nie powinna być rozdysponowana do potwierdzenia u tego klienta, to w normalnym kraju to instytucja powinna się poczuć do odpowiedzialności, a nie klient.
Gdybym chcial przeprowadzic taki atak wykorzystując słabe punkty tego dziurawego systemu (brak mozliwosci realnej reklamacji, czyli brak realnej odpowiedzialności jak na platformie Vinted) robilbym to wlasnie na kwoty ponizej 100 PLN. Większość machnie ręką i odpuści reklamację (BLIK tradycyjnie odbija pileczke do banku: wygodnie jest stworzyc system szybkich platnosci i nie brac zadnej odpowiedzialności za błędnie wykonywane transakcje zrzucajac wine na uzytkownika).
Jest jeszcze jedna opcja. Atakowany jest cymbałem i wymachiwał telefonem w sklepie jak flagą lub położył go na lądzie w widocznym miejscu. Oszust przez ramię podpatrzył kod ib wykorzystał okazję. Kurtyna
Ciekawe czy Blik ma możliwość sprawdzenia, jaki kod wygenerował się osobie z “grubym paluchem”. Jeżeli kod był na tyle podobny, że palec mógłby się omsknąć, mamy do czynienia z niefortunną pomyłką. Jeżeli był znacząco inny, można sądzić że “gruby paluch” podpatrzył kod atakowanego i chamsko to wykorzystał.
Ciężko uwierzyć że w aż tylu przypadkach przyczyną są grube paluchy.
Mam nadzieję że zbieracie statystykę jakiego banku apkę najczęściej używały ofiary, jaki telefon (system), orientacyjna godzina incydentu. Może jest coś jeszcze niż tylko problem w obsłudze.
A co do problemu w obsłudze, to myślę że jak się nie ma okularów do bliży, to w sklepie pod presją kolejkowiczów może być nieco ciężko wczytać się w literki na potwierdzeniu. I tu też mogą być różnice między apkami.
Moim zdaniem BLIK choć nadal bardzo bezpieczny ma jeden minus. Gdyby BOT na stronach (wielu) wpisywał przypadkowe kombinacje jest prawdopodobne że gdzieś w końcu trafi i ktoś zaakceptuje płatność.
Czytam te 100+ komentarzy i oczy przecieram. Analizy, co można poprawić, jak dobezpieczyć proces BLIK, jakie alternatywne metody są bezpieczniejsze, jakieś rozkminy techniczne…
Ludzie, przecież potwierdzenie transakcji pokazuje KOMU i ILE chcemy przelać. Wystarczy to przeczytać!
A nie szukać winnych wszędzie wokoło…
PS. Jasne, może się zdarzyć, że nazwa sklepu, w którym kupujemy będzie podobna do wyświetlonej w transakcji BLIK oraz kwota będzie identyczna. Ale jakie tu jest prawdopodobieństwo? :)
Raczej klient stający za nim/obok w kolejce miał w smarfonie otworzoną płatność za pyszne.pl i szybciej, niż kasjer, przepisał kod i kliknął do akceptacji.
Resztę już znamy.
BLIK podał, że w 2024 roku wykonano za jego pośrednictwem 2,4 mld transakcji. Policzmy zatem ile statystycznie kodów jest aktywnych w każdej chwili. Kod jest ważny 2 minuty. W ciągu roku mamy 365 x 24 x 30 = 262800 “sloty” 2-minutowe. Po podzieleniu 2,4 mld przez liczbę “slotów” wychodzi, że w każdej chwili ważnych jest około 9132 kodów. W rzeczywistości jest ich więcej bo ruch zapewne koncentruje się raczej w godzinach dziennych. Mamy więc sytuację, że szansa losowego trafienia w ważny kod wynosi około 1/100. To bardzo dużo!!! Wystarczy uruchomić automat, który będzie wchodził na różne sklepy internetowe i próbował wykonać transakcję podając losowy kod. A 100 instancji takiego automatu będzie trafiało w dobry kod za każdym uruchomieniem! A szansa na zaakceptowanie transakcji przez rzeczywistego właściciela kodu jest bardzo wysoka.
Przecież taki atak się kompletnie nie skaluje. Musiałbyś zaimplementować setki jak nie tysiące sklepów w swoim “automacie”, a “nagrodą” dla ciebie będzie losowy zakup (no bo nigdy nie wiesz czy akurat uda ci się trafić w kod przy transakcji za schabowe na pyszne czy książki w empiku czy biletu w kinie).
A jak odpalisz ten automat w jednym sklepie, to musisz zrobić brute force na setki kodów, co pewnie się świeci na czerwono w każdym monitoringu.
Opcją, że ktoś za okecami podglądnąć kod Igi użył, odpada. Nie raz sprawdzałem taką sytuację z żoną. Ja płaciłem przy kasie, żona obok na allegro. Mój kod dla niej, nie zadziałał.
hmm ktokolwiek z nich spojrzał na kwotę i gdzie? czy kwota za schabowego była taka sama? PS. nie mogą zapłacić telefonem/GP/AP tylko kodem albo ma “naj naj psiapsi” telefon, ale płaci fizycznie kartą i mruczanka z pinem pod nosem…
Prosta sprawa. Kodów blik jest ograniczona pula.
W danym momencie 2 osoby gdzieś dostają dwa podobne kody dla różnych transakcji. Jedna z nich myli się albo ma ten gruby paluch i wbija kod tej drugiej. Ta druga odruchowo potwierdza nie swoją transakcję.
Opcje po stronie blika to wyciąć z danego dwuminutowego okienka w jakiś sposób podobne kody (pewnie powinny różnić się conajmniej 2 cyframi).
Jeśli kodów “niepodobnych ” byłoby za mało względem zapotrzebowania na transakcje to 2 opcje: błąd generowania kodu i komunikat w stylu poczekaj 2 minuty (pewnie nieakceptowalne dla biznesu) lub zwiększyć pulę kodów, dorzucić litery lub 7 cyfrę…
Moje podejrzenie jest takie że głodny Bożydar składał zamówienie na pyszne.pl i na jego telefonie wyświetlił się kod ABCDEF ale się długo zastanawiał już mając kod aktywny. Wpisał kod ABCDEF i u niego ten kod właśnie stracił ważność, kod ABCDEF trafił do puli dostępnych i wygenerował go Łukasz w sklepie i wtedy Bożydar kliknął u siebie w przeglądarce zapłać. Jeśli między wygaśnięciem kodu a jego trafieniem do puli dostępnych nie ma żadnego dodatkowego limitu czasowego to taka sytuacja jest bardzo prawdopodobna biorąc pod uwagę ile transakcji BLIK jest wykonywanych dziennie
Musze przyznać, że odpowiedź Pyszne.pl wizerunkowo to sztos.
Hipoteza 4 jest jak najbardziej realna, bo przy takiej kwocie jak widać jest często odrzucana.
Cytat “ma Pan możliwość pisemnego zwrócenia się do swojego banku o pozyskanie danych tej osoby w celu odzyskania Pana środków” przeraża mnie.
Rozwiązanie jest z tych oczywistych, czyli błąd. Błąd routingu “akceptacji” do osoby, która nie powinna go otrzymać. Autor o tym wspomina w hipotezach. Ciekawe, czy dotyczy to “ostatniej mili” (Bank, który obsługiwał Łukasza i Bożydara nadmiarowo wysyła prośbę nie do nieprawidłowej osoby), czy początek ma już w BLIKu?
Witam.
Też miałem do Państwa pisać. Miałem prawie identyczną sytuację. Kupowałem bilety w aplikacji PKP IC. Podczas zatwierdzania płatności blikiem, przyszło mi żądanie płatności z EUR.shien.pl. reklamacja w banku i sklepie również spełzła na niczym. Bank te PKO BP
I bardzo dobrze – też bym ci nie uznał, blik jest dla ogarniętych; a ty jeszcze świadomie przyznajesz się, że potwierdziłeś nie swoją płatność i masz pretensje do innych.
Pisałem o tym poniżej – średnia ilość zapytań w 2024 sięgała 81 płatności / sek.
Przy tej skali prawdopodobieństwo generowania kodów i jednoczesnych pomyłek nie jest zerowa. W totka też ludzie wygrywają.
Ot, rachunek p-bieńśtwa.
Takie pomyłki (jak już ustalono w aktualizacji) zdarzają się kilka razy dziennie, ludzie nie sprawdzają co mają na ekranie, tylko odruchowo akceptują, a potem jest problem. No niestety.
A mnie zastanawia czemu ktoś chce używać blika do płacenia za zakupy w terminalu kiedy na 99% ma kartę płatniczą którą zapłaciłby w 0,5s przy pomocy Google Pay/Apple Pay czy innego HCE.
Przecież to trwa dłużej, ktoś właśnie widzi kod, trzeba dotykać przycisków terminala, itd itp. Jeśli ktoś mi powie że tym bojkotuje Visę albo Mastercarda i stosuje tylko polskie płatności to mu się zaśmieje w twarz bo kartę płatniczą na bank jednak w zanadrzu ma…
Blik nie potrzebuje telefonu z NFC i ktoś, kto tego nie ma w telefonie, dalej może płacić/wypłacać blikiem (bo akurat nie wziął karty ze sobą).
Płacenie kartą płatniczą TO SZKODZENIE POLSKIEJ GOSPODARCE! Na wiele sposobów: karty płatnicze w naszym nieszczęsnym kraju są rozliczane w USA (w normalniejszych krajach, jak np. Rosja i to już przed sankcjami, rozliczane są w tym kraju, USA dostaje tylko saldo różnic międzynarodowych i to anonimozowane i kasę za rozliczenie zgarnia krajowa izba rozliczeniowa a nie bank w USA). Średnia rentowność obrotu gospodarczego w naszym kraju to ok. 2%. A opłaty jakie kasuje Visa czy ktoś podobny to ile? 0,25-0,3% (tak mi się wydaje). Oznacza to, ze takie USA nałożył na polskich przedsiębiorców gigantyczny haracz w postaci 12,5-15% ich zysków netto! I te gigantyczne (grube miliardy USD rocznie!) wyciekają bezpowrotnie z polskiej gospodarki (nasz nieszczęsny kraj na wyścigi z Arabią Saudyjską i Meksykiem walczy o pierwsze miejsce wśród krajów, gdzie największy procent PKB jest drenowany za granicę, wcześniej w tym gronie była Rosja, ale zachodnie sankcje ratują jej gospodarkę, dlatego po ich wprowadzeniu tam się polepszyło!). Po drugie, dane z płatności kartami trafiają do USA i służą do szpiegostwa gospodarczego: z tych danych USA wie wcześniej niż NBP, GUS i rząd, czy polska gospodarka rośnie czy spada, co jest rentowne a co nie, jaki jest bilans obrotów zagranicznych, jaki będzie kurs złotego, co się przekłada na kolejne gigantyczne miliardy strat polskiej gospodarki np. na obsłudze długu zagranicznego czy wykorzystywania tych danych przez zagraniczne firmy przeciwko polskim firmom, które tych danych nie mają. Po trzecie, dane z kart płatniczych mogą służyć do szantażu obywateli: na postawie płatności wiadomo o posiadaczu karty praktycznie wszystko: czy ma kochankę/kochanka, jakiego jest zdrowia, gdzie i z kim przebywa, jakie ma zainteresowania i to tak, że nawet jak przestanie używać karty i zacznie gotówki, to po elektronicznych paragonach wprowadzonych przez Mateusza “Polski Ład”, będzie można dojść gdzie i co kupuje, bo każdy ma indywidualny profil zakupowy (marka pasty do zębów + marka musztardy + rodzaj pieczywa itp. Jest wysoce prawdopodobne, że na postawie płatności elektronicznych takie CIA czy coś szantażuje potem naszych radnych, posłów, ministrów, generałów… Po czwarte, płatności elektroniczne mogą służyć do szantażu państw – vide wyłączenie obsługi kart Wenezueli, Rosji, Iranu itp. Po piąte, mogą służyć do zwalczania opozycji vide zablokowanie kart płatniczych (nielegalne, ale nic się nie stało, bo potem premier Kanady przeprosił…) protestujących kierowców ciężarówek oraz osób, które ten protest wspierały przez kanadyjski rząd. Itp. itd. Wygodą płacenia kartą zakładasz sobie i całemu społeczeństwu totalitarny stryczek na szyję…
Zdarzyło mi się parę razy, że zostawiłem kartę w innych spodniach, a miałem nie zbliżeniowy telefon. Płaciłem blikiem. Przepraszam
Ja mam inne pytanie.
Skoro Łukasz ma, jak widać na zdjęciu, kartę kredytową, to po jakiego groma korzysta z blik?
Winne jest oczywiście prawo bankowe po jego zmianie. W naszym nieszczęsnym kraju (za który z tego i tysięcy podobnych powodów nie będę walczył w czasie wojny, bo to nie jest mój kraj, tylko mój okupant) z roku na rok zmienia się przepisy tak, by były przeciw obywatelom a na rzecz korporacji. I tak, w poprzedniej wersji prawa bankowego NUMER RACHUNKU PRZY PRZELEWIE MUSIAŁ SIĘ ZGADZAĆ Z DANYMI ADRESATA I BANK ODPOWIADAŁ FINANSOWO, GDY SIĘ TO NIE ZGADZAŁO (musiał zwracać płacącemu pieniądze z przelewem). Bardzo to się bankom nie podobało, więc teraz dane adresata nie są obowiązkowe i nie muszą się zgadzać z numerem rachunku, bank obchodzi tylko numer rachunku i zlecającemu przelew odmawia, zasłaniając się “tajemnicą bankową”, do kogo ten przelew puścił w przypadku pomyłki, czym uniemożliwia odzyskanie pieniędzy. Nie muszą dodawać, że natychmiast po tej zmianie prawa bankowego na niekorzyść zwykłych obywateli zaroiło się od faktur z podmienionymi numerami konta i podobnych przekrętów… Zauważmy, że o ile dla banku sprawdzenie do kogo należy rachunek i czy się zgadza z adresatem zlecającego przelew jest bardzo proste, o tyle dla klienta tego banku proste to nie jest… Odkręcenie przelewu też dla banku jest bardzo proste a dla jego klienta przeciwnie…
Hipoteza #2.
w 2024 wykonywano średnio ~6,6 mln płatności BLIK dziennie. To daje jakieś 81 transakcji na sekundę. Przypadek, w którym głodny Bożydar klepnie 0 zamiast 9 i w międzyczasie ktoś będzie generował ten sam numer nie jest niemożliwe.
System jak system – robi swoje:
Bożydar, wklepuje trzęsącymi się palcami błędny numer.
Zapytanie idzie w świat, gdzie w międzyczasie płaci Łukasz.
No i tu niespodzianka, bo przez jakieś FIFO ta płatność jest już przyklepana dla głodującego Bożydara i potwierdzając nie jest Dino tylko Pyszne.
Odrzuciłbym szybkie palce, albo monitoring – Dino to nie Wallmart.
To proste sklepy z umiarkowaną ilością klientów a systemy monitoringu często gęsto pikselizują nawet gęby, nie mówiąc o odczycie tekstu z komórki.
Istotne byloby ustalic adres dostawy tego posilku. Byc moze wyjaśniłoby to czy to ktos w obrebie sklepu podejzal kod czy jednak przypadek
No niestety, znowu się potwierdza, że użytkownikami trzeba się opiekować jak dziećmi.
Moja propozycja:
Zamiast wyboru TAK/NIE niech użytkownik znajdzie swoją transakcję np. wśród czterech propozycji. Jak będzie musiał wybrać, czy płaci w Żabce, Empiku, Allegro czy na Pornhubie, to może rzuci okiem.
Miałem taką sytuację, że zamiast spodziewanej wypłaty blikiem w bankomacie (20/40zł), pokazało mi się potwierdzenie opłacenia zamówienia w IKEA (124zł i grosze).
Było to przed bankomatami velobank w placówce w galerii obok dworca głównego we wrocławiu. Założyłem że ktoś się fizycznie patrzył albo że to atak na klawiaturę. Ostrzegłem klientkę obok…