У сістэме бяспекі сістэмы EasyPay, імаверна, існуе ўразлівасць, якой карыстаюцца фінансавыя махляры, дапамагаючы наркагандлярам выводзіць прыбыткі.
Для спрашчэння разлікаў паміж гандлярамі і спажыўцамі першыя выкарыстоўваюць кашалькі EasyPay, не рэгіструючы іх самастойна, а беручы «ў арэнду» ў невядомых хакераў.
Больш падрабязна чытайце:
Як гандляры спайсамі легалізуюць сотні тысяч даляраў
З невядомых прычын доступ да асобных рахункаў EasyPay ажыццяўляецца не праз арыгінальны сайт разліковай сістэмы, а праз старонку, створаную махлярамі — iwallet.pro.
Ведаючы нумары рахункаў — а іх наркагандляры звычайна называюць самі, каб кліент мог аплаціць дозу, — можна зайсці ў электронныя кашалькі злачынцаў, мінуючы пратакол інтэрнэт-бяспекі ssl, проста дадаўшы лічбавы код у пачатак адрасу сайта злачынцаў.
Карэспандэнт «Нашай Нівы» «залагініўся» ў адзін такі кашалёк.
Найперш, каб спраўдзіць, ці не ідзе гаворка ўсяго толькі пра банальнае капіяванне інтэрфэйсу, мы зрабілі два пераводы на згаданы рахунак праз інтэрнэт-банкінг — 2 і 1 рублі.
Перавод на 2 рублі на рахунак EasyPay адлюстроўваецца ў інтэрфейсе сайта злачынцаў.
Пераводы дайшлі цягам пары секундаў.
Для нас былі даступныя ўсе стандартныя опцыі EasyPay. Але вярнуць грошы назад немагчыма праз страхуючую сістэму — для любога пераводу з кашалька неабходна ведаць чатырохзначны кантрольны код, які выдаецца падчас рэгістрацыі кашалька і, можна меркаваць, яго ведаюць толькі ўласнікі.
Таксама нам сталі бачныя ўсе транзакцыі кашалька злачынцаў — гаворка ідзе пра пераводы тысяч беларускіх рублёў.
Апошняе паступленне датуецца ноччу 19 лютага — тады на рахунак паступіў 31 рубель. З улікам камісіі гэта акурат заведзеная цана на 2 грамы спайса.
Агулам гаворка ідзе пра сотні тысяч беларускіх рублёў.
Апошнія транзакцыі на адным з кашалькоў, які здадзены ў «арэнду» наркагандлярам невядомымі злачынцамі.
Праўда, мы заблакавалі гэты кашалёк, тройчы ўвёўшы памылковы кантрольны код, а разам з гэтым даведаліся мабільны нумар, на які ён зарэгістраваны: гэта +375 29 8323981 (нумар недасяжны).
Як патлумачылі «Нашай Ніве» ў «Белгазпрамбанку», казаць пра ўзлом сістэмы не выпадае.
«Банк і EasyPay ведалі пра наўмыснае выкарыстанне ідэнтыфікацыйных кашалькоў EasyPay трэцімі асобамі, доступ да якіх ажыццяўляўся праз проксі-сервер са спецыяльнай старонкі. Банкам яшчэ на пачатку лютага прынятыя захады па інфармаванні кампетэнтных органаў аб існаванні дадзенай сітуацыі, за актыўнасцю на дадзенай старонцы ажыццяўляўся маніторынг», — сказалі ў банку
і падкрэслілі, што тэма, паднятая «Нашай Нівай», не датычыць пытанняў бяспекі банка і ўзлому электронных кашалькоў, бо ўказаная схема магла існаваць толькі ў выпадку раскрыцця інфармацыі аб кашальках іхнімі ўласнікамі.
У банку падкрэсліваюць, што ніводная сістэма непасрэдна «Белгазпрамбанка» ўзламана не была, бо EasyPay — гэта сумесны праект «Белгазпрамбанка» і ТАА «Адкрыты кантакт», дзе банк выступае толькі эмітэнтам.
«Працэсінг электронных грошай EasyPay ажыццяўляе ТАА «Адкрыты кантакт», якому належыць гандлёвая марка EasyPay і сайт, дзе ажыццяўляецца кіраванне кашалькамі. ААТ «Белгазпрамбанк» з'яўляецца партнёрам ТАА «Адкрыты кантакт» і ажыццяўляе эмісію і разлікі па электронных грошах», — адзначылі ў банку.
* * *
Абноўлена 22 лютага: