W każdym banku internetowym mamy możliwość wydrukowania potwierdzenia zrealizowanego przelewu. W erze bankowości elektronicznej, potwierdzenia takie stają się coraz częściej rzetelnym dokumentem poświadczającym wpłatę należności za zakupy, usługi, rachunki itp.

Potwierdzenia takie są zazwyczaj łatwo modyfikowalne dla użytkownika mającego podstawową wiedzę na temat HTML’a, bądź dowolnego programu graficznego.

A co w wypadku, kiedy to sam bank daje nam narzędzie do drukowania fałszywych potwierdzeń realizacji przelewu? Taka sytuacja ma miejsce w BRE Banku, a dokładniej jego detalicznym brandzie - mBank.

Poniżej przedstawiam krótki opis zasady działania mBanku:
W przypadku zlecenia realizacji przelewu, trafia on do kolejki, która zostanie wysłana najbliższą sesją wychodzącą. W tym czasie użytkownik zamiast guzika “Wydruk potwierdzenia” widzi komunikat “** Przelew nie został jeszcze zrealizowany **”. Podobny komunikat widoczny jest w przypadku odwołanego zlecenia przelewu: “** Wydruk potwierdzenia jest niedostępny, gdyż przelew został odrzucony. **”.

Korzystając z oprogramowania do zmiany zawartość pamięci podręcznej przeglądarki, można podmienić ww. tekst na kod odpowiadający wywołaniu drukowania potwierdzenia przelewu:

Wydruk potwierdzenia

Po kliknięciu na dodany w ten sposób przycisk, uzyskujemy dokument potwierdzający realizację przelewu. Dokument taki zawiera wszystkie dane, jak w przypadku oryginalnego potwierdzenia w tym unikalny numer referencyjny.

Ww. podatność można wykorzystać w obu przypadkach: potwierdzenia niezrealizowanego jeszcze przelewu jak i potwierdzenia odwołanego już zlecenia.

BRE Bank jest operatorem marki Multibank i być może ww. sytuacja ma zastosowanie też w systemie Multibanku.

mBank został poinformowany o wyżej opisanej sytuacji 8 października 2008r.