06.06.2020

Операции в терминалах Сбербанка прерываются на хищения

1 год назад
Комментарии (0)
Редактор: omlook1201

Участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее.

На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тыс. руб. на чужой счет в МТС. Еще один клиент банка рассказал «Ъ», что лишился по той же схеме еще большей суммы.

Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: «вставьте карту, введите пин-код…» — и 15 тыс. улетело на оплату чужого телефона.

Потерпевший обратился в Сбербанк.

Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными.

И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.

Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. «Ъ» провел эксперимент: один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-коди счет чужого телефона был успешно пополнен.

При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты.

Собеседник «Ъ», близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.

Опрошенные «Ъ» эксперты отметили, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала.

Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты, — такой сценарий реализован в ИПТ многих банков.

Так, в Газпромбанке сообщили, что в их терминале ввод пин-кодапроисходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа. В «ФК Открытие» «Ъ» отметили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим принятием карты, однако сумма, номер телефона и подтверждение платежа проходят после того, как клиент вставит карту и введет пин-код, что также исключает возможность подобной ошибки. При этом модель устройства значения не имеет, только настройки.

Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте.

В опрошенных «Ъ» банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — отмечают в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает господин Царев.

Сбербанк еще в 2016 году сообщал о внедрении единого управления сетью банкоматов и платежных терминалов, в связи с чем эксперты заключили, что исправить сценарий и сократить тайм-аутне составит труда.

Однако в самой кредитной организации не видят проблемы. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц, — указали там.— В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900». На вопросы «Ъ» о том, сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тыс. банкоматов.

Вероника Горячева, Вадим Арапов

 

Источник: https://news.mail.ru/incident/37335798/

Похожие

В Москве аферист украл 23 миллиона рублей под предлогом продажи масок

Оперативники задержали в Москве подозреваемого в краже из банковской ячейки более 23 миллионов рублей, которые он должен был получить в качестве оплаты за медицинские маски, так…

3 недели назад
Комментарии (0)

Раскрыт способ вычислить мошенников при покупке билетов на самолет

Поддельные онлайн-сервисы по продаже авиабилетов являются одним из наиболее распространенных видов интернет-мошенничества, и чтобы избежать хищения средств, необходимо следовать определенным…

4 недели назад
Комментарии (0)

Верховный суд разъяснил порядок наказания за распространение фейков о коронавирусе

За распространение недостоверной информации о коронавирусе можно наказывать, только если обвиняемый точно осознавал, что распространяет фейки, сообщается в обзоре по отдельным вопросам судебной практики, опубликованом…

1 месяц назад
Комментарии (0)

Последние новости

Россия обошла США и Венесуэлу по объемам торгов на LocalBitcoins

2 дня назад
Комментарии (0)
Редактор: Kostya

РФ продолжает лидировать по объему торгов на P2P-обменнике LocalBitcoins. Об этом свидетельствуют данные аналитического сервиса CoinDance. За последние два месяца…

2 дня назад
Комментарии (0)
Редактор: Kostya

Новое ралли биткоина завершилось резким падением до $9100

2 дня назад
Комментарии (0)
Редактор: Kostya

Рост биткоина выше $10 000 продлился недолго. Около 14:45 UTC во вторник, 2 июня, первая криптовалюта снова устремилась вниз, за…

2 дня назад
Комментарии (0)
Редактор: Kostya

Канада легализовала деятельность биткоин-компаний

3 дня назад
Комментарии (0)
Редактор: Kostya

1 июня в Канаде вступили в силу новые правила регулирования, согласно которым криптовалютные компании – как местные, так и зарубежные…

3 дня назад
Комментарии (0)
Редактор: Kostya

Два швейцарских банка получили разрешение на торговлю криптовалютами

3 дня назад
Комментарии (0)
Редактор: Kostya

Швейцарская Служба по надзору за финансовыми рынками (FINMA) одобрила заявки ориентированных на частных состоятельных клиентов Maerki Baumann Bank и Incore…

3 дня назад
Комментарии (0)
Редактор: Kostya
Авторизация
*
*
Регистрация
*
*
*
*
Генерация пароля