Завтра в Архангельске +22°CСеверодвинске +22°CОнеге +21°CВельске +21°CМирном +21°CШенкурске +21°CЯренске +21°C
18+
Агентство Братьев Мухоморовых, понедельник, 03.08.2020 11:02

«Коммерсантъ» сообщил о росте мошеннических операций с банкоматами «Сбербанка»

20.05.2019 09:49
Мошенники взяли тайм-аутом: операции в терминалах Сбербанка прерываются на хищения. Об этом сегодня пишет «Коммерсантъ».

Участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее.

На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тыс. руб. на чужой счет в МТС. Еще один клиент банка рассказал «Ъ», что лишился по той же схеме еще большей суммы: 

«Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: „вставьте карту, введите пин-код…“ — и 15 тыс. улетело на оплату чужого телефона». Потерпевший обратился в Сбербанк.

Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.

Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. «Ъ» провел эксперимент: один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен.

При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты.

Собеседник «Ъ», близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.

Опрошенные «Ъ» эксперты отметили, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала. Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты, — такой сценарий реализован в ИПТ многих банков.

Так, в Газпромбанке сообщили, что в их терминале ввод пин-кода происходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа. В «ФК Открытие» «Ъ» отметили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим вставлением карты, однако сумма, номер телефона и подтверждение платежа проходят после вставления карты и ввода пин-кода, что также исключает возможность подобной ошибки. При этом модель устройства значения не имеет, только настройки.

Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте. В опрошенных «Ъ» банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — отмечают в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает господин Царев.

Нашли ошибку? Выделите текст, нажмите ctrl+enter и отправьте ее нам.
Реклама
Реклама
Сервис рассылки смс-сообщений предоставлен КоллЦентр24

Свободное использование материалов сайта и фото без письменного разрешения редакции запрещается. При использовании новостей ссылка на сайт обязательна.

Экспорт в RSSМобильная версия

Материалы газеты «Правда Северо-Запада»

По материалам редакции «Правды Северо-Запада».

Агентство Братьев Мухоморовых

Свидетельство о регистрации СМИ Эл №ФС77-51565 выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 26 октября 2012 года.

Форма распространения: сетевое издание.

Учредитель: Архангельская региональная общественная организация «Ассоциация молодых журналистов Севера».

Главный редактор: Азовский Илья Викторович.

Телефон/факс редакции: (8182) 21-41-03, e-mail: muhomor-pr@yandex.ru.

Размещение платной информации по телефону: (8182) 47-41-50.

На данном сайте может распространяться информация Информационного Агентства «Эхо СЕВЕРА».

Эхо Севера

Свидетельство о регистрации СМИ ИА №ФС77-39435 выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 14 апреля 2010 года.

Агентство братьев Грибоедовых

Свидетельство о регистрации СМИ ЭЛ № ФС 77 — 78297 выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 15.05.2020.

Адрес материалов: эхосевера.рф.

Форма распространения: сетевое издание.

Учредитель: Архангельская региональная общественная организация «Ассоциация молодых журналистов Севера».

Главный редактор Азовский Илья Викторович.

Телефон/факс редакции: (8182) 21-41-03, e-mail: smigriboedov@yandex.ru.

Яндекс.Метрика
Сделано в Артиле