IT NewsНовости рынкаБезопасность

Сделали перерыв. Мошенники нашли уязвимости в сценарии банковских терминалов

Наталья Соловьева | 31.05.2019

Сделали перерыв. Мошенники нашли уязвимости в сценарии банковских терминалов

В российском сегменте Всемирной паутины стали все чаще появляться сообщения о новом виде мошенничества, связанном с неверной настройкой сценария работы терминалов. Мошенникам, даже без применения специальных знаний или вредоносного ПО, легко удается обманывать банковских клиентов, похищая с их карт деньги. Пока эксперты говорят о необходимости скорректировать сценарии работы устройств банковского самообслуживания, банки призывают держателей карт усилить бдительность.

Новая схема мошенничества до того проста и примитивна, что сначала ее можно принять просто за ошибку в работе терминала, «неправильно» списавшего сумму. Ее суть состоит в том, что мошенник начинает в банковском терминале операцию по оплате – например, вводит номер сотового телефона, счет которого собирается пополнить. Но затем, не вставляя карту для оплаты, отходит от терминала. Следующий в очереди клиент вставляет карту в слот терминала и вводит свой ПИН-код, после чего средства с его карты списываются по запросу предыдущего клиента – например, на оплату его сотового телефона.

Все жертвы нового вида мошенничества – пользователи терминалов Сбербанка РФ. Один из случаев получил очень широкую огласку в социальных сетях и мессенджерах: пострадавший заявил, что намеревался совершить операцию в терминале, установленном в одном из отделений Сбербанка РФ. Он вставил карту в терминал, ввел ПИН-код, и с его счета были списаны 11 тыс. рублей в счет оплату незнакомого номера абонента МТС. Еще один клиент Сбербанка по аналогичной схеме лишился суммы в 15 тыс. рублей.

По словам обманутых таким способом держателей карт, ничего нового или необычного в схеме работы устройства самообслуживания не было: подойдя к терминалу, они видели на экране традиционные знакомые надписи «вставьте карту» и «введите ПИН-код». Первоначально неверное списание суммы воспринимается клиентом как сбой в работе терминала. Однако при обращении пострадавших в Сбербанк РФ им пояснили: платежный терминал настроен таким образом, что сначала пользователь выбирает назначение платежа и сумму, и только затем – способ оплаты (картой или наличными). Выбрав опцию «оплата картой» и не завершив операцию, мошенник отходит от терминала, а следующий клиент, вставив свою карту, начатую мошенником операцию завершает. Терминал настроен таким образом, что на завершение начатой операции дает 90 секунд (1,5 минуты), в которые как раз и «укладывается» ничего не подозревающая жертва.

Как сообщили представители органов МВД РФ, первые сообщения от пострадавших от нового вида мошенничества в терминалах стали поступать около 6-ти месяцев назад, а последние 2-3 недели их количество резко возросло. Общим во всех случаях было одно – к терминалу всегда стояла очередь.

Эксперты в сфере безопасности говорят о серьезных ошибках в сценарии работы устройств самообслуживания Сбербанка РФ. Как заявил Евгений Царев, эксперта RTM Group, специализирующейся на подготовке юридически значимых заключений по направлению информационных технологий и информационной безопасности, время ожидания в 1,5 минуты представляет серьезную уязвимость, причем не техническую, а социальную. Неподготовленный пользователь вполне может вставить карту в слот терминала, не посмотрев на монитор. Необходимо перенастроить терминалы банковского самообслуживания, сократив время сессии.

Помимо этого, считают эксперты, у банка есть возможность настроить устройство так, что сначала клиент должен будет выбрать способ оплаты (картой или наличными), ввести ПИН-код, а уже затем – реквизиты платежа и его подтверждение. Именно по такому сценарию работают сети платежных терминалов большинства российских банков, что исключает возможность подобной ошибки.

В самом Сбербанке РФ, как сообщают СМИ, уязвимостей в сценарии терминалов не отмечают, а самих клиентов призывают быть более бдительными, внимательно знакомиться с информацией на экране банкомата, а также отмечать, нет ли поблизости подозрительных лиц. При любом сомнении от проведения операции лучше отказаться, считают в банке.

К началу 2019 года, по данным ЦБ РФ, кредитно-финансовые организации установили на территории России свыше 200 тыс. банкоматов и терминалов банковского самообслуживания, порядка 127, 5 тыс. из которых оснащены с функцией оплаты товаров и услуг. Из общего числа банкоматов на сеть банковского самообслуживания Сбербанка РФ приходится около 77 тыс. устройств.

Ключевые слова: мошенничество с банковскими картами, информационная безопасность в банках

Журнал: Журнал IT-News, Подписка на журналы

Компания: Sberbank | Сбербанк


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Загрузка...

Компании сообщают

Мероприятия

14.10.2019 — 15.10.2019
BootСamp Hyperledger

Deworkacy Красный Октябрь

15.10.2019 — 17.10.2019
XVI Международный Customer Experience Forum

Москва, DoubleTree by Hilton Hotel Moscow – Marina

16.10.2019 — 17.10.2019
ACCELERATE 2019

Москва, Экспоцентр

16.10.2019
Конференция по безопасности

Пермь, Монастырская улица, 2

16.10.2019 — 17.10.2019
Blockchain Life 2019

Москва

17.10.2019
Проектирование, строительство сетей и сооружений связи

Москва, «Holiday Inn Suschevsky» (ул. Сущевский Вал, д.74)