Как стать автором
Обновить

Обнаружена простая схема мошенничества через терминалы Сбербанка

Время на прочтение 3 мин
Количество просмотров 34K


В интернете стали появляться сообщения о случаях хищения средств через платёжных терминалы Сбербанка, пишет «Коммерсантъ». Судя по всему, это старая уязвимость, но только в последнее время её стали активно эксплуатировать злоумышленники.

Суть в следующем. Информационно-платёжные терминалы Сбербанка настроены таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. Так вот, злоумышленник выполняет все эти шаги и выбирает вариант «Оплата картой», после чего достаёт свою карту и уходит. Платёж автоматически совершит следующий человек, который вставит свою карту в терминал и введёт пин-код.

Злоумышленник может указать произвольный денежный перевод на крупную сумму. Например, «Коммерсантъ» пишет о жертве мошенничества, который пришёл в отделение банка, вставил карту в терминал, ввёл пин-код — и с его счета моментально списались 11 000 рублей на чужой счёт в МТС. Другой клиент по той же схеме лишился ещё большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: „Вставьте карту, введите пин-код…” — и 15 000 улетело на оплату чужого телефона», — рассказал он.

Злоумышленнику остаётся только оперативно обналичить деньги со счёта МТС, что не составляет никакого труда. Во-первых, он должен предварительно позаботиться о том, что сим-карта зарегистрирована на другое имя (многие дилеры операторов сотовой связи позволяют оформить сим-карту на другое лицо). После получения денег на счёт нужно быстро их потратить, пока жертва не успела отменить платёж. Система «МТС Деньги» позволяет быстро вывести финансовые средства со счёта: например, можно потратить их в магазине, перевести на анонимный кошелёк «Яндекс.Деньги» или WebMoney.



Таймаут в терминале составляет полторы минуты. Это время, когда терминал ожидает ввода пин-кода. Если жертва подойдёт позже, то платёж уже будет отменён. Но в оживлённых многолюдных местах схема должна работать отлично, особенно если к терминалу стоит очередь.

Для злоумышленника это довольно рискованный способ мошенничества, потому что пользователей терминала обычно снимает видеокамера. Мошенника можно вычислить, если он не надел медицинскую маску или кепку с тёмными очками (upd: в комментариях верно заметили, что если нет вывода денег, то мошенник может сослаться на невнимательность, и тогда доказать мошенничество будет практически невозможно).

Соответственно, для пользователей логичный способ защиты — не вставлять свою карту в терминал и не вводить пин-код, если другой пользователь перед вами скрывает свою лицо и кажется подозрительным, и если после его ухода ещё не прошло полторы минуты.

Собеседник «Коммерсанта», близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение происходило при наличии очереди к терминалу, добавил он.

Эксперты отмечают, что в терминалах других банков стандартные настройки предполагают сначала выбор способа оплаты (карта или наличные), а уже потом ввод реквизитов платежа. С такими настройками подобное мошенничество исключено.

Вторая проблема — в слишком долгом таймауте. В других банках стандартный таймаут составляет 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — сказали в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

Впрочем, в Сбербанке не считают проблемой текущие настройки терминалов: «Все системы самообслуживания нашего банка надежно защищены, — заявил представитель Сбербанка в комментарии «Коммерсанту». — В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц. В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900».
Теги:
Хабы:
+23
Комментарии 61
Комментарии Комментарии 61

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн