Мошенники взяли тайм-аутом Операции в терминалах Сбербанка прерываются на хищения
Участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее.
На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тыс. руб. на чужой счет в МТС. Еще один клиент банка рассказал “Ъ”, что лишился по той же схеме еще большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: "вставьте карту, введите пин-код…" — и 15 тыс. улетело на оплату чужого телефона». Потерпевший обратился в Сбербанк.
Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.
Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. “Ъ” провел эксперимент: один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен.
При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты.
Собеседник “Ъ”, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.
Опрошенные “Ъ” эксперты отметили, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала. Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты,— такой сценарий реализован в ИПТ многих банков.
Так, в Газпромбанке сообщили, что в их терминале ввод пин-кода происходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа. В «ФК Открытие» “Ъ” отметили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим вставлением карты, однако сумма, номер телефона и подтверждение платежа проходят после вставления карты и ввода пин-кода, что также исключает возможность подобной ошибки. При этом модель устройства значения не имеет, только настройки.
Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте. В опрошенных “Ъ” банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий,— отмечают в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».
По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает господин Царев.
Герман Греф, президент Сбербанка, 6 июля 2018 года
- Так ли защищены клиенты Сбербанка, как мы? Честный ответ — наши клиенты не защищены
Сбербанк еще в 2016 году сообщал о внедрении единого управления сетью банкоматов и платежных терминалов, в связи с чем эксперты заключили, что исправить сценарий и сократить тайм-аут не составит труда.
Однако в самой кредитной организации не видят проблемы. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц,— указали там.— В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900». На вопросы “Ъ” о том, сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тыс. банкоматов.
Источник: https://www.kommersant.ru/doc/3974847?utm_source=yxnews&utm_medium=desktop
Меня Бог миловал,не попадался на всякие уловки,видимо,в Сибири более честные люди живут,чем где либо))))
спешка нужна при ловле блох..
практически и в реале мошенники пользуются спешкой и суетностью клиента
А вообще- тут что-то не так,Николай Сохатых по-моему.прав.
значит это уже должно вызвать подозрение- если вас подгоняют
Комментарий удален модератором
Хотя в душе конечно же желает, чтобы впередистоящий побыстрее смылся...
Большинство банкоматов позволяет вести расчеты как с карты, так и наличкой.
Для этого клиент должен ответить на вопрос: "Продолжить без карты?!"
Этим и пользуются мошенники.
К примеру, перед зачислением денег на счет мобильного телефона...
У нас уже даже на рынках у всех наших друзей с ближнего зарубежья можно картой рассчитаться-им тоже не хочется клиентуру и денежки терять.
Кстати,как-то прочитал,что наличные деньги одна из самых заразных и токсичных вещей.
И в самом деле-в каких руках,в трусах и прочих предметах интимного туалета эти бумажки могли побывать-кто знает?
— Ой, Яша! Таки да! Пятьдесят долларов в трусики девочке положил, сто евро вытащил. И отдохнул, и заработал!
Рубли в трусах - это отдельная тема, позволяющая славно постебаться, Алекс.
Но здесь это было бы слишком офф-топ:).
Что мы тут и обсуждаем))))
И в добывании оных Сэмэн Маркович является непревзойденным мастером.Хоть в банкоматах,хоть в трусах,хоть еще где))))
Век живи-век учись!))))
Спасибо.
Редко снимаю. У нас даже на рынке уже карту принимают многие... Ну кроме бабушек "с ведром картошки" есно...
Так там постоянное видео наблюдение. Сотрудник банка именно около терминалов - консультирует клиентов, если что... Думаю там безопаснее... Хотя и самому не надо расслабляться. :)
тут надо именно знать какой именно алгоритм набирать, чтобы у следующего списалось именно куда нужно мошеннику, т.е. более менее универсальный, в той части, которую следующий закончит именно как надо,т.е. чтобы любое начало следующего алгоритма списывало деньги куда надо, а не куда попало..
но по мне достаточно подождать пару минут и всё..будет отмена предыдущего и можно пользоваться..
Что в статье фигня какая-то.
Што-тут не так.
Ждем-с комментов осведомленных макспаркеров.
Но я таких не видел...
Или с картой?
Решение принимает клиент.
Этим и пользуются мошенники.
Банки тоже сильно не любят, когда ИХ КЛИЕНТОВ кидают. :)
Лично я, сталкивался с такой проблемой.
Писал жалобу, требовал начальника операционного отдела
Им, всё по фигу, как биороботы.
Снимал больше 100 тыр., хотел крупными купюрами.
Сейчас, сумма снятия ограничена 50 тыр в сутки, это на маэстро социальная, куда приходит пенсия.
Это мой выбор. Хочу - в терминале сниму. Захочу - у оператора. Они не имеют права отказывать!
мошенник на то и мошенник, что он знает как активировать систему не вставляя карту..
Предполагается, что операция может быть оплачена наличными или с карты.
На последнем шаге платежной операции мошенник "подвешивает" банкомат, который снимет деньги с карты следующего клиента.
А схема такова - мошенник вводит номер телефона для пополнения или определенную команду и сумму (10к максимум). На экране отображается сообщение "введите или приложите карту", моженник отходит от терминала, следующий невнимательный и будто в сортир спешащий клиент, прикладывает карту и его деньги улетают мошеннику.
Значит, уже много таких случаев, если эту тему сберовские подняли.
Ф топку все енти карты!
Огромное спасибо за статью!
У меня было несколько подобных случаев и всегда мне Сбер. деньги возвращал.
Если бы да кобы.
У меня опять два дня назад опять сняли деньги за операцию, которую я не совершал.
Я написал претензию в Сбер. и теперь жду.