Мошенники взяли тайм-аутом Операции в терминалах Сбербанка прерываются на хищения
На модерации
Отложенный
Участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее.
На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тыс. руб. на чужой счет в МТС. Еще один клиент банка рассказал “Ъ”, что лишился по той же схеме еще большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: "вставьте карту, введите пин-код…" — и 15 тыс. улетело на оплату чужого телефона». Потерпевший обратился в Сбербанк.
Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.
Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. “Ъ” провел эксперимент: один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен.
При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты.
Собеседник “Ъ”, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.
Опрошенные “Ъ” эксперты отметили, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала. Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты,— такой сценарий реализован в ИПТ многих банков.
Так, в Газпромбанке сообщили, что в их терминале ввод пин-кода происходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа. В «ФК Открытие» “Ъ” отметили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим вставлением карты, однако сумма, номер телефона и подтверждение платежа проходят после вставления карты и ввода пин-кода, что также исключает возможность подобной ошибки. При этом модель устройства значения не имеет, только настройки.
Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте. В опрошенных “Ъ” банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий,— отмечают в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».
По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает господин Царев.
Герман Греф, президент Сбербанка, 6 июля 2018 года
- Так ли защищены клиенты Сбербанка, как мы? Честный ответ — наши клиенты не защищены
Сбербанк еще в 2016 году сообщал о внедрении единого управления сетью банкоматов и платежных терминалов, в связи с чем эксперты заключили, что исправить сценарий и сократить тайм-аут не составит труда.
Однако в самой кредитной организации не видят проблемы. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц,— указали там.— В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900». На вопросы “Ъ” о том, сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тыс. банкоматов.
Комментарии
Меня Бог миловал,не попадался на всякие уловки,видимо,в Сибири более честные люди живут,чем где либо))))
спешка нужна при ловле блох..
практически и в реале мошенники пользуются спешкой и суетностью клиента
А вообще- тут что-то не так,Николай Сохатых по-моему.прав.
значит это уже должно вызвать подозрение- если вас подгоняют
Комментарий удален модератором
Хотя в душе конечно же желает, чтобы впередистоящий побыстрее смылся...
Большинство банкоматов позволяет вести расчеты как с карты, так и наличкой.
Для этого клиент должен ответить на вопрос: "Продолжить без карты?!"
Этим и пользуются мошенники.
К примеру, перед зачислением денег на счет мобильного телефона...
У нас уже даже на рынках у всех наших друзей с ближнего зарубежья можно картой рассчитаться-им тоже не хочется клиентуру и денежки терять.
Кстати,как-то прочитал,что наличные деньги одна из самых заразных и токсичных вещей.
И в самом деле-в каких руках,в трусах и прочих предметах интимного туалета эти бумажки могли побывать-кто знает?
— Ой, Яша! Таки да! Пятьдесят долларов в трусики девочке положил, сто евро вытащил. И отдохнул, и заработал!
Рубли в трусах - это отдельная тема, позволяющая славно постебаться, Алекс.
Но здесь это было бы слишком офф-топ:).
Что мы тут и обсуждаем))))
И в добывании оных Сэмэн Маркович является непревзойденным мастером.Хоть в банкоматах,хоть в трусах,хоть еще где))))
Век живи-век учись!))))
Спасибо.
Редко снимаю. У нас даже на рынке уже карту принимают многие... Ну кроме бабушек "с ведром картошки" есно...
Так там постоянное видео наблюдение. Сотрудник банка именно около терминалов - консультирует клиентов, если что... Думаю там безопаснее... Хотя и самому не надо расслабляться. :)
тут надо именно знать какой именно алгоритм набирать, чтобы у следующего списалось именно куда нужно мошеннику, т.е. более менее универсальный, в той части, которую следующий закончит именно как надо,т.е. чтобы любое начало следующего алгоритма списывало деньги куда надо, а не куда попало..
но по мне достаточно подождать пару минут и всё..будет отмена предыдущего и можно пользоваться..
Что в статье фигня какая-то.
Што-тут не так.
Ждем-с комментов осведомленных макспаркеров.
Но я таких не видел...
Или с картой?
Решение принимает клиент.
Этим и пользуются мошенники.
Банки тоже сильно не любят, когда ИХ КЛИЕНТОВ кидают. :)
Лично я, сталкивался с такой проблемой.
Писал жалобу, требовал начальника операционного отдела
Им, всё по фигу, как биороботы.
Снимал больше 100 тыр., хотел крупными купюрами.
Сейчас, сумма снятия ограничена 50 тыр в сутки, это на маэстро социальная, куда приходит пенсия.
Это мой выбор. Хочу - в терминале сниму. Захочу - у оператора. Они не имеют права отказывать!
мошенник на то и мошенник, что он знает как активировать систему не вставляя карту..
Предполагается, что операция может быть оплачена наличными или с карты.
На последнем шаге платежной операции мошенник "подвешивает" банкомат, который снимет деньги с карты следующего клиента.
А схема такова - мошенник вводит номер телефона для пополнения или определенную команду и сумму (10к максимум). На экране отображается сообщение "введите или приложите карту", моженник отходит от терминала, следующий невнимательный и будто в сортир спешащий клиент, прикладывает карту и его деньги улетают мошеннику.
Значит, уже много таких случаев, если эту тему сберовские подняли.
Ф топку все енти карты!
Огромное спасибо за статью!
У меня было несколько подобных случаев и всегда мне Сбер. деньги возвращал.
Если бы да кобы.
У меня опять два дня назад опять сняли деньги за операцию, которую я не совершал.
Я написал претензию в Сбер. и теперь жду.