Как работает новая схема кражи денег из банкоматов Сбербанка?

Страница: 1

Сообщений 1 страница 2 из 2

Поделиться12019-05-20 21:09:50

Автор: snezhinka
Администратор
Зарегистрирован: 2008-06-30
Приглашений: 0
Сообщений: 58685
Уважение: [+410/-21]
Позитив: [+458/-283]
Провел на форуме:
1 год 0 месяцев
Последний визит:
2020-03-18 05:07:47

Как работает новая схема кражи денег из банкоматов Сбербанка?

По данным газеты «Коммерсантъ», устройства позволяют злоумышленнику выбрать операцию без банковской карты и оставить ее незавершенной

Фото: depositphotos.com

Клиенты Сбербанка стали чаще жаловаться на хищение средств через терминалы, пишет газета «Коммерсантъ». По словам собеседников издания, в сценарии работы устройств есть недочеты.

Алгоритм прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. В результате следующий человек видит на экране предложение вставить карту и ввести ПИН-код. Таким образом, предыдущая операция автоматически заканчивается, а клиент банка лишается своих денег.

Мошенничество срабатывает в том случае, если жертва успевает ввести ПИН-код в течение полутора минут, в противном случае терминал прерывает операцию. Обозреватель Business FM Александра Сидорова проверила, как работает схема.

«Я выбрала «мобильную связь МТС». Дальше надо было ввести мой номер телефона, проверить данные платежа. После вводилась сумма. Финальная стадия: «Платеж подготовлен», карту я все еще не ввела. Проверяю все данные, нажимаю на кнопочку «оплатить картой Сбербанка», появляется белое окошко: «Чтобы завершить платеж, используйте карту или устройство». Дальше наименование: МТС и сумма платежа. Больше на этом экране не было ничего, кроме кнопочки для отказа «Нажмите отмену на клавиатуре». Дальше я ввожу карту, тут же появляется табличка «Пожалуйста, подождите». После этого привычное для нас окошко для ввода ПИН-кода. В целом, мне кажется, если человек внимательно смотрит за тем, какую операцию он выполняет, то не заметить, что ты оплачиваешь чужую услугу или даже чужой номер телефона, невозможно. Не представляю, каким образом могут осуществляться такие мошеннические операции».

В самом Сбербанке говорят, что все системы самообслуживания надежно защищены, а в целях безопасности рекомендуют клиентам внимательно ознакомиться с информацией на экране банкомата и также обращать внимание на наличие поблизости подозрительных лиц. В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900.

Выбор операции без ввода ПИН-кода — это просто настройка банкомата, говорит замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин:

— Тут не совсем уязвимость как таковая, а именно невнимательность пользователей. Основная проблема в том, что можно запросить карту и ПИН-код после совершения операции. У каких-то банкоматов и платежных терминалов так возможно, у каких-то нет. Это особенности реализации. Наверное, единственная претензия может быть разве что в том, чтобы сделать надписи крупнее, чтобы следующий пользователь был предупрежден, особенно учитывая, что в основном контингенте Сбербанка пенсионеры и пожилые люди. Называть это какой-то невероятной уязвимостью, наверное, очень громко сказано. Люди могут просто ждать полторы минуты перед тем, как начинать операцию в банкомате, и они гарантированно будут защищены.

— Это проблемы самого клиента, что он недосмотрел? Банк каким-то образом может помочь человеку?

— В теории, если операция не успела пройти, можно ее заморозить, заблокировать. Но мошенники обычно используют, из того, что я слышал, оплату на мобильные телефоны, а они проходят мгновенно, деньги туда переходят и там их сразу же снимают. Я бы отметил еще тот момент, что там надписи на русском языке большие, и, наверное, иностранцу, который стоит в очереди, будет не очень просто разобраться, что происходит в этом банкомате или терминале оплаты.

Между тем на сайте Banki.ru клиентка пишет, что в ТЦ «Мега Белая Дача» с ее карты списали на чью-то мобильную связь 7 тысяч рублей. Как указано в ответе Сбербанка, проверка показала, что на экране банкомата было сообщение «Чтобы завершить платеж, вставьте карту». Сбоев в работе устройства не зафиксировано.

https://www.bfm.ru/news/414613

Поделиться22019-05-22 04:09:55

Автор: snezhinka
Администратор
Зарегистрирован: 2008-06-30
Приглашений: 0
Сообщений: 58685
Уважение: [+410/-21]
Позитив: [+458/-283]
Провел на форуме:
1 год 0 месяцев
Последний визит:
2020-03-18 05:07:47

Мошенники взяли тайм-аутом

Операции в терминалах Сбербанка прерываются на хищения

Газета "Коммерсантъ" №84 от 20.05.2019, стр. 1

Участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее.

На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тыс. руб. на чужой счет в МТС. Еще один клиент банка рассказал “Ъ”, что лишился по той же схеме еще большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: "вставьте карту, введите пин-код…" — и 15 тыс. улетело на оплату чужого телефона». Потерпевший обратился в Сбербанк.

Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.

Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. “Ъ” провел эксперимент: один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен.

При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты.

Собеседник “Ъ”, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.

Опрошенные “Ъ” эксперты отметили, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала. Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты,— такой сценарий реализован в ИПТ многих банков.

Так, в Газпромбанке сообщили, что в их терминале ввод пин-кода происходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа. В «ФК Открытие» “Ъ” отметили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим вставлением карты, однако сумма, номер телефона и подтверждение платежа проходят после вставления карты и ввода пин-кода, что также исключает возможность подобной ошибки. При этом модель устройства значения не имеет, только настройки.

Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте. В опрошенных “Ъ” банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий,— отмечают в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает господин Царев.

Герман Греф, президент Сбербанка, 6 июля 2018 года

Так ли защищены клиенты Сбербанка, как мы? Честный ответ — наши клиенты не защищены

Сбербанк еще в 2016 году сообщал о внедрении единого управления сетью банкоматов и платежных терминалов, в связи с чем эксперты заключили, что исправить сценарий и сократить тайм-аут не составит труда.

Однако в самой кредитной организации не видят проблемы. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц,— указали там.— В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900». На вопросы “Ъ” о том, сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тыс. банкоматов.

Вероника Горячева, Вадим Арапов

Авторы: Вероника Горячева

https://www.kommersant.ru/doc/3974847?from=other_read

Страница: 1