Как работает новая схема кражи денег из банкоматов Сбербанка?
По данным газеты «Коммерсантъ», устройства позволяют злоумышленнику выбрать операцию без банковской карты и оставить ее незавершенной
Фото: depositphotos.com
Клиенты Сбербанка стали чаще жаловаться на хищение средств через терминалы, пишет газета «Коммерсантъ». По словам собеседников издания, в сценарии работы устройств есть недочеты.
Алгоритм прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. В результате следующий человек видит на экране предложение вставить карту и ввести ПИН-код. Таким образом, предыдущая операция автоматически заканчивается, а клиент банка лишается своих денег.
Мошенничество срабатывает в том случае, если жертва успевает ввести ПИН-код в течение полутора минут, в противном случае терминал прерывает операцию. Обозреватель Business FM Александра Сидорова проверила, как работает схема.
«Я выбрала «мобильную связь МТС». Дальше надо было ввести мой номер телефона, проверить данные платежа. После вводилась сумма. Финальная стадия: «Платеж подготовлен», карту я все еще не ввела. Проверяю все данные, нажимаю на кнопочку «оплатить картой Сбербанка», появляется белое окошко: «Чтобы завершить платеж, используйте карту или устройство». Дальше наименование: МТС и сумма платежа. Больше на этом экране не было ничего, кроме кнопочки для отказа «Нажмите отмену на клавиатуре». Дальше я ввожу карту, тут же появляется табличка «Пожалуйста, подождите». После этого привычное для нас окошко для ввода ПИН-кода. В целом, мне кажется, если человек внимательно смотрит за тем, какую операцию он выполняет, то не заметить, что ты оплачиваешь чужую услугу или даже чужой номер телефона, невозможно. Не представляю, каким образом могут осуществляться такие мошеннические операции».
В самом Сбербанке говорят, что все системы самообслуживания надежно защищены, а в целях безопасности рекомендуют клиентам внимательно ознакомиться с информацией на экране банкомата и также обращать внимание на наличие поблизости подозрительных лиц. В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900.
Выбор операции без ввода ПИН-кода — это просто настройка банкомата, говорит замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин:
— Тут не совсем уязвимость как таковая, а именно невнимательность пользователей. Основная проблема в том, что можно запросить карту и ПИН-код после совершения операции. У каких-то банкоматов и платежных терминалов так возможно, у каких-то нет. Это особенности реализации. Наверное, единственная претензия может быть разве что в том, чтобы сделать надписи крупнее, чтобы следующий пользователь был предупрежден, особенно учитывая, что в основном контингенте Сбербанка пенсионеры и пожилые люди. Называть это какой-то невероятной уязвимостью, наверное, очень громко сказано. Люди могут просто ждать полторы минуты перед тем, как начинать операцию в банкомате, и они гарантированно будут защищены.
— Это проблемы самого клиента, что он недосмотрел? Банк каким-то образом может помочь человеку?
— В теории, если операция не успела пройти, можно ее заморозить, заблокировать. Но мошенники обычно используют, из того, что я слышал, оплату на мобильные телефоны, а они проходят мгновенно, деньги туда переходят и там их сразу же снимают. Я бы отметил еще тот момент, что там надписи на русском языке большие, и, наверное, иностранцу, который стоит в очереди, будет не очень просто разобраться, что происходит в этом банкомате или терминале оплаты.
Между тем на сайте Banki.ru клиентка пишет, что в ТЦ «Мега Белая Дача» с ее карты списали на чью-то мобильную связь 7 тысяч рублей. Как указано в ответе Сбербанка, проверка показала, что на экране банкомата было сообщение «Чтобы завершить платеж, вставьте карту». Сбоев в работе устройства не зафиксировано.