Сделали перерыв. Мошенники нашли уязвимости в сценарии банковских терминалов
В российском сегменте Всемирной паутины стали все чаще появляться сообщения о новом виде мошенничества, связанном с неверной настройкой сценария работы терминалов. Мошенникам, даже без применения специальных знаний или вредоносного ПО, легко удается обманывать банковских клиентов, похищая с их карт деньги. Пока эксперты говорят о необходимости скорректировать сценарии работы устройств банковского самообслуживания, банки призывают держателей карт усилить бдительность.
Новая схема мошенничества до того проста и примитивна, что сначала ее можно принять просто за ошибку в работе терминала, «неправильно» списавшего сумму. Ее суть состоит в том, что мошенник начинает в банковском терминале операцию по оплате – например, вводит номер сотового телефона, счет которого собирается пополнить. Но затем, не вставляя карту для оплаты, отходит от терминала. Следующий в очереди клиент вставляет карту в слот терминала и вводит свой ПИН-код, после чего средства с его карты списываются по запросу предыдущего клиента – например, на оплату его сотового телефона.
Все жертвы нового вида мошенничества – пользователи терминалов Сбербанка РФ. Один из случаев получил очень широкую огласку в социальных сетях и мессенджерах: пострадавший заявил, что намеревался совершить операцию в терминале, установленном в одном из отделений Сбербанка РФ. Он вставил карту в терминал, ввел ПИН-код, и с его счета были списаны 11 тыс. рублей в счет оплату незнакомого номера абонента МТС. Еще один клиент Сбербанка по аналогичной схеме лишился суммы в 15 тыс. рублей.
По словам обманутых таким способом держателей карт, ничего нового или необычного в схеме работы устройства самообслуживания не было: подойдя к терминалу, они видели на экране традиционные знакомые надписи «вставьте карту» и «введите ПИН-код». Первоначально неверное списание суммы воспринимается клиентом как сбой в работе терминала. Однако при обращении пострадавших в Сбербанк РФ им пояснили: платежный терминал настроен таким образом, что сначала пользователь выбирает назначение платежа и сумму, и только затем – способ оплаты (картой или наличными). Выбрав опцию «оплата картой» и не завершив операцию, мошенник отходит от терминала, а следующий клиент, вставив свою карту, начатую мошенником операцию завершает. Терминал настроен таким образом, что на завершение начатой операции дает 90 секунд (1,5 минуты), в которые как раз и «укладывается» ничего не подозревающая жертва.
Как сообщили представители органов МВД РФ, первые сообщения от пострадавших от нового вида мошенничества в терминалах стали поступать около 6-ти месяцев назад, а последние 2-3 недели их количество резко возросло. Общим во всех случаях было одно – к терминалу всегда стояла очередь.
Эксперты в сфере безопасности говорят о серьезных ошибках в сценарии работы устройств самообслуживания Сбербанка РФ. Как заявил Евгений Царев, эксперта RTM Group, специализирующейся на подготовке юридически значимых заключений по направлению информационных технологий и информационной безопасности, время ожидания в 1,5 минуты представляет серьезную уязвимость, причем не техническую, а социальную. Неподготовленный пользователь вполне может вставить карту в слот терминала, не посмотрев на монитор. Необходимо перенастроить терминалы банковского самообслуживания, сократив время сессии.
Помимо этого, считают эксперты, у банка есть возможность настроить устройство так, что сначала клиент должен будет выбрать способ оплаты (картой или наличными), ввести ПИН-код, а уже затем – реквизиты платежа и его подтверждение. Именно по такому сценарию работают сети платежных терминалов большинства российских банков, что исключает возможность подобной ошибки.
В самом Сбербанке РФ, как сообщают СМИ, уязвимостей в сценарии терминалов не отмечают, а самих клиентов призывают быть более бдительными, внимательно знакомиться с информацией на экране банкомата, а также отмечать, нет ли поблизости подозрительных лиц. При любом сомнении от проведения операции лучше отказаться, считают в банке.
К началу 2019 года, по данным ЦБ РФ, кредитно-финансовые организации установили на территории России свыше 200 тыс. банкоматов и терминалов банковского самообслуживания, порядка 127, 5 тыс. из которых оснащены с функцией оплаты товаров и услуг. Из общего числа банкоматов на сеть банковского самообслуживания Сбербанка РФ приходится около 77 тыс. устройств.
Смотреть все статьи по теме "Информационная безопасность"
