А вы нажимаете в банкомате Сбера на «Сброс» ?

0 40

А вы нажимаете в банкомате Сбера на "Сброс" ?

Сначала, прочитав с утра в «Коммерсанте» про новое и весьма дикое по лёгкости облапошивания и невозможности спасти деньги, мошенничество в банкоматах Сбербанка, я подумала, что статья — заказные происки конкурентов и подкоп под Грефа.
Ан нет.
Реально новая опасность, в которую в эти дни влипло всё больше пострадавших, притом на круглые суммы.

Вы хотите снять деньги, положить, перевести, оплатить через банкомат, и вместо этого не только получаете дулю без мака, но и пустой счёт на карте.
Теперь это реальность, после самоличного нажатия всего-то пары кнопок.

 

Деньги, едва вы вставили карту и ввели свой пин, внезапно уплывают из-под носа на оплату какого-то (не вашего) номера телефона.

Далее вы получаете назад свою карту с чеком, на котором вот такая не радующая информация.
Конкретный случай на Банки.ру, но он уже не единичный как полгода назад, не редкий, а в мае — типовой.

Эксперт поясняет «за схему».
На мониторах банкоматов идёт реклама бесконтактных карт, вот тут-то и собака порылась. 
Злоумышленник, используя такую карту, получает доступ к основному меню банкомата. 
Далее производит нужные манипуляции, начиная, но не доводя до конца необходимую операцию и отходит от банкомата, например, за угол. 
Тем временем следующий чел вставляет свою карту, вводит ПИН-код, а тут оп, операция завершается, денежки тю-тю, то есть, списываются со счёта.

Что можно сделать заранее во избежание.
Посмотреть, в каком состоянии меню находится банкомат.
И нажать на клавишу «Сброс» (она часто выделена красным).
Потом начинайте свою операцию с «нуля». 
С волнением, теснящим грудь ..

 

 

Участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее.

На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тыс. руб. на чужой счет в МТС. Еще один клиент банка рассказал “Ъ”, что лишился по той же схеме еще большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: «вставьте карту, введите пин-код…» — и 15 тыс. улетело на оплату чужого телефона». Потерпевший обратился в Сбербанк.

Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.

Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. “Ъ” провел эксперимент: один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен.

 

При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты.

Собеседник “Ъ”, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.

Опрошенные “Ъ” эксперты отметили, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала. Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты,— такой сценарий реализован в ИПТ многих банков.

Так, в Газпромбанке сообщили, что в их терминале ввод пин-кода происходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа. В «ФК Открытие» “Ъ” отметили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим вставлением карты, однако сумма, номер телефона и подтверждение платежа проходят после вставления карты и ввода пин-кода, что также исключает возможность подобной ошибки. При этом модель устройства значения не имеет, только настройки.

Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте. В опрошенных “Ъ” банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий,— отмечают в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает господин Царев.

Герман Греф, президент Сбербанка, 6 июля 2018 года

А вы нажимаете в банкомате Сбера на "Сброс" ?

Так ли защищены клиенты Сбербанка, как мы? Честный ответ — наши клиенты не защищены

Сбербанк еще в 2016 году сообщал о внедрении единого управления сетью банкоматов и платежных терминалов, в связи с чем эксперты заключили, что исправить сценарий и сократить тайм-аут не составит труда.

Однако в самой кредитной организации не видят проблемы. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц,— указали там.— В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900». На вопросы “Ъ” о том, сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тыс. банкоматов.

Вероника Горячева, Вадим Арапов

Оставьте ответ

Ваш электронный адрес не будет опубликован.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy