Обнаружена простая схема мошенничества через терминалы Сбербанка
В интернете стали появляться сообщения о случаях хищения средств через платёжных терминалы Сбербанка, пишет «Коммерсантъ». Судя по всему, это довольно старая уязвимость, но только в последнее время её стали активно эксплуатировать злоумышленники.
Суть в следующем. Информационно-платёжные терминалы Сбербанка настроены таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. Так вот, злоумышленник выполняет все эти шаги и выбирает вариант «Оплата картой», после чего достаёт свою карту и уходит. Платёж автоматически совершит следующий человек, который вставит свою карту в терминал и введёт пин-код.
Злоумышленник может указать произвольный денежный перевод на крупную сумму. Например, «Коммерсантъ» пишет о жертве мошенничества, который пришёл в отделение банка, вставил карту в терминал, ввёл пин-код — и с его счета моментально списались 11 000 рублей на чужой счёт в МТС. Другой клиент по той же схеме лишился ещё большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: «Вставьте карту, введите пин-код…» — и 15 000 улетело на оплату чужого телефона», — рассказал он.
Злоумышленнику остаётся только оперативно обналичить деньги со счёта МТС, что не составляет никакого труда. Во-первых, он должен предварительно позаботиться о том, что сим-карта зарегистрирована на другое имя (многие дилеры позволяют оформить сим-карту на другое лицо). После получения денег на счёт нужно быстро их потратить, пока жертва не успела отменить платёж. Система МТС Деньги позволяет быстро вывести финансовые средства со счёта: например, можно потратить их в магазине, перевести на анонимный кошелёк «Яндекс.Деньги» или WebMoney.
Таймаут в терминале составляет полторы минуты. Это время, когда терминал ожидает ввода пин-кода. Если жертва подойдёт позже, то платёж уже будет отменён. Но в оживлённых многолюдных местах схема должна работать отлично, особенно если к терминалу стоит очередь.
Для злоумышленника это довольно рискованный способ мошенничества, потому что пользователей терминала обычно снимает видеокамера, так что мошенника можно вычислить, если он не одел медицинскую маску или кепку с тёмными очками.
Соответственно, для пользователей логичный способ защиты — не вставлять свою карту в терминал и не вводить пин-код, если другой пользователь перед вами скрывает свою лицо и кажется подозрительным, и если после его ухода ещё не прошло полторы минуты.
Собеседник «Коммерсанта», близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение происходило при наличии очереди к терминалу, добавил он.
Эксперты отмечают, что в терминалах других банков стандартные настройки предполагают сначала выбор способа оплаты (карта или наличные), а уже потом ввод реквизитов платежа. С такими настройками подобное мошенничество исключено.
Вторая проблема — в слишком долгом таймауте. В других банках стандартный таймаут составляет 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — сказали в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».
Впрочем, в Сбербанке не считают проблемой текущие настройки терминалов: «Все системы самообслуживания нашего банка надежно защищены, — заявил представитель Сбербанка в комментарии «Коммерсанту». — В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц. В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900».
