Мошенники придумали новый способ кражи денег с карт Сбербанка

Мошенники придумали новый способ кражи денег у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. При этом для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО.

Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд. И если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего, — пишет "Коммерсант".

Так, один из пострадавших пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тысяч рублей на чужой счет в МТС. Еще один клиент банка лишился по той же схеме 15 тысяч рублей, которые "улетели" на оплату чужого телефона.

Потерпевший обратился в Сбербанк, где ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал "оплата картой" и не завершил операцию, то следующий, вставив свою карту, ее завершает.

Единичные случаи таких хищений появились еще полгода назад, однако количество обращений граждан в полицию по этому поводу резко возросло в последние две недели. Во всех случаях хищение было при наличии очереди к терминалу.

При этом в кредитной организации не видят проблемы, ограничиваясь рекомендацией для клиентов внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц.

Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка. Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты, — такой сценарий реализован в ИПТ многих банков.

Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте (время, после которого терминал прерывает операцию). В опрошенных "Коммерсантом" банках назвали "базовым" тайм-аут 30 секунд.

По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор.

Попались незнакомые термины? Открывайте Глоссарий трейдера!

Аналитика FxTeam в Telegram – читайте новости и аналитику первыми!