Мошенники нашли новый способ красть деньги клиентов Сбербанка через терминалы

В последнее время резко возросли случаи хищения средств клиентов Сбербанка с помощью платежных терминалов, сообщает Коммерсантъ. В банке призывают клиентов быть осмотрительнее, так как алгоритм мошенничества связан с особенностями платежных терминалов. Если клиент пожелает совершить платеж или перевод, но прервет операцию, изъяв карту из терминала, у него будет 90 секунд, чтобы вставить её и продолжить операцию. Если же будет вставлена новая карта, в данном случае —невнимательной жертвы, то платеж будет совершен с неё.

С прошлой недели в интернете стали распространяться сообщения о случаях хищения денег с использованием информационно-платежных терминалов Сбербанка. Во всех описанных случаях схема была одинаковой. Пострадавший вставлял карту в терминал, вводил пин-код, и с его счета тут же списывалась крупная сумма денег. «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я, как обычно, увидел: «вставьте карту, введите пин-код…» — и 15 тыс. улетело на оплату чужого телефона», — рассказал один из потерпевших.

Обратившимся после хищений в компанию пояснили: платежные терминалы настроены таким образом, что можно сначала выбрать назначение платежа, сумму — и только в самом конце способ оплаты, картой или наличными. Если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, её продолжит.

Для совершения хищений не нужно обладать особыми знаниями или пользоваться вредоносным программным обеспечением. Издание приводит данные о проведении следующего эксперимента: один из сотрудников ввел свой номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту его коллега вставила карту, терминал предложил ей ввести пин-код, и счет чужого телефона был тут же успешно пополнен. После повторной проверки тайм-аут терминала (время, после которого терминал прерывает операцию) был определён в размере 1,5 минуты.

Собеседник издания в правоохранительных органах рассказал о том, что первые единичные случаи таких хищений появились ещё полгода назад. Однако за последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было совершено при наличии очереди к терминалу, добавил он. 

Опрошенные изданием эксперты отмечают, что проблема заключается прежде всего в алгоритме работы платежного терминала, а это — прерогатива банка, которому принадлежит система. Так, в других банках, к примеру, в Газпромбанке, клиент вводит пин-код в начале операции, а в терминалах Промсвязьбанка клиент сначала выбирает средство платежа. Также в «ФК Открытие» изданию рассказали, что в алгоритмах платежных терминалов экс-Бинбанка есть сходная возможность выбора платежа с последующим вставлением карты. Однако отметили, что сумма, номер телефона и подтверждение платежа вводятся клиентом лишь после вставления карты и ввода пин-кода, что исключает возможность хищения по указанному сценарию. При этом модель устройства значения не имеет, только настройки.

Как отметили эксперты, вторая важная часть проблемы — слишком длительный тайм-аут. Так, в опрошенных изданием банках «базовый» тайм-аут составляет всего лишь 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — рассказали изданию в Почта-банке. — Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

Однако в самом Сбербанке проблемы в происходящем не видят. Так, за прошедшие полгода с момента первых случаев хищений ситуация так и не была исправлена. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц. В случае возникших сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900», — заявили в организации.

На вопросы издания о том, сколько терминалов банка работают по опасному сценарию, количестве клиентов, пострадавших от подобных атак, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тыс. банкоматов.

Подписывайтесь на наш канал в Telegram: @incnews