СМИ рассказали о новой схеме мошенничества через терминалы Сбербанка

СМИ рассказали о новой схеме мошенничества через терминалы Сбербанка
Общество

РИАМО – 20 мая. Клиенты Сбербанка все чаще стали жаловаться на хищение их средств с помощью платежных терминалов, так, мошенник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит, машина дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны деньги, сообщает в понедельник газета «Коммерсантъ».

Эксперты по безопасности находят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же учреждении просто призывают клиентов быть внимательнее.

«На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тысяч рублей на чужой счет в МТС», – отмечается в сообщении.

Еще один клиент банка заявил изданию, что лишился по той же схеме еще большей суммы.

«Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: «вставьте карту, введите пин-код» — и 15 тысяч улетело на оплату чужого телефона», – посетовал собеседник.

Мужчина обратился в Сбербанк. Там ему разъяснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты – картой или наличными.

«И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает», – подчеркнули в банке.

На практике, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО.

Издание провело собственный эксперимент.

«Один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен. При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты», – добавляется в материале.

Кроме того, собеседник газеты близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад.

«Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу», – уточнил он.

Эксперты уверены, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала.

«Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты, – такой сценарий реализован в ИПТ многих банков», – дополняется в статье.

В Газпромбанке заявили, что в их терминале ввод пин-кода происходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа.

Вторая проблема, как говорят специалисты заключается, в слишком длительном тайм-ауте. В опрошенных изданием банках назвали «базовым» тайм-аут 30 секунд.

«Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий. Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть», – рассказали в Почта-банке.

По мнению эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, подытожил он.