Актуально Новый способ хищения денег у клиентов "Сбербанка"
Алгоритм мошенничества очень прост: мошенник подходит к терминалу и выбирает какую-либо операцию, не вставляя карту. При этом операцию он не завершает. Когда к банкомату походит новый клиент, вставляет свою карту и вводит пин-код, то деньги списываются уже с него. Это происходит из-за того, что тайм-аут в банкоматах Сбербанка составляет 90 секунд. После этого операция прерывается.
В самом Сбербанке проблемы не видят. Там заверили, что все системы самообслуживания банка надежно защищены, и посоветовали клиентам изучать информацию на экране банкомата и обращать внимание на подозрительных лиц.
Комментирует директор департамента аудита защищенности Digital Security Глеб Чербов.
Первые подобные случаи начались где-то полгода назад, но в последние две недели просто потоком полились. Что происходит?
Г. Чербов: На самом деле происходящее началось не полгода назад, а немного ранее. То есть, это развитие метода мошенничества, которое появился, наверное, с первыми платёжными терминалами, через которые можно было пополнять мобильную связь. Естественно, тогда и речи не шло про использование каких-то банковских карт. Мошенники инициировали транзакцию и оставляли терминал в состоянии, когда нужно вносить деньги. Так как интерфейсы терминалов очень сильно разнились, следующий пользователь мог не придать значения, что терминал сначала просит внести деньги, а потом уже, может быть, запросит, куда их перевести. И таким образом деньги уходили на счёт мошенников.
Здесь надо отметить такой момент, что в данных терминалах появилась такая опция, когда вы, не вставив свою банковскую карту, можете выбрать операцию, которую хотите совершить, проделать все нужные движения и просто её не завершить. По-моему, в терминалах других банков такой опции нет. Там всегда сначала вставляешь карту, а потом начинаешь работать с меню. А Сбер просто почему-то решил не идти по пути такого интерфейса?
Г. Чербов: Причины такой логики интерфейса довольно очевидны, потому что эти терминалы и банкоматы позволяют осуществлять не только платежи с помощью банковской карты, но и принимают наличку.
Но все же банкоматы принимают наличку? И все равно там сначала нужно ввести карту.
Г. Чербов: Здесь ничего не нужно вводить, можно без карты внести наличные. На последнем шаге пользователь действительно имеет возможность выбрать: "Внести наличные" или "Оплатить картой". Также нужно отметить, что на этом последнем шаге на информационном экране предлагается ввести банковскую карту и ввести пин-код для завершения транзакции, там присутствует информация о том, что происходит завершение операции, что осуществляется перевод на номер мобильного оператора и, может быть, даже сумма. Вполне возможно, что здесь мы имеем дело с невнимательностью пользователя. Это не хорошо и не плохо, это совершенно нормально, когда человек, озадаченный каким-то своими делами, выполняет действия, к которым его призывает бездушная машина.
Ну и потом человек, скорее всего, привык к тому, что он обязательно должен сначала вставить карту, а потом он ждёт совершения каких-то других манипуляций, это совершенно нормальный сценарий. И это происходит почти всегда в ситуации, когда стоит очередь к терминалу, каждый хочет побыстрее к нему пройти: один – подошёл, второй – подошёл. По мнению экспертов, ещё одна уязвимость заключается в том, что тот временной лаг между тем, когда вам предлагают вставить карту и проведением операции, составляет 90 секунд (1,5 минуты). В терминалах других банков он составляет 30 секунд. Полторы минуты – это много времени. Если мошенник отошёл прямо перед тобой, ты точно упеешь за это время подойти и вставить карту.
Г. Чербов: Дело в том, что этот временной интервал делается не для предотвращения какого бы то ни было мошенничества. Он делается для того, чтобы терминалами люди могли пользоваться, и это было бы возможно. Бывает, что терминалами пользуются пожилые люди. Им требуется немного больше времени, чтобы достать карту, вспомнить свой пин-код. То есть, полторы минуты – это не какой-то запредельный интервал, эта задержка не несёт в себе функцию предотвращения подобного рода мошенничества. Может быть, конечно, можно было бы более явно на информационном экране обозначить, что предыдущая операция ещё не завершена, но это опять-таки вопрос восприятия, потому что все люди по-разному воспринимают информацию, которую им преподносят. То есть, какие-то слова, может быть, более жирным шрифтом должны быть выделены или более крупным шрифтом.
А избежать подобного мошенничества очень просто. Это относится вообще к любому подобного рода автомату, терминалу или банкомату. Когда вы начинаете их использовать, вы к ним походите, там, как правило, есть клавиатура, с помощью которой вводится пин-код. И на ней есть кнопка "Отмена". Кнопка "Отмена" во всех меню работает, как отмена. То есть, подошли к банкомату и нажали кнопку "Отмена, и банкомат должен вернуться в первоначальное состояние либо на предыдущий шаг. То есть, таким образом вы себя оградите от завершения чей-то чужой транзакции.
Программу "Актуально" ведёт Елена Щедрунова.