Некоторые пользователи интернет-банка и мобильного банка в последнее время стали осваивать принципы округления чисел и конвертации средств на счетах для получения дополнительного дохода. Этот доход, по оценкам экспертов, может достигать 15 тыс. рублей в месяц. Об этом «Известиям» рассказали в компании Positive Technologies, специализирующейся на вопросах безопасности дистанционного банковского обслуживания.
Новая схема получения дохода, появившаяся в 2016 году, довольно проста: пользователь интернет-банка переводит, например, 0,29 рубля (29 копеек) в доллары. Если курс этой валюты составляет 65 рублей, то 0,29 рубля соответствует 0,004461 доллара. Эта сумма при конвертации будет округлена до двух знаков после запятой по правилам банков, то есть до 0,01 доллара, что соответствует 1 центу. Затем нарушитель переводит 1 цент США обратно в рубли. В результате перевода он получит 0,65 рубля (65 копеек). Таким образом, за одну операцию клиент получает 0,36 рубля (36 копеек), то есть больше, чем вложил.
В компании Positive Technologies рассказали, что подобные схемы называются «атаками на округление» и клиенты в кризис стали активно прибегать к ним, используя уязвимости систем дистанционного обслуживания банков для подобных манипуляций. По оценкам Positive Technologies, 25% дистанционных систем обслуживания российских банков (интернет- и мобильный банки) подвержены «атакам на округление».
По словам старшего эксперта отдела безопасности банковских систем Positive Technologies Тимура Юнусова, «атаки на округление» используются клиентами банков для мелких краж — на суммы до 15 тыс. рублей в месяц, которые складываются из копеек. Каждая операция, как правило, оценивается именно копейками, чтобы кредитная организация не обратила внимание на манипуляции. Собеседник пояснил, что принцип округления известен со времен появления онлайн-игр. Банки подобные инциденты и объемы ущерба не раскрывают.
«Если у банка украдут в течение месяца 10—50 тысяч рублей, то данный факт, скорее всего, никто разглашать не будет», — говорит Тимур Юнусов. По его словам, банки обнародуют информацию по хищениям и утечкам лишь тогда, когда крадут деньги у клиентов либо хакерская атака «разоряет банк» (речь идет о миллионных кражах).
В Positive Technologies отметили, что «атаками на округление» занимаются и кибермошенники, которые также используют эту практику после взлома интернет- или мобильного банка клиентов российских банков. Хакеры атакуют интернет- и мобильные банки небольших кредитных организаций за пределами топ-100 по активам, дистанционные системы которых куда менее защищены, чем у крупных игроков.
Комментарии
пс. Банку очень легко защититься от такого, просто следуя по пути Олежки и введя комиссию в 1 цент за каждую конвертацию валюты, начиная с пятой в месяц.
Так что у нас описанное в статье не пройдёт.
Более того, если курс продажи 70,01, то за 70 копеек вы 1 цент не купите, Сбербанк Онл@йн только за 71 копейку даст купить, а иначе просто не дает выполнить операцию и ругается что средств недостаточно! В случае же продажи этого цента при курсе покупки 65,99 Вы так же не получите 70 копеек при продаже своего цента, а получите 65 копеек, таким образом "наварить" в Сбербанк Онл@йн не выйдет!
Ну, не за одну, а за ДВЕ....
Чтобы заработать 15'000 рублей, необходимо будет выполнить более 80'000 операций...
1) эта "атака" старше меня (описание встречал в книгах 70-80 годов)
2) много операций за промежуток времени уже само по себе подозрительно, и если этот факт у банка не вызывает какой-либо реакции, то "так ему и надо"
3) очень нравится что последнее время делает Positive Technologies: очень понятно и "с картинками" описывает (пусть и довольно древние вещи, пусть и с целью пиара)