Клиенты Сбербанка жалуются на хищение своих средств с использованием информационно-платежных терминалов (ИПТ) во время тайм-аута устройства, сообщает «Коммерсант».
Злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего.
Как поясняют в Сбербанке, ИПТ настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце — способ оплаты: картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.
«Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц, — указали в Сбербанке. — В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900».
Собеседник издания, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Во всех случаях хищение происходило при наличии очереди к терминалу, добавил он.
Уязвимости в новых продуктах ищут белые хакеры.
19.05.2019 21:27По мнению экспертов, первая проблема — на стороне кредитной организации и состоит в самом сценарии работы терминала.
Вторая проблема состоит в слишком длительном тайм-ауте, отмечают эксперты. В опрошенных изданием банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — отмечают в Почта Банке. — Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».
По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает он.
Комментарии