Азартная игра «Оплати чужой счет»

В Сбербанке призывают клиентов быть внимательнее к сообщениям на экранах банкоматов и к соседям по очереди. Фото: globallookpress.com

Невнимательные клиенты Сбербанка, торопившиеся выполнять операции с электронными платежами, стали жертвами мошенников и оплатили чужие счета


Тревожная новость для пользователей новыми банкоматами Сбербанка. Невнимательные граждане, торопившиеся выполнять операции с электронными платежами, стали жертвами мошенников и оплатили чужие счета. В банке проблему признают, но о мерах по ее решению пока не сообщают.

Сюжеты на одно лицо: вставленная карта, введенный ПИН-код — и моментальное пиратское списание круглой суммы со счета. Как такое возможно? Неужто хакеры взломали программное обеспечение крупнейшего банка? Нет, просто хакеры нашли способ извлечь выгоду из несовершенства программного обеспечения.

В течение года Сбербанк устанавливал новые банкоматы, рассчитанные на обработку бесконтактных карт. Их меню и программное обеспечение заметно отличаются от функционала прежних моделей. Раньше банкоматы использовали привычный алгоритм: ввод карты, авторизация, доступ к меню, совершение операции. Новые устройства в ряде случаев предполагают обратный порядок действий: доступ к меню, оформление платежа, ввод карты, авторизация. Именно этим и стали пользоваться мошенники.

Обычно все происходит в час пик, когда к банкоматам выстраиваются очереди. Человек в бейсболке с широким козырьком колдует над клавиатурой, потом забирает карту и быстро уходит. Если следующий клиент вставит в приемное устройство свою карту, не глядя на экран, и автоматом введет ПИН-код, то с большой долей вероятности рискует оплатить подготовленный мошенниками счет.

Мы провели эксперимент. Нашли в центре столицы отделение с банкоматами нового образца и проделали часть операции — сформировали платеж и сделали паузу на заключительном этапе перед авторизацией. На экране появилось сообщение: «Для завершения платежа используйте карту или устройство». Но все ли читают, что там написано, особенно если зрение слабое? Далее на экране возникают сумма и назначение платежа, согласившись с которыми можно ввести ПИН-код. Проигнорировать такое количество предупреждений может очень рассеянный или далекий от пользования современной техникой человек. Но таких, как выясняется, немало.

В Сбербанке призывают клиентов быть внимательнее к сообщениям на экранах банкоматов и к соседям по очереди. И обо всех подозрительных ситуациях просят информировать службу безопасности банка по телефону: 900. Хотя можно и нужно идти дальше призывов к бдительности.

«Мы имеем дело с уязвимостью программного обеспечения нового оборудования. Проблема была выявлена полгода назад, но до сих пор не устранена. Непонятно, зачем нужно было вводить обратный порядок авторизации, после того как клиенты привыкли к другому алгоритму. Это сбивает с толку людей, особенно пожилых. И для чего нужен длительный тайм-аут в сессии: прежде чем завершить текущую операцию, банкомат с последнего действия клиента ждет целых 90 секунд. Базовый период ожидания в других банкоматных сетях — 30 секунд. Для меня загадка, почему банк до сих пор не провел работу над ошибками и не произвел перепрограммирование», — недоумевает специалист по информационной безопасности Максим Кривошеев.

Скорее всего, такие работы ведутся, но Сбербанк предпочел их не афишировать, чтобы не раздувать скандал. А пока уязвимость в программном обеспечении существует. Любителям же легкой наживы юристы напоминают о перспективе уголовного преследования по ст. 159 УК РФ «Мошенничество». Количество камер видеонаблюдения в банкоматах и в банкоматных залах доподлинно известно только сотрудникам службы безопасности. Так что, как ни закрывай лицо, остаться неузнанным все равно едва ли удастся.

Общественная палата предложила заменить смертную казнь «пожизненной изоляцией преступников от мира». Как вы относитесь к такой идее?