В Сбербанке на мошенников «работает» время

Клиенты Сбербанка все чаще жалуются на хищение их средств с помощью платежных терминалов. Эксперты по безопасности видят серьезные ошибки в работе устройств самообслуживания этой финансовой организации.

Как стало известно журналистам газеты «КоммерсантЪ», алгоритм мошенничества прост – злоумышленник начинает на терминале операцию, не вставляя карту. Затем, не завершая ее, отходит. На завершение операции терминал дает 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего.

По словам источника в правоохранительных органах, первые случаи таких хищений появились полгода назад. Однако в последние две недели количество обращений граждан в полицию по этому поводу резко возросло.

«Во всех случаях хищение было при наличии очереди к терминалу», – уточнил собеседник издания.

Эксперт RTM Group Евгений Царев полагает, что тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор.

«Необходимо перенастроить платежные устройства, сократив время сессии», – считает он.

Как пояснили опрошенные эксперты, в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала. К примеру, есть возможность настроить устройство так, чтобы сначала выбирался способ оплаты – карта или наличные, и лишь затем уже вводились реквизиты.

Кстати, подобный сценарий реализован в ИПТ многих финансовых организаций. Так, в Газпромбанке ввод пин-кода в терминале происходит в начале операции. То же самое и в Промсвязьбанке (ПСБ), где клиент сначала выбирает средство платежа. В ФК «Открытие» сообщили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим вставлением карты, однако сумма, номер телефона и подтверждение платежа проходят после вставления карты и ввода пин-кода. Так что здесь также исключены возможности «ошибок», как в «Сбере».

Кроме того, эксперты указали на слишком длительный тайм-аут у терминалов Сбербанка, ведь в других финансовых организациях отводятся лишь «базовые» 30 секунд.

«Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий. Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть», – пояснил источник в Почта Банке.

Отметим, что в «Сбере» в целом по состоянию на конец прошлого года было 77 тыс. банкоматов. Еще в 2016 году банк сообщал о внедрении единого управления сетью банкоматов и платежных терминалов, а это, по мнению экспертов, позволит финансовой организации без особого труда исправить сценарий и сократить тайм-аут автоматических устройств.

«Финансовая газета»