Тревожная новость для пользователей новыми банкоматами Сбербанка. Невнимательные граждане, торопившиеся выполнять операции с электронными платежами, стали жертвами мошенников и оплатили чужие счета. В банке проблему признают, но о мерах по ее решению пока не сообщают.
Сюжеты на одно лицо: вставленная карта, введенный ПИН-код — и моментальное пиратское списание круглой суммы со счета. Как такое возможно? Неужто хакеры взломали программное обеспечение крупнейшего банка? Нет, просто хакеры нашли способ извлечь выгоду из несовершенства программного обеспечения.
В течение года Сбербанк устанавливал новые банкоматы, рассчитанные на обработку бесконтактных карт. Их меню и программное обеспечение заметно отличаются от функционала прежних моделей. Раньше банкоматы использовали привычный алгоритм: ввод карты, авторизация, доступ к меню, совершение операции. Новые устройства в ряде случаев предполагают обратный порядок действий: доступ к меню, оформление платежа, ввод карты, авторизация. Именно этим и стали пользоваться мошенники.
Обычно все происходит в час пик, когда к банкоматам выстраиваются очереди. Человек в бейсболке с широким козырьком колдует над клавиатурой, потом забирает карту и быстро уходит. Если следующий клиент вставит в приемное устройство свою карту, не глядя на экран, и автоматом введет ПИН-код, то с большой долей вероятности рискует оплатить подготовленный мошенниками счет.
Мы провели эксперимент. Нашли в центре столицы отделение с банкоматами нового образца и проделали часть операции — сформировали платеж и сделали паузу на заключительном этапе перед авторизацией. На экране появилось сообщение: «Для завершения платежа используйте карту или устройство». Но все ли читают, что там написано, особенно если зрение слабое? Далее на экране возникают сумма и назначение платежа, согласившись с которыми можно ввести ПИН-код. Проигнорировать такое количество предупреждений может очень рассеянный или далекий от пользования современной техникой человек. Но таких, как выясняется, немало.
В Сбербанке призывают клиентов быть внимательнее к сообщениям на экранах банкоматов и к соседям по очереди. И обо всех подозрительных ситуациях просят информировать службу безопасности банка по телефону: 900. Хотя можно и нужно идти дальше призывов к бдительности.
«Мы имеем дело с уязвимостью программного обеспечения нового оборудования. Проблема была выявлена полгода назад, но до сих пор не устранена. Непонятно, зачем нужно было вводить обратный порядок авторизации, после того как клиенты привыкли к другому алгоритму. Это сбивает с толку людей, особенно пожилых. И для чего нужен длительный тайм-аут в сессии: прежде чем завершить текущую операцию, банкомат с последнего действия клиента ждет целых 90 секунд. Базовый период ожидания в других банкоматных сетях — 30 секунд. Для меня загадка, почему банк до сих пор не провел работу над ошибками и не произвел перепрограммирование», — недоумевает специалист по информационной безопасности Максим Кривошеев.
Скорее всего, такие работы ведутся, но Сбербанк предпочел их не афишировать, чтобы не раздувать скандал. А пока уязвимость в программном обеспечении существует. Любителям же легкой наживы юристы напоминают о перспективе уголовного преследования по ст. 159 УК РФ «Мошенничество». Количество камер видеонаблюдения в банкоматах и в банкоматных залах доподлинно известно только сотрудникам службы безопасности. Так что, как ни закрывай лицо, остаться неузнанным все равно едва ли удастся.