Вклады частных лиц: проценты по вкладам, новости банков, страхование вкладов
27.05.2016

Атака на округлении: как у банков крадут на обменных курсах валют

Банковские мошенники совершенствуют свои схемы. Теперь они зарабатывают на разнице при конвертации из одной валюты в другую. Вроде бы, это головная боль банка, а не обычного его клиента. Однако попасться на такой схеме могут и рядовые граждане.

Многие на уроках математики в школе думали, что многое из пройденного не пригодится им в жизни. Но на некоторых законах и правилах мошенники научились зарабатывать деньги. Например, на принципах округления чисел. Для получения дополнительного дохода кибермошенники используют округление при конвертации средств на счетах через интернет- и мобильные-банки.

Такой доход может достигать 15 тыс. рублей в месяц. Об этом «Известиям» рассказали в компании Positive Technologies, специализирующейся на вопросах безопасности дистанционного банковского обслуживания.

Схема «атаки на округлении»

Схема «атаки на округлении» заключается в следующем: пользователь интернет-банка переводит небольшую сумму со своего счета в доллары. Пусть для примера это будет
29 копеек. Если курс этой валюты составляет 65 рублей, то сумма в 0,29 рублей соответствует $0,004461. Эта сумма при конвертации будет округлена до двух знаков после запятой по правилам банков — то есть до $0,01, что соответствует 1 центу. Затем нарушитель переводит 1 цент США обратно в рубли. В результате перевода он получит 0,65 рубля (65 копеек). Таким образом, за одну операцию клиент получает 36 копеек (65-29), т.е. больше, чем вложил.

Подобные схемы называются «атаками на округление». По оценкам Positive Technologies, 25% дистанционных систем обслуживания российских банков (интернет- и мобильный банки) подвержены «атакам на округление». Клиенты в кризис стали активно прибегать к таким схемам, используя эти уязвимости банков.

Так из мелких, копеечных сумм скадывается неплохой ежемесячный доход. По оценкам Тимура Юнусова, эта сумма может доходить до 15 тыс. рублей. Каждая операция, как правило, оценивается именно копейками, чтобы кредитная организация не обратила внимание на манипуляции. Совокупный ущерб от таких махинаций банки не раскрывают.

«Если у банка украдут в течение месяца 10−50 тыс. рублей, то данный факт, скорее всего, никто разглашать не будет. Банки обнародуют информацию по хищениям и утечкам лишь тогда, когда крадут деньги у клиентов либо если хакерская атака «разоряет банк» (речь идет о миллионных кражах)», — говорит старший эксперт отдела безопасности банковских систем Positive Technologies Тимур Юнусов.

Банки могут противостоять авторизованным ворам: ограничивать нижнюю сумму перевода, либо вводить проверку «в обе стороны» (при снятии 0,01 цента заново высчитывать сумму снятия с рублевого счета: 0,60 копейки).

Схема «отложенной конвертации»

Однако банкиры отмечают, что такой вариант получения дополнительного дохода гораздо более трудоемкий, чем так называемая «отложенная конвертация»
При «отложенной конвертации» клиент создает платежку по конвертации в интернет-банке и ждет выгодного для себя курса, чтобы провести операцию.

«Клиент смотрит, в какую сторону пойдет курс. Если в выгодную для него сторону, то он проводит операцию. Но делает это по «старому» более выгодному на текущий момент курсу, который запомнила система (поскольку распоряжение уже создано, осталось только подтвердить паролем). Если клиент видит тренд изменения курса в невыгодную для него сторону, то он просто отменяет операцию» , — пояснил изданию представитель одного крупного банка.

Угроза кибермошенничества рядовым клиентам банков

Кибермошенники также используют описанные схемы после взлома интернет- или мобильного банка клиентов российских банков. Они атакуют интернет- и мобильные банки небольших кредитных организаций, дистанционные системы которых куда менее защищены, чем у крупных игроков. Таким образом, от атаки кибермошенников не застрахован ни один клиент банка.

По оценкам Digital Security, 23 млн россиян активно пользуются интернет-банком для совершения трансакций через сеть, заходя в личный кабинет с компьютера; а 17 млн граждан — мобильный банк (через смартфоны/планшеты; на них устанавливаются специальные приложения от банков).

Однако эксперты успокаивают рядовых клиентов банков, использующих дистанционные каалы обслуживания. Такие схемы мошенничества не очень распространены. К примеру, по словам гендиректора компании Zecurion Алексея Раевского, хакеры прибегают к «атакам на округление» менее чем в 1% случаев.

«Сейчас есть возможности хищения гораздо больших сумм за гораздо меньшее количество трансакций», — отмечает он.

Как защититься от кибермошенников

Степень защищенности мобильного банка зачастую зависит от типа устройства и его операционной системы. Банковские приложения для IOS являются более защищенными, чем на базе Android, отметили в Positive Technologies.

«В 2013 и 2014 годах на банковские приложения для IOS приходилось 2,3 уязвимости, в 2015 году — уже 1,6, т.е. IOS стала еще более защищенной операционной системой. На приложения для Android все три года приходится по 3,8 уязвимости», — констатировали в компании.

Но главное — это все-таки культура клиента: когда клиент реагирует, например, на имитацию обращения банка через фейковое письмо, подмену страницы и SMS или же гражданин добровольно сообщает кому-то свои логины-пароли, он берет на себя повышенные риски.

Источник: Средства.ру




Добавить комментарий или вопрос


© 2003 — 2016 Средства
При полном или частичном использовании материалов ссылка на Sredstva: вклады и кредиты России обязательна.
Рейтинг@Mail.ru