Вклады частных лиц: проценты по вкладам, новости банков, страхование вкладов
20.05.2019

Клиенты Сбербанка жалуются на похищение средств через терминалы

Уязвимость в программном обеспечении информационно-платёжных терминалов Сбербанка позволяет мошенникам похищать денежные средства клиентов.
 
Преступная схема выглядит следующим образом: злоумышленник запускает на терминале операцию по списанию средств, не вставляя карту. Поскольку терминал выделяет полторы минуты на завершение операции, то средства списываются со счёта другого клиента, который в этот период вставит свою карту в устройство.
 
Это становится возможным благодаря алгоритму работы устройства, в котором можно выбрать сумму платежа и его назначение, и только потом указать способ оплаты - наличными или картой. Если мошенник выбрал пункт «оплата картой», но карту не вставил, то средства будут сняты со следующей карты, которая будет вставлена в терминал.
 
Случаи хищений клиентских средств при помощи данной схемы всегда наблюдались при наличии очереди к терминалу.
 
Специалисты считают, что Сбербанку следует пересмотреть алгоритмы работы с терминалом, дабы избежать выгодных для мошенников сценариев. Кроме того, тайм-аут в 90 секунд признан ими слишком длинным: базовым и вполне достаточным в большинстве банков является время ожидания в 30 секунд. Именно столь длинный таймаут является серьёзной уязвимостью, не столько в техническом, сколько в социальном плане, ведь пользователь, не знакомый с нюансами работы терминала, может воспользоваться им, не посмотрев предварительно на монитор.

Источник: Средства.ру

Последние новости:





© 2003 — 2020 Средства
При полном или частичном использовании материалов ссылка на Sredstva: вклады и кредиты России обязательна.
Рейтинг@Mail.ru