В интернете стали появляться сообщения о случаях хищения средств через платёжных терминалы Сбербанка, пишет «Коммерсантъ». Судя по всему, это старая уязвимость, но только в последнее время её стали активно эксплуатировать злоумышленники.
Суть в следующем. Информационно-платёжные терминалы Сбербанка настроены таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. Так вот, злоумышленник выполняет все эти шаги и выбирает вариант «Оплата картой», после чего достаёт свою карту и уходит. Платёж автоматически совершит следующий человек, который вставит свою карту в терминал и введёт пин-код.
Злоумышленник может указать произвольный денежный перевод на крупную сумму. Например, «Коммерсантъ» пишет о жертве мошенничества, который пришёл в отделение банка, вставил карту в терминал, ввёл пин-код — и с его счета моментально списались 11 000 рублей на чужой счёт в МТС. Другой клиент по той же схеме лишился ещё большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: „Вставьте карту, введите пин-код…” — и 15 000 улетело на оплату чужого телефона», — рассказал он.
Злоумышленнику остаётся только оперативно обналичить деньги со счёта МТС, что не составляет никакого труда. Во-первых, он должен предварительно позаботиться о том, что сим-карта зарегистрирована на другое имя (многие дилеры операторов сотовой связи позволяют оформить сим-карту на другое лицо). После получения денег на счёт нужно быстро их потратить, пока жертва не успела отменить платёж. Система «МТС Деньги» позволяет быстро вывести финансовые средства со счёта: например, можно потратить их в магазине, перевести на анонимный кошелёк «Яндекс.Деньги» или WebMoney.
Таймаут в терминале составляет полторы минуты. Это время, когда терминал ожидает ввода пин-кода. Если жертва подойдёт позже, то платёж уже будет отменён. Но в оживлённых многолюдных местах схема должна работать отлично, особенно если к терминалу стоит очередь.
Для злоумышленника это довольно рискованный способ мошенничества, потому что пользователей терминала обычно снимает видеокамера. Мошенника можно вычислить, если он не надел медицинскую маску или кепку с тёмными очками (upd: в комментариях верно заметили, что если нет вывода денег, то мошенник может сослаться на невнимательность, и тогда доказать мошенничество будет практически невозможно).
Соответственно, для пользователей логичный способ защиты — не вставлять свою карту в терминал и не вводить пин-код, если другой пользователь перед вами скрывает свою лицо и кажется подозрительным, и если после его ухода ещё не прошло полторы минуты.
Собеседник «Коммерсанта», близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение происходило при наличии очереди к терминалу, добавил он.
Эксперты отмечают, что в терминалах других банков стандартные настройки предполагают сначала выбор способа оплаты (карта или наличные), а уже потом ввод реквизитов платежа. С такими настройками подобное мошенничество исключено.
Вторая проблема — в слишком долгом таймауте. В других банках стандартный таймаут составляет 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — сказали в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».
Впрочем, в Сбербанке не считают проблемой текущие настройки терминалов: «Все системы самообслуживания нашего банка надежно защищены, — заявил представитель Сбербанка в комментарии «Коммерсанту». — В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц. В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900».
Комментарии (61)
denis-19
20.05.2019 14:12+4Перед использованием терминала нужно нажимать на клавиатуре «Отмена», тогда это все отобъется по задаче, если она была — будет на экране «Отмена операции» гореть…
Хотя когда так платеж заводишь и нажать через карту — окно другое в банкомате СБ со строками сверху — «вставьте карту для оплаты ХХХ рублей» там написано, а не штатное окно со «вставьте карту».
Сегодня тестил эту ситуацию на двух банкоматах — широком и узком. Так что или торопился герой-потеряшка из статьи или не смотрел вообще на экран.
vlivyur
20.05.2019 14:21+1У Сбера несколько разных терминалов, может на каком-то так и отображается. Ну и в режиме ожидания он обычно крутит рекламу, а не пустое окно с текстом.
hokum13
20.05.2019 14:30-1Собственно говоря напомнило старый анекдот.
Это не уязвимость банкомата — это уязвимость человека. Уязвимость не устранимая. Такая-же уязвимость, как и забытые в банкомате карты или деньги.
Можно наверное изменить логику и дизайн банкомата, но это не сильно исправит ситуацию.iig
20.05.2019 15:42+3Это не уязвимость банкомата — это уязвимость человека.
Причем того самого человека, что составлял сценарий работы банкомата. Ведь вывести информационное окно «Вставьте карту, введите пин-код» это ведь намного проще, чем "Для завершения перевода xxx денег на счет ууу Вставьте карту, введите пин-код"hokum13
21.05.2019 23:14Причем того самого человека, что составлял сценарий работы банкомата.
Ну «чукча не факт-чекер, чукча писатель».
Извиняюсь за отвратительное качество фотоПервый вариант банкомата. Для оплаты требует сначала авторизоваться картой. Авторизоваться можно с помощью NFC, примерно как описано в оригинальной статье, т.к. если карту пришлось бы вставлять в карт-ридер, то забрать без отмены платежа не получилось бы.
Второй вариант банкомата. Предварительной авторизации не требует. Набил платеж, выбрал оплату с карты.
Третье фото, как выглядит второй банкомат без набитого платежа (первый выглядел точно так же).
staticmain
20.05.2019 16:33Это не уязвимость банкомата — это уязвимость человека
У других банков какие-то люди другие?
easty
20.05.2019 14:37+8Сбер в своей манере ответил. Типа «Сами виноваты»
Стандартное поведение монополиста. Только выбор другого банка большим количеством людей научит этот банк любить своих клиентов.DrunkBear
20.05.2019 15:11+2В бюджетных организациях с большим скрипом можно продавить бухов на что-то отличное от сбера+мир.
Многие и не знают, что имеют такое право.
PS к тому же, для операции «снять все деньги» особой разницы нет. Только теперь операция усложняется — сначала ткнуть отмену, потом — снять.easty
20.05.2019 15:38Кстати Греф тут хвастался, что банк ни разу не взломали, все потери средств клиентов происходили с участием самих клиентов либо не добросовестных сотрудников. Тут случай как раз по первой схеме. Греф может опять мы тут не причем)) Хотя условия и почву подготовил сам сбер.
Насчет со скрипом, я например агитирую на смену банка своих знакомых, на любой понравившейся из списка поддерживающих моментальный перевод по телефону по схеме ЦБ.DrunkBear
20.05.2019 16:05Мда, похоже на ту самую пожизненную гарантию: вещь сломалась — гарантия кончилась.
Все потери любой b2c компании можно свести или к участию самих клиентов, или к участию сотрудников.
Umpiro
20.05.2019 16:48-1Не знаю что там со взломами, но, видя заголовок 'в системе сбербанк-онлайн снова произошел сбой', я думаю 'что дальше?' 'Cегодня в системе сбербанк-онлайн не произошел сбой'?
Tyusha
20.05.2019 17:35Конечно с участием клиентов! Как иначе! Это же клиенты (зачем-то) положили/заработали деньги себе на счёт. Это помощь мошенникам, не иначе. А так как жуликов поймать сложно, можно посадить клиентов банка, как соучастников.
Popadanec
20.05.2019 19:05Скорее сотрудников СБ Сбера за соучастие. Т.к. они давно знали о уязвимости но ничего не делали. А если не знали, грош им цена как СБ.
enojado_gato
20.05.2019 17:31Добавлю: многие каким-то чудесным образом не знают, что другими банками тоже можно пользоваться, и у этих других банков — внезапно — тоже есть карты)
люди очень боятся перемен, даже таких простых, как выбор другого банка ДАЖЕ для себя, когда это не связано ни с зарплатой, ни с обязательствами.enzain
21.05.2019 11:56Всё просто.
Если бы — рядом с каждым банкоматом сб стоял банкомат ещё какого-то банка ( подчеркиваю — возле каждого банкомата СБ), проблем со сменой банка бы не было.
Но пока этого нет — СБ так и останется монополистом. Потому что снимать деньги в чужом банкомате у нас в большинстве банков — с комиссией позволяется только :)
alexesDev
21.05.2019 16:21И эти банкоматы с кучаей ограничений вроде «макс 15к» и тп. Уже больше года практически не пользуюсь наличными (может быть 5-10к за год снял). В МСК нет проблем, которые мешают отказаться от нала. МСК это 8% населения страны, думаю если бы половина МСК отказалась от сбера, то сбер бы опомнился.
enzain
21.05.2019 16:36А вы не искали статистику — сколько человек обходится без нала?
Я например снимаю деньги ежемесячно. И связано это не с тем что мне сие действо нравится, а например, с тем, что секции ребенка деньги принимают исключительно в натуральном виде, никаких вам карточек… :)
Ну и мясо в ближайшем магазине приличное — тоже исключительно за бумажное выражение денег отпускается. только не надо предлагать заменить магазин на пятерки и иже с ними… :)
alexesDev
21.05.2019 16:51Не искал. Можно найти статистику использования компьютеров по миру, не думаю, что там 100% =)
Popadanec
21.05.2019 18:49С 2015 полагается хороший штраф(30-50тыр) если есть касса, но нет оплаты по карте. Сейчас практически не осталось категорий которые не применяют кассу. Но это для тех у кого выручка более 60млн в год.
Потому ине кусаютнет у многих. Хотя с выручкой менее 60млн. подключил и понял что зря не спешил. Да там процент за каждую продажу(у меня 2.25%), но выручка стала выше на треть, т.к. меньше уходит народу из за отсутствия налички и меньше очередь.enzain
21.05.2019 20:24Ссылки можно? По поводу штрафов за кассу без оплаты по карте.
Popadanec
21.05.2019 22:17112-ФЗ и статья 14.8По новой ч. 4 ст. 14.8 КоАП РФ отказ принимать карты к оплате влечет наложение административного штрафа на юридических лиц — от 30 тыс. до 50 тыс. рублей. Если же у магазина есть техническая возможность принимать карты, а продавец всё равно отказывает, то на него могут наложить штраф как на должностное лицо — от 15 тыс. до 30 тыс. рублей.enzain
22.05.2019 06:40у которого выручка от реализации товаров (работ, услуг) за предшествующий календарный год превышает сорок миллионов рублей.
Не у всех есть такая выручка, так что тут вполне себе есть шанс нарваться на магазинчик без оплаты картами :)
А по поводу комиссии в 2 с чем то процента — так инкасация вроде нынче обходится примерно так же, если не дороже, так что оно и не особо страшно Хотя может в расценках на инкасацию что-то поменялось :)
Popadanec
22.05.2019 13:36Комиссии есть и 1,5%, но всегда есть «НО». Если у меня обслуживание бесплатно и до 150тыр можно снять без комиссии(если больше то 1%), то там где эквайринг «дешевле», дорого стоит обслуживание и/или приличный процент за снятие. Надо покупать терминалы(по 10-20тыр за штуку) или они даются под ежемесячную оплату. Я перебрал десяток банков, но у Сбера на удивление нормальные тарифы для малого бизнеса.
В Мск если в сбере счёт, то 500р за выезд.
geher
20.05.2019 15:38Иногда вариантов просто нет. Ну нет в некоторых местах просто в округе другого банкомата, а на снятие денег через него с карт других банков идет конская комиссия.
Однако, конкурентное преимущество сбера — лучшее покрытие банкоматами.
Плюс уже упомянутое навязывание сберовских карт (не всегда, впрочем, сберовских, может быть абсолютно любой другой банк, но сбер намного чаще) во многих случаях. Не каждый сможет надавить в ответ.Carburn
21.05.2019 22:55есть лимит снятия без комиссий в разных банках
vlivyur
22.05.2019 11:29Бывают зарплатные проекты, когда снятия без комиссий. Бывают карты уровнем выше, когда условия использования позволяют. Бывают банкоматы-партнёры. А есть банки, до которых ехать на оленях. Много чего бывает, всё анализировать и считать надо. И только у Сбера каждая собака знает во что ему будет обходиться обслуживание карты.
Dioxin
21.05.2019 10:12Только выбор другого банка большим количеством людей научит этот банк любить своих клиентов.
А нету других. В глубинке домининует сбер.
IRT
20.05.2019 14:39+2Так вот, злоумышленник выполняет все эти шаги и выбирает вариант «Оплата картой», после чего достаёт свою карту и уходит.
Я так понимаю, что никакую карту он не достает, а просто не вставляет. Ведь если вытащить карту, то все готовящиеся операции отменятся.
в терминалах других банков стандартные настройки предполагают сначала выбор способа оплаты (карта или наличные), а уже потом ввод реквизитов платежа. С такими настройками подобное мошенничество исключено.
Вот и решение. Впрочем, нанотехнологии Грефа работают как всегда:
в Сбербанке не считают проблемой текущие настройки терминалов
pnetmon
20.05.2019 16:30+1Ведь если вытащить карту, то все готовящиеся операции отменятся
Кажется это проблема бесконтактных карт — там карта все время в руке пользователя банкомата, хотя об этом кажется в статье не слова. Но решается проблема просто — сверка реквизитов карты при операции и разные экраны при авторизации и при вводе пин кода соответствующий текст что совершается.
SvSh123
20.05.2019 15:28+1Самое смешное, что если настройки поменяют-таки, те же самые люди первыми начнут возмущаться: «Раньше было удобнее!» :)
EvgeniyNuAfanasievich
20.05.2019 16:07Ни понимаю зачем вообще дана возможность что-то делать с банкоматом, если карта не вставлена/не считана беспроводным способом.
geher
20.05.2019 16:11+2Некоторые сберовские банкоматы позволяют платить наличными (сдачу можно сбросить на другой платеж), а пациент может передумать (нет столько наличных, или купюры большого калибра, а сдачу наличкой банкомат не выдает) и заплатить картой.
Однако, удобство в ущерб безопасности.Popadanec
20.05.2019 19:18Можно просто сумму указывать после выбора: «С карты» и её втыкания.
Если и тогда не смутятся, то тут уже ничего не сделаешь.
Но тем не менее за СБ Сбера тут конкретный косяк. Полгода знают о ситуации, но не пошевелились для её исправления.
Мошенничество тут тоже сложно доказать, тем более если скрывают лицо и пользуются одноразовыми симками. Полиция должна на такое реагировать. Но это надо сотрудничать с СБ Сбера и сотовыми операторами, чтобы как минимум выяснить не единичный ли это случай.
lamoss
20.05.2019 16:35+1Я, конечно, доступа к статистике сбера не имею, но на мой взгляд это один из самых редких кейсов. И то — его можно было бы реализовать адекватней, разделив оплату картой и оплату наличкой (если разработчик хоть немного реализовывал что-то для банкоматов и понимает как там UI работает и чего от него ожидают, а не стажер-выпускник по ИТ-специальности. Тогда к нему претензий никаких, претензии к тому, кто выпустил такую систему в бой).
servermen
20.05.2019 16:41Там нужно нажать на «Оплата наличными». Выбора карты при способе оплаты наличными я ни разу не видел… Поэтому я очень удивлён.
klirichek
21.05.2019 08:55Там вроде в оригинале речь не про банкоматы была, а про платёжные терминалы.
Которые, чтобы кинуть денег на телефон; оплатить разные квитанции, штрафы и т.д.
Они больше были на наличку заточены (чтобы по одной купюре деньги вкладывать); выдачи с них никогда не было.
Вполне возможно, что по этой причине и ПО там не "банкоматное" а своё, особое.
Andy_Big
20.05.2019 19:01Оффтоп, но уж очень мучает меня…
этот вопросПочему некоторые публикации, доступные к чтению и комментированию, не отображаются в списке всех публикаций habr.com/ru/news/t/452626? Например вот эта вот. Я ее вижу в рубрике «Читают сейчас», но в общем списке найти не могу ни за сегодня, ни за вчера. И это уже не первый случай.
Ну и заодно: почему некоторые публикации появляются «задним числом»? Ну то есть вот пролистал я вчера вечером новые публикации, почитал интересное… А сегодня смотрю — между просмотренными вчерашними публикациями появились новые, которых вчера там не было.
Areso
20.05.2019 19:07Возможно, у вас там фильтр (на хабы или потоки).
Возможно, что это опубликованные черновики. Или переопубликованные статьи.Andy_Big
20.05.2019 19:28Нет, никакие фильтры не настроены. Да я и не вижу нигде в настройках сайта каких-либо фильтров :)
Ну ладно, «задним числом» — опубликовали, потом убрали в черновики, а потом опять вытащили. А данную статью я почему не вижу в списке всех публикаций? :)
ColdPhoenix
20.05.2019 19:45это новость же
Andy_Big
20.05.2019 20:21Посмотрел — действительно новости не отображаются в общем списке. Блин, я-то был уверен, что «Все подряд» — это все подряд :) Спасибо за наводку, похоже, что вопрос закрыт.
Popadanec
20.05.2019 19:10А что у вас в шапке выставлено:
Andy_Big
20.05.2019 19:26Да, все именно так — «все подряд» и «без порога».
Popadanec
20.05.2019 19:45Ну баги тут периодически бывают. У меня к примеру раза четыре возникала ситуация с оповещением. Когда на колокольчике цифра есть, а заходишь в трекер и ничего не показывает. Приходится ставить галочку «выделить все» и помечать как прочитанное.
Порой еще и вниз сползают. Т.е. идут вперемешку с новыми коментами и без.Andy_Big
20.05.2019 20:23У меня с колокольчиком так было пару раз когда меня упоминали в комментариях. Тоже не мог понять откуда оповещение, если в трекере нет новых сообщений в отслкживаемых публикациях. Почему-то не замечал сразу, что есть отметка на «Упоминания» :)
YMA
21.05.2019 09:36На banki.ru эту схему обсуждали несколько месяцев, от Сбера особой реакции не последовало — хотя, казалось бы — запретить проводить операцию, если подтверждающая карта отличается от той, с которой началась сессия — и проблема решена, не надо даже таймауты укорачивать.
enzain
21.05.2019 12:02Так если никакая карта не вставлялась — то какая сверка?…
Вопрос в том, что выбирать оплату картой — без предъявленной карты — немножко странно.
Ну а если карта была бесконтактная — то как минимум нужно сравнить, ту же карту приложили при подтверждении или нет…
Tachyon
21.05.2019 13:04Впрочем, в Сбербанке не считают проблемой текущие настройки терминалов: «Все системы самообслуживания нашего банка надежно защищены, — заявил представитель Сбербанка в комментарии «Коммерсанту».
Ну в общем как обычно: ''Мы то тут причём? Мы просто мину на дороге оставили, пострадавший Сам на неё наступил- его проблемы '' Да уж, с таким подходом Спермбанк (Статью за оскорбление корпораций не ввели ведь ещё? Нет? Ну тогда так и оставлю написание) может потерять часть клиентов.
Brain_Overload
21.05.2019 14:29Для злоумышленника это довольно рискованный способ мошенничества, потому что пользователей терминала обычно снимает видеокамера.
если нет вывода денег потом, то доказать будет нереально, может человек передумал совершать скажем перевод, вынул карту и ушел. ну а так не удивлен, зеленый банк и хороший софт, вещи несовместимые.
wowNemir
21.05.2019 16:12Сбербанк это интересная контора. Однажды мне понадобилось перевести крупную сумму через мобильный банк. Сделать мне этого не дали и попросили подтвердить перевод по телефону. Так уж вышло, что во время подтверждения я с 3 попыток не смог назвать кодовое слово — перевод заблокировали. Однако через 10 минут я совершенно спокойно перевел деньги как три разных перевода с суммами поменьше, никаких подтверждений на этот раз не требовалось. :)
alexesDev
В случае сомнений лучше отказаться от услуг банка.
Andy_Big
Особенно если возможность такого простого способа мошенничества он не считает проблемой.
halted
А ведь по факту проблема в интерфейсе и невнимательности пользователей.
Обычный экран приглашения у банкоматов Сбербанка содержит баннер «вставьте карту».
Ничто не мешает добавить яркий баннер на экран с вводом пин-кода.
Да и слишком частые транзакции на одну карту с разных отправителей обычно провоцируют блокировку платежей, а потом и самой карты.