ЦБ обнаружил новый способ мошенничества через банкоматы

Банк России выявил новый способ мошенничества с отменой транзакций с карты на карту с использованием банкоматов, отмечается в презентации к прошедшему Международному финансовому конгрессу, подготовленной Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России.

«Ожидавшийся ранее всплеск TRF-атак (transaction reversal fraud — мошенничество с отменой транзакций) не произошел, однако был зафиксирован новый способ такой атаки, основанный на несовершенстве сценариев обработки переводов с карты на карту с использованием банкоматов», — отмечается в обзоре.

В частности, при отмене операции у мошенника появляется возможность снять переведенную сумму с другой карты и одновременно сохранить деньги на своем счету.

То есть фактически лицу, которое осуществляет перевод, возвращается замороженная сумма, хотя средства уже ушли на другой счет.

Как прокомментировал «Газете.Ru» Тимур Аитов, заместитель председателя подкомитета по платежным системам и информационной безопасности комитета ТПП России по финансовым рынкам, операция отменяется в тот момент, когда человеку на терминале банкомата напоминают, что за нее банк может взимать комиссию. Напомним, предупреждать о том, что за операцию по карте может удерживаться комиссия, ЦБ обязал банки еще осенью 2010 года.

Как отмечают в ЦБ, основным способом минимизации рисков такой атаки является проверка корректности сценария работы банкомата.

«Банкоматы, как и любое электронное устройство, уязвимы для взлома, и способы их защиты эволюционируют одновременно со способами взлома, это вечная диалектическое соревнование снаряда и брони. Как только будет найдена «заплатка» для уязвимости, возникающей в процессе перевода денег с карты на карту, будут найдены новые уязвимости и новые заплатки», — говорит управляющий партнер экспертной группы Veta Илья Жарский.

Истории со взломами в банкоматах происходят регулярно. Так, в 2017-м и 2018-м году много шума наделала технология BlackBox. Оно позволяла взломать банкомат за 10 минут.

BlackBox основана на подключении стороннего гаджета к устройству для выдачи денег. Его подключают либо через просверленное отверстие в банкомате, либо используя ключи инженеров для открытия сервисной части банкомата, где находится компьютер.

По словам Тимура Аитова, во многом всплеск краж с банкоматов происходит из-за продажи работающих банкоматов на сайтах по продаже бывшей в использовании техники.

Так, на торгах продаются банкоматы, которые ранее принадлежали банкам с отозванной лицензией на открытых торгах, и купить их может любое юридическое лицо, необязательно с банковской лицензией.

«А разрабатывать схемы с учетом слабых мест в технологической цепочке работы банкомата, когда устройство стоит у тебя в гараже, а не тогда, когда ты стоишь в очереди к нему за деньгами, а за тобой толпятся 10 человек, стало гораздо проще. Поэтому банкоматы попадают в руки злоумышленников. Более того, есть компании — ИТ-разработчики, которые специально устраивают дни открытых дверей для «юных хакеров», — говорит эксперт.

В целом, по данным Центробанка, общая сумма хищений с карт физлиц в 2018 году составила 1,4 млрд руб., что в 1,4 раза больше показателя 2017-го.

Однако кража денег из банкомата с помощью различных технологий не самый главный способ. Многие кражи средств клиентов со счета, как отмечал ЦБ, происходят с помощью социальной инженерии — это метод получения информации, основанный на особенностях психологии и социологии.

По словам Жарского, часто жертва преступления сама сообщает данные своей карты и счета и теряет деньги в результате излишней доверчивости и невнимательности.

Как писала ранее «Газета.Ru», с наступлением лета карточные шулеры стали более активными. Мошенники стали активно названивать клиентам банков под видом службы безопасности. Злоумышленники, пользуясь испугом или растерянностью людей, выманивали персональные данные их карточных счетов, кодовые слова, CVV-коды, цифры кода из разовых смс-сообщений. Цель у таких звонков — получить доступ к счету и вывести с него средства клиента.

При этом россияне, столкнувшиеся с попыткой кражи средств со счета, также отмечают, что иногда звонок мошенника определялся как номер банка. То есть на экране телефона потенциальной жертвы высвечивается номер реального банка, а клиенту рассказывают о якобы попытке несанкционированного списания средств, называют его ФИО и другие персональные данные.

В этом случае работает очень тонкая программа подмены номера, объясняли специалисты. То есть даже если звонок приходит с номера, который у вас в телефоне записан как номер банка — не надо торопиться отвечать на все вопросы собеседника на другом конце телефонного провода.

Бороться с этим можно, объясняя людям азы безопасности использования банкоматов и карт, резюмирует Жарский.