ЦБ рассказал о новом способе мошенничества через банкоматы

Как говорится в обзоре Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ, новый способ мошенничества возник из-за «несовершенства сценариев переводов с карты на карту» через банкоматы.

Схема выглядит следующим образом: 

• мошенник выбирает в банкомате операцию «перевод Р2Р» (от клиента к клиенту) и вводит номер карты получателя;
• наступает момент, когда сумма на карте получателя уже увеличилась, а у отправителя она  ещё не списана;
• банкомат запрашивает у отправителя согласие на списание комиссионных за операцию, тот отказывается;
• как итог: деньги на счёте отправителя сохранились, а получатель уже успел их снять.

Для того чтобы такое мошенничество было маловероятным, авторы обзора советуют банкам проверять корректность сценария работы банкомата. Также ЦБ рекомендует получать согласие клиентов на взимание комиссии ещё в начале операции.

Директор по мониторингу электронного бизнеса Альфа-Банка Алексей Голенищев подтвердил: «такие атаки с использованием некорректной работы отдельных банкоматных сценариев на рынке есть». 

«Это не обязательно может быть связано с «несогласием с комиссией», бывают и другие «багги» сценариев, связанные с технологической особенностью прохождения операций перевода с карты на карту в банкомате. Но эти случаи не имеют массового характера, а больше — исключения. При выявлении таких уязвимостей, как правило, они быстро исправляются», — отметил Голенищев (цитата – «Российская газета»).

Руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информационной политике, информационным технологиям и связи Евгений Лифшиц отметил, что онлайн-сервисы менее уязвимы для атак мошенников. 

 «Лучше пользоваться мобильными приложениями с верификацией (личности). По ним уровень мошенничества гораздо ниже, чем в любых терминалах. Рекомендуем уходить в онлайн, где можно видеть мошенничество и где банк может реагировать более оперативно», — заявил Лифшиц (цитата по RT).