Совместные покупки

Объявления

Поиск

Все вопросы: yaroslavl@bk.ru

Здравствуйте, Гость ( Вход·Регистрация )

Сделать Yarportal.Ru стартовой страницей

Ярпортал, форум Ярославля -> Форумы для ярославцев -> Недвижимость в Ярославле -> Жилищно-коммунальное хозяйство

Страницы: (2) [1] 2 ( Перейти к первому непрочитанному сообщению )

Сбербанк, Мошенники взяли тайм-аутом

Подписка на тему | Версия для печати

deti

Дата 20.05.2019 - 09:58

Мама господина ПЖ

Профиль
Группа: Пользователи
Сообщений: 13737
Пользователь №: 47524
Регистрация: 16.02.2010 - 22:42

Мошенники взяли тайм-аутом
Операции в терминалах Сбербанка прерываются на хищения
Газета "Коммерсантъ" №84 от 20.05.2019, стр. 1

Цитата

Участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее.

На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тыс. руб. на чужой счет в МТС. Еще один клиент банка рассказал “Ъ”, что лишился по той же схеме еще большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: "вставьте карту, введите пин-код…" — и 15 тыс. улетело на оплату чужого телефона». Потерпевший обратился в Сбербанк.

Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.

Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. “Ъ” провел эксперимент: один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен.

При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты.
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам

Собеседник “Ъ”, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.

Опрошенные “Ъ” эксперты отметили, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала. Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты,— такой сценарий реализован в ИПТ многих банков.

Так, в Газпромбанке сообщили, что в их терминале ввод пин-кода происходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа. В «ФК Открытие» “Ъ” отметили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим вставлением карты, однако сумма, номер телефона и подтверждение платежа проходят после вставления карты и ввода пин-кода, что также исключает возможность подобной ошибки. При этом модель устройства значения не имеет, только настройки.
Как технические сбои банков оборачиваются потерями для обладателей карт

Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте. В опрошенных “Ъ” банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий,— отмечают в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает господин Царев.

Сбербанк еще в 2016 году сообщал о внедрении единого управления сетью банкоматов и платежных терминалов, в связи с чем эксперты заключили, что исправить сценарий и сократить тайм-аут не составит труда.

Однако в самой кредитной организации не видят проблемы. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц,— указали там.— В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900».

На вопросы “Ъ” о том, сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тыс. банкоматов.

https://www.kommersant.ru/doc/3974847

plutON	Дата 20.05.2019 - 10:16
Ы! Профиль Группа: Пользователи Сообщений: 52180 Пользователь №: 39902 Регистрация: 15.07.2009 - 10:46	это в банки надо, конечно

deti

Дата 20.05.2019 - 12:53

Мама господина ПЖ

Профиль
Группа: Пользователи
Сообщений: 13737
Пользователь №: 47524
Регистрация: 16.02.2010 - 22:42

Цитата (plutON @ 20.05.2019 - 10:16)

это в банки надо, конечно

Я в "банки" не заглядываю.
А оплату за ЖКУ, н-р, у нас большинство производят через терминалы Сбера , т к комиссия 1%, а через оператора - 3%.

frender

Дата 20.05.2019 - 13:07

Чужой земли мы не хотим ни пяди, но и своей вершка не отдадим

Профиль
Группа: Пользователи
Сообщений: 2387
Пользователь №: 96990
Регистрация: 11.02.2012 - 17:36

deti

Цитата

Мошенники взяли тайм-аутом
Операции в терминалах Сбербанка прерываются на хищения
Газета "Коммерсантъ" №84 от 20.05.2019, стр. 1
Цитата
Участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее.

На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов (ИПТ) Сбербанка. Так один из пострадавших указал, что пришел в отделение банка, вставил карту в терминал, ввел пин-код — и с его счета тут же списались 11 тыс. руб. на чужой счет в МТС. Еще один клиент банка рассказал “Ъ”, что лишился по той же схеме еще большей суммы: «Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: "вставьте карту, введите пин-код…" — и 15 тыс. улетело на оплату чужого телефона». Потерпевший обратился в Сбербанк.

Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.

Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. “Ъ” провел эксперимент: один корреспондент ввел номер, выбрал оплату мобильного телефона картой и отошел. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен.

При повторной проверке тайм-аут (время, после которого терминал прерывает операцию) оказался полторы минуты.
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам

Собеседник “Ъ”, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.

Опрошенные “Ъ” эксперты отметили, что в данном случае проблема на стороне кредитной организации и состоит в сценарии работы терминала. Например, есть возможность настроить устройство так, что сначала выбирается способ оплаты (карта или наличные), а далее уже реквизиты,— такой сценарий реализован в ИПТ многих банков.

Так, в Газпромбанке сообщили, что в их терминале ввод пин-кода происходит в начале операции, в терминалах ПСБ клиент также сначала выбирает средство платежа. В «ФК Открытие» “Ъ” отметили, что в сценариях устройств экс-Бинбанка есть возможность выбора платежа с последующим вставлением карты, однако сумма, номер телефона и подтверждение платежа проходят после вставления карты и ввода пин-кода, что также исключает возможность подобной ошибки. При этом модель устройства значения не имеет, только настройки.
Как технические сбои банков оборачиваются потерями для обладателей карт

Вторая проблема, отмечают эксперты, в слишком длительном тайм-ауте. В опрошенных “Ъ” банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий,— отмечают в Почта-банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает господин Царев.

Сбербанк еще в 2016 году сообщал о внедрении единого управления сетью банкоматов и платежных терминалов, в связи с чем эксперты заключили, что исправить сценарий и сократить тайм-аут не составит труда.

Однако в самой кредитной организации не видят проблемы. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц,— указали там.— В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900».

На вопросы “Ъ” о том, сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тыс. банкоматов.

https://www.kommersant.ru/doc/3974847

Я думаю, что это полная ЛАЖА.

Вчера пробовал в трех торговых центрах Самары сформировать платежное поручение в трех банкоматах СбРФ. Ни один из трех банкоматов не позволил мне сформировать платежное поручение без предварительного вложения в него карты банка и ввода пин-кода. Банкоматы пишут "Вставьте карту или приложите ее или свой телефон к точке считывания идентификатора". Только после этого открывается Меню для пользователя.

Мое мнение: Это "Утка" для СНИЖЕНИЯ РЕЙТИНГА СБЕРБАНКА.

plutON

Дата 20.05.2019 - 13:15

Ы!

Профиль
Группа: Пользователи
Сообщений: 52180
Пользователь №: 39902
Регистрация: 15.07.2009 - 10:46

frender

Цитата

Вчера пробовал в трех торговых центрах Самары сформировать платежное поручение в трех банкоматах СбРФ. Ни один из трех банкоматов не позволил мне сформировать платежное поручение без предварительного вложения в него карты банка и ввода пин-кода. Банкоматы пишут "Вставьте карту или приложите ее или свой телефон к точке считывания идентификатора". Только после этого открывается Меню для пользователя.

вы немного не правильно пробовали.
надо вставить свою карту сформировать платеж на номер и потом вынуть карту, оставив операцию незавершенную.
и уже потом вновь вставленной картой она завершается

alexov79

Дата 20.05.2019 - 13:19

Unregistered

Цитата (plutON @ 20.05.2019 - 13:15)

А как можно вынуть, не завершая? )

plutON

Дата 20.05.2019 - 13:23

Ы!

Профиль
Группа: Пользователи
Сообщений: 52180
Пользователь №: 39902
Регистрация: 15.07.2009 - 10:46

Цитата (alexov79 @ 20.05.2019 - 13:19)

Цитата (plutON @ 20.05.2019 - 13:15)

А как можно вынуть, не завершая? )

можно же не вставлять

https://akket.com/raznoe/99462-sberbank-zap...z-smartfon.html

Это сообщение отредактировал plutON - 20.05.2019 - 13:23

frender

Дата 20.05.2019 - 13:55

Чужой земли мы не хотим ни пяди, но и своей вершка не отдадим

Профиль
Группа: Пользователи
Сообщений: 2387
Пользователь №: 96990
Регистрация: 11.02.2012 - 17:36

plutON

Цитата

plutON, ПОПРОБУЙТЕ, может у Вас получится, тогда расскажете здесь нам КАК ПРАКТИЧЕСКИ ЭТО ПРОИСХОДИТ. А лучше всего весь процесс этого эксперимента проделайте под видеозапись, потом нам сюда ее выложете.

alexov79

Цитата

А как можно вынуть, не завершая? )

Это невозможно, поскольку чтобы вынуть карту, необходимо сначала нажать на железной клавиатуре кнопку с красной надписью "Отмена операции" и уже только потом "Завершить обслуживание" и вот только после этих манипуляций "выползает" назад карта из картоприемника.

Я не уверен, что на кнопках клавиатуры банкомата так и написано, как я их здесь обозвал "Отмена операции" и "Завершить обслуживание", но от этого суть не поменяется.

plutON

Цитата

можно же не вставлять

https://akket.com/raznoe/99462-sberbank-zap...z-smartfon.html

plutON, по ссылке, которую Вы здесь выложили, открылась статья без даты, но судя по первому и единственному комментарию в самом низу веб-страницы, этой статье больше года, т.к. комментарий был оставлен 29.04.2018 г.

И потом, на какие именно слова в этой статье Вы хотели обратить внимание читателей, чтобы ДОКАЗАТЬ нам (читателям), что

Цитата

можно же не вставлять

?

"Не вставлять" можно в том случае, если карта или телефон оснащены модулем NFC, а это означает, что как только пользователь поднес к банкомату/терминалу свое устройство с модулем NFC, то он тут же ИДЕНТИФИЦИРОВАН, и все дальнейшие действия по формированию им платежного поручения будут происходить от его имени за его средства, размещенные на счете его карты. И уйти от банкомата, не совершив никаких манипуляций типа "Отмена операции" и "Завершить обслуживание", означает, что операции по оплате произойдут автоматически за счет хозяина этой карты, а не за счет последующего пользователя, который подойдет и увидит на табло не "вставьте карту и введите пин-когд", а "подтвердите действие операции" или что-то в этом роде.

plutON

Дата 20.05.2019 - 14:01

Ы!

Профиль
Группа: Пользователи
Сообщений: 52180
Пользователь №: 39902
Регистрация: 15.07.2009 - 10:46

frender

Цитата

plutON, ПОПРОБУЙТЕ, может у Вас получится, тогда расскажете здесь нам КАК ПРАКТИЧЕСКИ ЭТО ПРОИСХОДИТ. А лучше всего весь процесс этого эксперимента проделайте под видеозапись, потом нам сюда ее выложете.

а мне то зачем?

frender	Дата 20.05.2019 - 15:28
Чужой земли мы не хотим ни пяди, но и своей вершка не отдадим Профиль Группа: Пользователи Сообщений: 2387 Пользователь №: 96990 Регистрация: 11.02.2012 - 17:36	Беру свои слова назад. Только что проделал операцию оплаты МТС картой без вложения карты в банкомат сбрф. Все как написано в статье, только там на табло немного другой текст, типа "Чтобы завершить платеж используйте карту или устройство. Наименование: МТС Сумма 15000 руб". На стадии "Вставьте карту" нажал кнопку "Отмена". Видео заснял, но не знаю как его сюда выложить Это сообщение отредактировал frender - 20.05.2019 - 15:47

Индикатор	Дата 20.05.2019 - 15:38
Unregistered	У меня есть две сберовских карты. Сегодня протестирую.

Beavis	Дата 20.05.2019 - 15:40
Я и есть господин ПЖ Профиль Группа: Пользователи Сообщений: 14594 Пользователь №: 20278 Регистрация: 28.06.2007 - 22:38	frender В каких ТЦ пробовали? Просто интересно))

plutON	Дата 20.05.2019 - 15:44
Ы! Профиль Группа: Пользователи Сообщений: 52180 Пользователь №: 39902 Регистрация: 15.07.2009 - 10:46	frender залейте на ютуб а сюда просто ссылку из командной строки цитатните

frender

Дата 20.05.2019 - 16:03

Чужой земли мы не хотим ни пяди, но и своей вершка не отдадим

Профиль
Группа: Пользователи
Сообщений: 2387
Пользователь №: 96990
Регистрация: 11.02.2012 - 17:36

Beavis

Цитата

frender
В каких ТЦ пробовали? Просто интересно))

Мне кажется без разницы в каких. Есть на табло два активных окна:
1) "Платежи".
2) "Услуги".
Нажал "Платежи" и все пошло без карты.

frender

Дата 20.05.2019 - 16:05

Чужой земли мы не хотим ни пяди, но и своей вершка не отдадим

Профиль
Группа: Пользователи
Сообщений: 2387
Пользователь №: 96990
Регистрация: 11.02.2012 - 17:36

Индикатор

Цитата

У меня есть две сберовских карты. Сегодня протестирую

Индикатор , чтобы ПОПРОБОВАТЬ, карта не нужна.

« | Жилищно-коммунальное хозяйство | »

Страницы: (2) [1] 2

[ Время генерации скрипта: 0.0120 ] [ Использовано запросов: 16 ] [ GZIP включён ]

Правила Ярпортала (включая политику обработки персональных данных)

Все вопросы: yaroslavl@bk.ru