https://ria.ru/20190705/1556245835.html
В ЦБ рассказали о новом способе мошенничества через банкоматы
В ЦБ рассказали о новом способе мошенничества через банкоматы - РИА Новости, 05.07.2019
В ЦБ рассказали о новом способе мошенничества через банкоматы
Банк России обнаружил новый способ мошенничества при переводе денег с карты на карту через банкоматы. В обзоре компьютерных атак в финансовой сфере за прошлый... РИА Новости, 05.07.2019
2019-07-05T14:40
2019-07-05T14:40
2019-07-05T16:58
экономика
центральный банк рф (цб рф)
банкоматы
мошенничество
https://cdnn21.img.ria.ru/images/149692/48/1496924891_0:213:2886:1836_1920x0_80_0_0_8eaef95d80e1bf538f965b6902623430.jpg
МОСКВА, 5 июл — РИА Новости. Банк России обнаружил новый способ мошенничества при переводе денег с карты на карту через банкоматы. В обзоре компьютерных атак в финансовой сфере за прошлый год, представленном Центробанком, отмечается, что метод основан на несовершенстве сценариев обработки переводов.Алгоритм довольно простой. Сначала в банкомате выбирается операция перевода между физическими лицами и указывается номер карты получателя. Терминал направляет два авторизационных сообщения: банку-получателю и банку-отправителю. После того как пришли два одобрения, выполняется фактический перевод: увеличивается сумма на карте получателя и удерживается такая же сумма у отправителя.Однако процедура перевода в банкомате еще не закончена. Устройство запрашивает у отправителя подтверждение на списание комиссионных, но тот не дает согласия, и сообщение о возврате отправляется обоим банкам. В результате заморозка средств снимается, но деньги уже выведены получателем.Регулятор советует банкам проверить корректность сценариев работы банкоматов. В частности, сообщение о возврате нужно отправлять только после успешного завершения операции.Помимо этого, согласие с условиями обслуживания можно запрашивать у клиента до отправки авторизационных сообщений, добавили в ЦБ.Меньше скимминга и шимминга...В целом, отмечают в Центробанке, атак на банкоматы с помощью специальных устройств становится меньше."Скимминг и шимминг идут на убыль, среди традиционных атак позиции сохраняют только blackbox-атаки (когда мошенники выводят средства при помощи компьютерной шины. — Прим. ред.)", — говорится в докладе.Однако, указывают эксперты, по-прежнему распространены атаки на устройства самообслуживания, которые осуществляют, как правило, неустойчивые малые группы либо одиночки.Скимминг — это хищение мошенниками данных банковской карты с помощью технических спецсредств для изготовления ее дубликата. Для этого использовались накладки на кардридер для считывания магнитной полосы карты и накладная клавиатура или видеокамера для получения пин-кода. В шимминге (разновидности скимминга) вместо громоздких накладок на кардридер используется тонкая, гибкая плата, внедряющаяся внутрь приемника карт.По мнению заместителя председателя правления Сбербанка Станислава Кузнецова, скимминг в России удалось практически победить. "Буквально несколько лет назад все кредитные организации лихорадило от скимминга. Случаи были массовыми, мы научились с этим бороться, и в нашей стране фактически сведен данный вид мошенничества к нулю", — цитирует его портал banki.ru.Как пояснил Кузнецов, к такому результату удалось прийти благодаря усилиям правоохранительных органов и самих банков....и больше социальной инженерииА вот рост мошенничества с использованием методов социальной инженерии — когда люди сами добровольно и сознательно переводят злоумышленникам деньги — остановить пока не удается. По оценке Кузнецова, он составляет примерно четыре-шесть процента в месяц.При этом зампред правления Сбербанка отметил, что жертвами "социальных инженеров" все чаще становятся молодые люди."Если ранее мы говорили, что в основном этим атакам подвержены россияне в пожилом возрасте <...> в 2019 году мы зафиксировали изменение этого тренда и впервые стали лидировать группы людей в возрасте 25-35 лет", — пояснил он.В начале года Кузнецов рассказал о том, что на социальную инженерию приходится почти 90 процентов зафиксированных Сбербанком попыток мошенничества. Бороться с этим, по его словам, очень трудно."Например, если человек сам отдает деньги, говорит о том, что знал, что это мошенник, и, как выясняется, просто хотел посмотреть, получится ли у злоумышленника закончить свои мошеннические действия, — этому противостоять практически невозможно", — посетовал зампред правления банка.Он особо подчеркнул, что Сбербанк никогда не звонит клиентам и не просит сообщать данные по карточкам. Атаки против сотрудников банковАвторы обзора, подготовленного Центробанком, также отмечают, что жертвами атак, совершенных при помощи методов социальной инженерии, становятся и сотрудники самих банков."В 75 процентах банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25 процентах — вводят свои учетные данные в ложную форму аутентификации; также в 25 процентах финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок", — говорится в документе.Далека от совершенства и безопасность внутренней сети банков, отмечают эксперты. Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление программного обеспечения (67 процентов банков) и хранение чувствительных данных в открытом виде (58 процентов). Более чем в половине обследованных банков используются словарные пароли. Специалисты добавили, что во время тестов им удалось получить доступ к управлению банкоматами из внутренней сети в 25 процентах банков.В обзоре говорится и о том, что уровень защищенности мобильных приложений остается низким: уязвимости обнаружены в 38 процентах приложений для iOS и в 43 процентах программ для платформ под управлением Android.
https://ria.ru/20190526/1554865902.html
https://ria.ru/20190522/1554794105.html
https://ria.ru/20190520/1553644277.html
https://ria.ru/20190614/1555560327.html
https://ria.ru/20190703/1556162931.html
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
2019
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
Новости
ru-RU
https://ria.ru/docs/about/copyright.html
https://xn--c1acbl2abdlkab1og.xn--p1ai/
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
экономика, центральный банк рф (цб рф), банкоматы, мошенничество
Экономика, Центральный Банк РФ (ЦБ РФ), Банкоматы, Мошенничество
МОСКВА, 5 июл — РИА Новости. Банк России обнаружил новый способ мошенничества при переводе денег с карты на карту через банкоматы. В
обзоре компьютерных атак в финансовой сфере за прошлый год, представленном Центробанком, отмечается, что метод основан на несовершенстве сценариев обработки переводов.
Алгоритм довольно простой. Сначала в банкомате выбирается операция перевода между физическими лицами и указывается номер карты получателя. Терминал направляет два авторизационных сообщения: банку-получателю и банку-отправителю. После того как пришли два одобрения, выполняется фактический перевод: увеличивается сумма на карте получателя и удерживается такая же сумма у отправителя.
Однако процедура перевода в банкомате еще не закончена. Устройство запрашивает у отправителя подтверждение на списание комиссионных, но тот не дает согласия, и сообщение о возврате отправляется обоим банкам. В результате заморозка средств снимается, но деньги уже выведены получателем.
Регулятор советует банкам проверить корректность сценариев работы банкоматов. В частности, сообщение о возврате нужно отправлять только после успешного завершения операции.
Помимо этого, согласие с условиями обслуживания можно запрашивать у клиента до отправки авторизационных сообщений, добавили в ЦБ.
Меньше скимминга и шимминга...
В целом, отмечают в Центробанке, атак на банкоматы с помощью специальных устройств становится меньше.
"Скимминг и шимминг идут на убыль, среди традиционных атак позиции сохраняют только blackbox-атаки (когда мошенники выводят средства при помощи компьютерной шины. — Прим. ред.)", — говорится в докладе.
Однако, указывают эксперты, по-прежнему распространены атаки на устройства самообслуживания, которые осуществляют, как правило, неустойчивые малые группы либо одиночки.
Скимминг — это хищение мошенниками данных банковской карты с помощью технических спецсредств для изготовления ее дубликата. Для этого использовались накладки на кардридер для считывания магнитной полосы карты и накладная клавиатура или видеокамера для получения пин-кода. В шимминге (разновидности скимминга) вместо громоздких накладок на кардридер используется тонкая, гибкая плата, внедряющаяся внутрь приемника карт.
По мнению заместителя председателя правления Сбербанка Станислава Кузнецова, скимминг в России удалось практически победить.
"Буквально несколько лет назад все кредитные организации лихорадило от скимминга. Случаи были массовыми, мы научились с этим бороться, и в нашей стране фактически сведен данный вид мошенничества к нулю", — цитирует его портал
banki.ru.
Как пояснил Кузнецов, к такому результату удалось прийти благодаря усилиям правоохранительных органов и самих банков.
...и больше социальной инженерии
А вот рост мошенничества с использованием методов социальной инженерии — когда люди сами добровольно и сознательно переводят злоумышленникам деньги — остановить пока не удается. По оценке Кузнецова, он составляет примерно четыре-шесть процента в месяц.
При этом зампред правления Сбербанка отметил, что жертвами "социальных инженеров" все чаще становятся молодые люди.
"Если ранее мы говорили, что в основном этим атакам подвержены россияне в пожилом возрасте <...> в 2019 году мы зафиксировали изменение этого тренда и впервые стали лидировать группы людей в возрасте 25-35 лет", — пояснил он.
В начале года Кузнецов рассказал о том, что на социальную инженерию приходится почти 90 процентов зафиксированных Сбербанком попыток мошенничества. Бороться с этим, по его словам, очень трудно.
"Например, если человек сам отдает деньги, говорит о том, что знал, что это мошенник, и, как выясняется, просто хотел посмотреть, получится ли у злоумышленника закончить свои мошеннические действия, — этому противостоять практически невозможно", — посетовал зампред правления банка.
Он особо подчеркнул, что Сбербанк никогда не звонит клиентам и не просит сообщать данные по карточкам.
Атаки против сотрудников банков
Авторы обзора, подготовленного Центробанком, также отмечают, что жертвами атак, совершенных при помощи методов социальной инженерии, становятся и сотрудники самих банков.
"В 75 процентах банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25 процентах — вводят свои учетные данные в ложную форму аутентификации; также в 25 процентах финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок", — говорится в документе.
Далека от совершенства и безопасность внутренней сети банков, отмечают эксперты. Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление программного обеспечения (67 процентов банков) и хранение чувствительных данных в открытом виде (58 процентов). Более чем в половине обследованных банков используются словарные пароли.
Специалисты добавили, что во время тестов им удалось получить доступ к управлению банкоматами из внутренней сети в 25 процентах банков.
В обзоре говорится и о том, что уровень защищенности мобильных приложений остается низким: уязвимости обнаружены в 38 процентах приложений для iOS и в 43 процентах программ для платформ под управлением Android.
