В ЦБ рассказали о новом способе мошенничества через банкоматы

Получение денег в банкомате. Архивное фото
Читать на сайте Ria.ru
МОСКВА, 5 июл — РИА Новости. Банк России обнаружил новый способ мошенничества при переводе денег с карты на карту через банкоматы. В обзоре компьютерных атак в финансовой сфере за прошлый год, представленном Центробанком, отмечается, что метод основан на несовершенстве сценариев обработки переводов.
Алгоритм довольно простой. Сначала в банкомате выбирается операция перевода между физическими лицами и указывается номер карты получателя. Терминал направляет два авторизационных сообщения: банку-получателю и банку-отправителю. После того как пришли два одобрения, выполняется фактический перевод: увеличивается сумма на карте получателя и удерживается такая же сумма у отправителя.
Как защитить себя от кражи денег через банкомат или терминал
Однако процедура перевода в банкомате еще не закончена. Устройство запрашивает у отправителя подтверждение на списание комиссионных, но тот не дает согласия, и сообщение о возврате отправляется обоим банкам. В результате заморозка средств снимается, но деньги уже выведены получателем.
Регулятор советует банкам проверить корректность сценариев работы банкоматов. В частности, сообщение о возврате нужно отправлять только после успешного завершения операции.
Помимо этого, согласие с условиями обслуживания можно запрашивать у клиента до отправки авторизационных сообщений, добавили в ЦБ.

Меньше скимминга и шимминга...

В целом, отмечают в Центробанке, атак на банкоматы с помощью специальных устройств становится меньше.
"Скимминг и шимминг идут на убыль, среди традиционных атак позиции сохраняют только blackbox-атаки (когда мошенники выводят средства при помощи компьютерной шины. — Прим. ред.)", — говорится в докладе.
Кибератаки в мире происходят каждые 14 секунд, сообщили в Сбербанке
Однако, указывают эксперты, по-прежнему распространены атаки на устройства самообслуживания, которые осуществляют, как правило, неустойчивые малые группы либо одиночки.
Скимминг — это хищение мошенниками данных банковской карты с помощью технических спецсредств для изготовления ее дубликата. Для этого использовались накладки на кардридер для считывания магнитной полосы карты и накладная клавиатура или видеокамера для получения пин-кода. В шимминге (разновидности скимминга) вместо громоздких накладок на кардридер используется тонкая, гибкая плата, внедряющаяся внутрь приемника карт.
По мнению заместителя председателя правления Сбербанка Станислава Кузнецова, скимминг в России удалось практически победить.
"Буквально несколько лет назад все кредитные организации лихорадило от скимминга. Случаи были массовыми, мы научились с этим бороться, и в нашей стране фактически сведен данный вид мошенничества к нулю", — цитирует его портал banki.ru.
Как пояснил Кузнецов, к такому результату удалось прийти благодаря усилиям правоохранительных органов и самих банков.
Сбербанк назвал способы защиты от мошенничества через терминалы

...и больше социальной инженерии

А вот рост мошенничества с использованием методов социальной инженерии — когда люди сами добровольно и сознательно переводят злоумышленникам деньги — остановить пока не удается. По оценке Кузнецова, он составляет примерно четыре-шесть процента в месяц.
При этом зампред правления Сбербанка отметил, что жертвами "социальных инженеров" все чаще становятся молодые люди.
"Если ранее мы говорили, что в основном этим атакам подвержены россияне в пожилом возрасте <...> в 2019 году мы зафиксировали изменение этого тренда и впервые стали лидировать группы людей в возрасте 25-35 лет", — пояснил он.
В начале года Кузнецов рассказал о том, что на социальную инженерию приходится почти 90 процентов зафиксированных Сбербанком попыток мошенничества. Бороться с этим, по его словам, очень трудно.
"Например, если человек сам отдает деньги, говорит о том, что знал, что это мошенник, и, как выясняется, просто хотел посмотреть, получится ли у злоумышленника закончить свои мошеннические действия, — этому противостоять практически невозможно", — посетовал зампред правления банка.
Он особо подчеркнул, что Сбербанк никогда не звонит клиентам и не просит сообщать данные по карточкам.
Сбербанк решил проблему подмены мошенниками его номеров

Атаки против сотрудников банков

Авторы обзора, подготовленного Центробанком, также отмечают, что жертвами атак, совершенных при помощи методов социальной инженерии, становятся и сотрудники самих банков.
"В 75 процентах банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25 процентах — вводят свои учетные данные в ложную форму аутентификации; также в 25 процентах финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок", — говорится в документе.
В ЦБ призвали ужесточать ответственность за все цифровые преступления
Далека от совершенства и безопасность внутренней сети банков, отмечают эксперты. Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление программного обеспечения (67 процентов банков) и хранение чувствительных данных в открытом виде (58 процентов). Более чем в половине обследованных банков используются словарные пароли.
Специалисты добавили, что во время тестов им удалось получить доступ к управлению банкоматами из внутренней сети в 25 процентах банков.
В обзоре говорится и о том, что уровень защищенности мобильных приложений остается низким: уязвимости обнаружены в 38 процентах приложений для iOS и в 43 процентах программ для платформ под управлением Android.
Обсудить
Рекомендуем