Центробанк нашел новый способ хищения денежных средств из банкоматов. Он связан с отменой перевода денег с карты на карту. Об этом пишет «Российская газета» со ссылкой на доклад Банка России.
Операция начинается с банкомата стороннего банка, не являющегося эмитентом карты: злоумышленник выбирает P2P-перевод, вводит номер карты получателя, выпущенной третьим банком.
Далее банк-инициатор перевода одновременно направляет два авторизационных сообщения – банку-получателю и банку-отправителю, практически одновременно получает от них одобрения, и выполняется фактический перевод (увеличивается сумма на карте получателя, одновременно с этим резервируется такая же сумма у отправителя). Однако затем, когда банкомат «спрашивает» у отправителя о согласии на списание комиссии, тот не соглашается, и банк-владелец банкомата отправляет сообщения о возврате. Временная блокировка (холд) со счета отправителя снимается, он сохраняет все деньги, но получатель за это время выводит перевод со своей карты.
Читайте также: Мошенники нашли самый простой способ хищения личных данных россиян
ЦБ рекомендует для предотвращения таких хищений скорректировать сценарий работы банкоматов (отправка сообщения о возврате в банк отправителя должна происходить строго после успешного завершения операции по возврату в сторону банка получателя), а также спрашивать клиента с условиями обслуживания до отправки авторизационных сообщений, а не после.
При успехе подобных атак ответственность несет банк-отправитель, отмечает директор по мониторингу электронного бизнеса Альфа-Банка Алексей Голенищев. Тем не менее, он отметил, что такие атаки имеют характер исключения. При выявлении таких уязвимостей они быстро исправляются.
Представители других банков подтверждают слова Голенищева. Они заявляют, что большинство банкоматов защищены от подобных хищений, в банкоматах ряда банков нет возможности делать Р2Р-переводы на карты сторонних банков. В Сбербанке заверили, что такая схема мошенничества к их банкоматам неприменима.
Отзыв о сайте