В последние две недели участились жалобы клиентов Сбербанка на хищение их средств с помощью платежных терминалов. Злоумышленник инициирует на терминале операцию, не вставляя карту и не завершая эту операцию. Когда же добропорядочный клиент подходит к аппарату и вставляет карту, средства списываются, так как терминал дает 90 секунд на завершение операции.
О новых методах мошенников сообщили сами клиенты Сбербанка, которые жаловались в Сети на хищение своих средств. Один из пострадавших заявил, что как только он подошел к терминалу и вставил карту, с его счета тут же списались 11000 руб. на чужой счет в МТС. Еще один клиент банка рассказал: "Я хотел воспользоваться терминалом Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: "вставьте карту, введите пин-код…" — и 15000 руб. улетело на оплату чужого телефона".
По сути, абсолютно любой может воспользоваться этой особенностью работы платежных терминалов Сбербанка.
Специалисты в области безопасности указывают на катастрофические ошибки в алгоритме платежных терминалов Сбербанка.
Однако в самой кредитной организации не видят проблемы. «Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц,— указали там.— В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900».
На вопросы сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили.
Источник anti-malware, kommersant 
