Центробанк рассказал о новом способе мошенничества у банкоматов. Злоумышленники пользуются уязвимостью устройств, и легко обводят вокруг пальца сами банки.
Схема аферы такая: мошенник выбирает сторонний банкомат, который не является эмитентом карты. В банкомате аферист кликает по P2P переводу — от физлица к физлицу и вводит номер карты получателя, выпущенной третьим банком.
После этого банк-инициатор перевода направляет два авторизационных сообщения в одно время — банку-получателю и банку-отправителю. Практически одновременно банк получает одобрение от обоих кредитных учреждений и выполняется фактический перевод — сумма на карте получателя вырастает, а у отправителя резервируется. Уже после этого банкомат просит у отправителя согласие на списание комиссии, аферист не соглашается, и банк, в котором списывались средства, отправляет сообщение о возврате. Временная блокировка средств со счета отправителя снимается и он сохраняет все деньги, однако получатель успевает вывести перевод со своей карты.
Этот способ мошенничества ЦБ описал в "Обзоре основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году". Преступная схема работает благодаря уязвимости банкоматов, причем, как утверждают эксперты из банковской отрасли, "баг" не обязательно связан с "несогласием с комиссией", есть и другие "баги" сценариев, связанные с технологической особенностью прохождения операций перевода с карты на карту в банкомате.
Впрочем, такие случаи — скорее исключении, выявляя их, банки быстро исправляют уязвимости в банкоматах, говорят специалисты.
К слову, Банк России ожидал всплеск атак-мошенничеств, связанных с отменой переводов, но этого не произошло. Зато фиксируется все больше случаев, когда хакеры обчищают банкоматы, получив доступ к локальной сети банка, пишет "РГ".
Ольга Толмачева
