Терминалы «Сбербанка» позволяют красть деньги
В платёжных терминалах «Сбербанка» обнаружилась серьёзная проблема с безопасностью выполняемых клиентами операций: настройки программного обеспечения устройств самообслуживания позволяют легко украсть деньги с чужой карты...
В банке винят в этом лишь невнимательность клиентов.
Алгоритм мошенничества предельно прост и не требует использования никаких специальных знаний или хитроумных девайсов. Злоумышленник начинает выполнять на платёжном терминале некую операцию, не вставляя карту, после чего не завершает её и просто уходит. Программное обеспечение терминалов выделяет на завершение операции 90 секунд, и если в этот период в терминал вставит карту следующий клиент, то с неё и будут списаны средства по запросу предыдущего.
Эксперты по кибербезопасности видят в этом серьёзные ошибки в настройках ПО устройств самообслуживания «Сбербанка». Суть проблемы заключается в том, что система предлагает сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. Если выбрать оплату картой и уйти, то операция завершится, когда следующий клиент, ничего не подозревая, вставит свою карту.
При этом техническая возможность настроить устройство так, чтобы сначала выбирался способ оплаты, а далее уже реквизиты, есть — именно такой сценарий и реализован в платёжных терминалах многих других банков. При этом модель устройства значения не имеет, дело исключительно в его настройках. Кроме того, вторая проблема заключается в слишком длительном тайм-ауте в полторы минуты.
Базовым для устройств самообслуживания обычно является тайм-аут в 30 секунд. Программное обеспечение терминалов позволяет регулировать длительность сессии и клиентский сценарий. По словам экспертов, тайм-аут в 90 секунд представляет собой серьёзную уязвимость. Правда, в «Сбербанке» не видят никаких проблем с терминалами и призывают своих клиентов просто «быть внимательнее».
В банке винят в этом лишь невнимательность клиентов.
Алгоритм мошенничества предельно прост и не требует использования никаких специальных знаний или хитроумных девайсов. Злоумышленник начинает выполнять на платёжном терминале некую операцию, не вставляя карту, после чего не завершает её и просто уходит. Программное обеспечение терминалов выделяет на завершение операции 90 секунд, и если в этот период в терминал вставит карту следующий клиент, то с неё и будут списаны средства по запросу предыдущего.
Эксперты по кибербезопасности видят в этом серьёзные ошибки в настройках ПО устройств самообслуживания «Сбербанка». Суть проблемы заключается в том, что система предлагает сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. Если выбрать оплату картой и уйти, то операция завершится, когда следующий клиент, ничего не подозревая, вставит свою карту.
При этом техническая возможность настроить устройство так, чтобы сначала выбирался способ оплаты, а далее уже реквизиты, есть — именно такой сценарий и реализован в платёжных терминалах многих других банков. При этом модель устройства значения не имеет, дело исключительно в его настройках. Кроме того, вторая проблема заключается в слишком длительном тайм-ауте в полторы минуты.
Базовым для устройств самообслуживания обычно является тайм-аут в 30 секунд. Программное обеспечение терминалов позволяет регулировать длительность сессии и клиентский сценарий. По словам экспертов, тайм-аут в 90 секунд представляет собой серьёзную уязвимость. Правда, в «Сбербанке» не видят никаких проблем с терминалами и призывают своих клиентов просто «быть внимательнее».
4
Другие новости
Оставить комментарий
показать все комментарии (8)
Написать комментарий: