СМИ: клиенты Сбербанка жалуются на хищения через терминалы

Клиенты Сбербанка жалуются на хищение своих средств с использованием информационно-платежных терминалов (ИПТ) во время тайм-аута устройства, сообщает «Коммерсант».

Злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего.

Как поясняют в Сбербанке, ИПТ настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце — способ оплаты: картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.

Собеседник издания, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Во всех случаях хищение происходило при наличии очереди к терминалу, добавил он.

По мнению экспертов, первая проблема — на стороне кредитной организации и состоит в самом сценарии работы терминала.

Вторая проблема состоит в слишком длительном тайм-ауте, отмечают эксперты. В опрошенных изданием банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — отмечают в Почта Банке. — Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».

По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает он.

smart-lab.ru/blog/539639.php Зашибись....