Клиентам Сбербанка угрожает новый вид SMS-мошенничества. Для кражи денег злоумышленникам даже не нужен доступ к карте пользователя. Аферисты могут получить всю информацию о карте владельца с помощью SMS, якобы отправленного от банка — появилась информация о новой схеме кражи средств мошенниками около банкоматов.
Мошенники могут воспользоваться уязвимостью, которая кроется в необходимости сообщать код из смс для аутентификации клиента, заявил изданию руководитель аналитического центра Zecurion Владимир Ульянов. «Изначально, когда присылали эти смски на телефон, это была нормальная система в тех условиях входа в интернет-банк пользователем через компьютер. Это снижало риски. Но если осуществлять вход в интернет-банк с телефона, то уже есть опасность, например, в случае возникновения шпионских программ на смартфоне. И с точки зрения безопасности метод идентификации путем смс требует защиты», — пояснил он.
Многие терминалы нуждаются в постоянной проверке, считают эксперты
Такая схема требует от аферистов хороших навыков в социальной инженерии, так как банки по пустякам не звонят, но не все это знают, добавляет хакер Сергей Вакулин. «Однако люди все равно ведутся на уловку, вроде и номер тот, и банк, и подкован собеседник. Потому и соглашаются раскрыть всю информацию», — подчеркнул эксперт. Далее, указал он, мошенник, манипулируя человеком, по цепочке узнает все данные — номер карты и CVV-код на обратной стороне.
«После этого можно легко воровать деньги. Да и без кода на обратной стороне можно совершать покупки, благо таких возможностей полно. Что касается смс-кодов, то теоретически аферист может с помощью него получить доступ в мобильный банк и распоряжаться картами жертвы по своему усмотрению», — сообщил хакер.
Другой вид мошенничества с картами и банкоматами основан на банальной невнимательности пользователей, рассказал руководитель агентства кибербезопасности Евгений Лифшиц. «Нынешняя методика заключается в том, что злоумышленник, не вставляя карту, начинает на терминале операцию, однако не завершает ее и отходит. После чего терминал дает на завершение операции 90 секунд. В итоге следующий клиент, вставивший карту в течение этого периода, лишается средств по запросу предыдущего человека. В таких случаях совет всегда один — быть внимательней», — указал он.
Подобная афера стала возможна из-за того, что банк недоработал свои терминалы, считает генеральный директор агентства экономической разведки «Р-техно» Роман Ромачев. «Нужно было сделать, чтобы все предыдущие действия на банкомате блокировались автоматически при вводе новой карты. Если бы была дополнительная проверка терминалов, то такого не было бы. Ведь, по сути, банальная процедура. Похоже, что отсутствует контроль с точки зрения уязвимостей и обкатки систем, то есть достаточно глупая недоработка показывает, насколько несерьезно в этом банке подходят к системе безопасности. Но я думаю, это быстро будет исправлено», — заявил Ромачев.
По его словам, российские банки не всегда работают на упреждение возможных афер. «У них иногда просто отсутствуют службы, которые выявляют подобные пробелы и уязвимости информационных систем. А вот западные финансовые организации активно применяют людей, которые ищут такие лазейки. Некоторые компании даже дополнительно привлекают белых хакеров, которые находят уязвимости и дырки в системе безопасности», — заявил эксперт.
Несмотря на старания банков по реагированию на появляющиеся угрозы, главная ответственность лежит на плечах пользователя, добавляет эксперт в области информационной безопасности Александр Власов. «Вы должны понимать, что сохранность денег — это в первую очередь ваша забота, а не ЦБ или любого другого банка. Если операция не прервалась, а вы уже вставляете карту в банкомат и набираете пин-код, то это похоже на то, если бы вы прямо на улице оставили кошелек и ушли», — заявил собеседник издания.
Хакеры зачастую оказываются изобретательней служб безопасности банков
Фото: unsplash.com
Он указал, что новые виды мошенничества будут появляться постоянно, так как соперничество служб безопасности банков и хакеров напоминает «гонку вооружений».
В то же время банки просто обязаны вести работу по предупреждению различных мошеннических действий: если банк их не ведет, то Центробанк выносит ему предупреждение, отметил он. Также существуют различные ассоциации, где банки на общественных началах обмениваются информацией об этих случаях, разбирают что, как и почему происходит. «Есть разные методы защиты, которые финансовые организации могут задействовать как официально, через Центробанк, так и неформально. Работа эта ведется, но мошенничество продолжается по одной простой причине — потому что дураки мы сами», — добавил Власов.
В свою очередь, в Сбербанке объясняли случаи кражи средств у банкомата недопониманием клиентов при совершении операций. По словам, зампреда правления Сбербанка Станислава Кузнецова, никакой уязвимости нет. «Это точно не кибератака и не кибермошенничество. Было зафиксировано всего несколько десятков таких случаев. Люди, по сути, признают, что это их собственная ошибка или невнимательность, или не поняли, не разобрались. Когда вы обращаетесь к банкомату — вы должны прочитать то, что на нем написано», — заявил он.
Публикации, размещенные на сайте www.ura.news и датированные до 19.02.2020 г., являются архивными и были
выпущены другим средством массовой информации. Редакция и учредитель не несут ответственности за публикации
других СМИ в соответствии с п. 6 ст. 57 Закона РФ от 27.12.1991 №2124-1 «О средствах массовой информации»
Сохрани номер URA.RU - сообщи новость первым!
Не упустите шанс быть в числе первых, кто узнает о главных новостях России и мира! Присоединяйтесь к подписчикам telegram-канала URA.RU и всегда оставайтесь в курсе событий, которые формируют нашу жизнь. Подписаться на URA.RU.
Все главные новости России и мира - в одном письме: подписывайтесь на нашу рассылку!
На почту выслано письмо с ссылкой. Перейдите по ней, чтобы завершить процедуру подписки.
Клиентам Сбербанка угрожает новый вид SMS-мошенничества. Для кражи денег злоумышленникам даже не нужен доступ к карте пользователя. Аферисты могут получить всю информацию о карте владельца с помощью SMS, якобы отправленного от банка — появилась информация о новой схеме кражи средств мошенниками около банкоматов. Мошенники могут воспользоваться уязвимостью, которая кроется в необходимости сообщать код из смс для аутентификации клиента, заявил изданию руководитель аналитического центра Zecurion Владимир Ульянов. «Изначально, когда присылали эти смски на телефон, это была нормальная система в тех условиях входа в интернет-банк пользователем через компьютер. Это снижало риски. Но если осуществлять вход в интернет-банк с телефона, то уже есть опасность, например, в случае возникновения шпионских программ на смартфоне. И с точки зрения безопасности метод идентификации путем смс требует защиты», — пояснил он. Такая схема требует от аферистов хороших навыков в социальной инженерии, так как банки по пустякам не звонят, но не все это знают, добавляет хакер Сергей Вакулин. «Однако люди все равно ведутся на уловку, вроде и номер тот, и банк, и подкован собеседник. Потому и соглашаются раскрыть всю информацию», — подчеркнул эксперт. Далее, указал он, мошенник, манипулируя человеком, по цепочке узнает все данные — номер карты и CVV-код на обратной стороне. «После этого можно легко воровать деньги. Да и без кода на обратной стороне можно совершать покупки, благо таких возможностей полно. Что касается смс-кодов, то теоретически аферист может с помощью него получить доступ в мобильный банк и распоряжаться картами жертвы по своему усмотрению», — сообщил хакер. Другой вид мошенничества с картами и банкоматами основан на банальной невнимательности пользователей, рассказал руководитель агентства кибербезопасности Евгений Лифшиц. «Нынешняя методика заключается в том, что злоумышленник, не вставляя карту, начинает на терминале операцию, однако не завершает ее и отходит. После чего терминал дает на завершение операции 90 секунд. В итоге следующий клиент, вставивший карту в течение этого периода, лишается средств по запросу предыдущего человека. В таких случаях совет всегда один — быть внимательней», — указал он. Подобная афера стала возможна из-за того, что банк недоработал свои терминалы, считает генеральный директор агентства экономической разведки «Р-техно» Роман Ромачев. «Нужно было сделать, чтобы все предыдущие действия на банкомате блокировались автоматически при вводе новой карты. Если бы была дополнительная проверка терминалов, то такого не было бы. Ведь, по сути, банальная процедура. Похоже, что отсутствует контроль с точки зрения уязвимостей и обкатки систем, то есть достаточно глупая недоработка показывает, насколько несерьезно в этом банке подходят к системе безопасности. Но я думаю, это быстро будет исправлено», — заявил Ромачев. По его словам, российские банки не всегда работают на упреждение возможных афер. «У них иногда просто отсутствуют службы, которые выявляют подобные пробелы и уязвимости информационных систем. А вот западные финансовые организации активно применяют людей, которые ищут такие лазейки. Некоторые компании даже дополнительно привлекают белых хакеров, которые находят уязвимости и дырки в системе безопасности», — заявил эксперт. Несмотря на старания банков по реагированию на появляющиеся угрозы, главная ответственность лежит на плечах пользователя, добавляет эксперт в области информационной безопасности Александр Власов. «Вы должны понимать, что сохранность денег — это в первую очередь ваша забота, а не ЦБ или любого другого банка. Если операция не прервалась, а вы уже вставляете карту в банкомат и набираете пин-код, то это похоже на то, если бы вы прямо на улице оставили кошелек и ушли», — заявил собеседник издания. Он указал, что новые виды мошенничества будут появляться постоянно, так как соперничество служб безопасности банков и хакеров напоминает «гонку вооружений». В то же время банки просто обязаны вести работу по предупреждению различных мошеннических действий: если банк их не ведет, то Центробанк выносит ему предупреждение, отметил он. Также существуют различные ассоциации, где банки на общественных началах обмениваются информацией об этих случаях, разбирают что, как и почему происходит. «Есть разные методы защиты, которые финансовые организации могут задействовать как официально, через Центробанк, так и неформально. Работа эта ведется, но мошенничество продолжается по одной простой причине — потому что дураки мы сами», — добавил Власов. В свою очередь, в Сбербанке объясняли случаи кражи средств у банкомата недопониманием клиентов при совершении операций. По словам, зампреда правления Сбербанка Станислава Кузнецова, никакой уязвимости нет. «Это точно не кибератака и не кибермошенничество. Было зафиксировано всего несколько десятков таких случаев. Люди, по сути, признают, что это их собственная ошибка или невнимательность, или не поняли, не разобрались. Когда вы обращаетесь к банкомату — вы должны прочитать то, что на нем написано», — заявил он.