Клиенты Сбербанка жалуются на хищение их средств с использованием информационно-платежных терминалов (ИПТ) во время тайм-аута устройства, сообщает «Коммерсант».
Злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего.
Как поясняют в Сбербанке, ИПТ настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. И если предыдущий клиент выбрал «оплата картой» и не завершил операцию, то следующий, вставив свою карту, ее завершает.
Собеседник издания, близкий к правоохранительным органам, сообщил, что единичные случаи таких хищений появились полгода назад. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.
Новость
По мнению экспертов, первая проблема настороне кредитной организации и состоит в самом сценарии работы терминала.
Вторая проблема состоит в слишком длительном тайм-ауте, отмечают эксперты. В опрошенных изданием банках назвали «базовым» тайм-аут 30 секунд. «Программное обеспечение, которое используют банки для ИПТ, банкоматов, позволяет самостоятельно регулировать длительность тайм-аута и клиентский сценарий, — отмечают в Почта Банке.— Ошибки в сценарии можно устранить, оперативно обновив программное обеспечение на ИПТ. Дополнительное время занимают тестирование и раскатка на сеть».
По словам эксперта RTM Group Евгения Царева, тайм-аут в полторы минуты представляет серьезную уязвимость, причем не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платежные устройства, сократив время сессии, полагает он.
Продуктовый
Автор: banki.mirtesen.ru
Контакты:
Адрес: Замоскворецкая, 1165214 Москва,
Телефон:+7 495-297-311-23, Электронная почта: contact@ahier.ru 