Клиенты Сбербанка массово жалуются на новый способ хищения средств с помощью платежных терминалов. Злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. При этом средства списываются с карты следующего клиента, если он вставляет карту в банкомат в течение следующих 90 секунд, пишет "Коммерсант".
Сообщения о случаях хищения средств с использованием информационно-платежных терминалов (ИПТ) Сбербанка стали появляться в интернете на прошлой неделе. Один из пострадавших рассказал, что вставил карту в терминал в отделении банка, ввел пин-код, и с его счета тут же списались 11 тысяч рублей на чужой счет в МТС.
Еще один клиент банка рассказал, что лишился по той же схеме 15 тысяч рублей на оплату чужого телефона. Перед этим, по словам клиента, на терминале "что-то бесконечно вводила девушка в чадре".
В Сбербанке потерпевшему объяснили, что терминал позволяет выбрать назначение платежа и сумму, и только в самом конце - способ ее оплаты. И если предыдущий клиент выбрал оплату картой и не завершил операцию, то следующий, вставив свою карту, ее завершает. Как показал эксперимент, проведенный журналистами, это можно сделать в течение 90 секунд.
Близкий к правоохранительным органам источник издания сообщил, что единичные случаи таких хищений появились полгода назад. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищений к терминалу стояли очереди.
В самом Сбербанке заявили, что клиентам перед проведением операций следует внимательно ознакомиться с информацией на экране терминала, а также обратить внимание на наличие поблизости подозрительных лиц, а в случае сомнений отказаться от проведения операции и проинформировать банк по телефону 900.
На вопросы о том, сколько терминалов банка работают по опасному сценарию, количестве пострадавших от подобных атак клиентов, причинах столь длительного тайм-аута и планах по закрытию уязвимости в Сбербанке не ответили. В целом у банка по состоянию на конец 2018 года было 77 тысяч банкоматов.