Несовершенство сценария: ЦБ предупредил россиян

Комментарии9

Банк России обнаружил новый способ мошенничества с отменой транзакций с карты на карту с использованием банкоматов, говорится в обзоре регулятора основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году, презентованном на Международном финансовом конгрессе.
«Ожидавшийся ранее всплеск TRF-атак (transaction reversal fraud — мошенничество с отменой транзакций) не произошел, однако был зафиксирован новый способ такой атаки, основанный на несовершенстве сценариев обработки переводов с карты на карту с использованием банкоматов», — говорится в обзоре, опубликованном на сайте Центрального банка.

Отмечается, что алгоритм атаки довольно прост. Сначала в банкомате выбирается тип операции — перевод между физлицами и указывается номер карты получателя. Банк инициирует операцию и одновременно направляет два авторизационных сообщения: банку-получателю и банку-отправителю. Инициатору практически одновременно приходит одобрение от обоих банков, после чего выполняется фактический перевод: сумма на карте получателя увеличивается, одновременно с этим удерживается такая же сумма у отправителя.
Банкомат запрашивает подтверждения у отправителя на списание комиссионных за операцию, однако он не дает согласия, и банк-инициатор отправляет сообщение о возврате в банк-отправитель и банк-получатель. «Заморозка» средств в результате снимается, но средства уже выведены получателем.
Для минимизации рисков атак ЦБ рекомендовал проверять корректность сценариев работы банкоматов, в первую очередь, отправка сообщения о возврате средств в банк отправителя средств должна происходить только после успешного завершения операции возврата в сторону банка получателя.

Кроме того, говорится в обзоре, довольно эффективно получать согласие клиента с условиями обслуживания до отправки авторизационных сообщений.

Также в обзоре говорится, что атаки на банкоматы российских банков с изготовлением дубликатов карт идут на убыль, среди традиционных атак позиции сохраняет только метод Black Box, когда мошенники выводят средства при помощи компьютерной шины.
«Скимминг и шимминг идут на убыль, среди традиционных атак позиции сохраняют только blackbox-атаки с использованием специализированных устройств», — сказано в докладе.

Скимминг — это хищение мошенниками данных банковской карты с помощью технических спецсредств для изготовления ее дубликата. В шимминге, который является разновидностью скимминга, вместо громоздких накладок на кардридер используется очень тонкая, гибкая плата, внедряющаяся внутрь приемника карт.
Ранее сообщалось, что Сбербанк решил проблему с мошенничеством через незавершенные операции в платежных терминалах.

Читать ещё •••

Источник: finance.rambler.ru