После периода относительного спокойствия, банкоматы снова стали подвергаться кибер-атакам. Переход от традиционных кредитных и дебетовых банковских карт (с магнитной полосой) к картам с интегрированным чипом, которые значительно сложнее скопировать, наряду с изменениями в самих банкоматах, вызвал ажиотаж среди кибер-преступников, которые решили воспользоваться имеющимися уязвимостями прежде, чем они исчезнут навсегда.
Как следствие этого, в последние месяцы наблюдается заметный рост числа незаконных действий подобного рода. По данным FICO , компании, работающей в сфере безопасности и контролирующей порядка 65% банкоматов в США, первые четыре месяца 2015 года показали самое большое число атак на банкоматыза последние двадцать лет.
Но ответом на такой рост атак не должна быть паника или отказ от использования банкоматов – ими необходимо пользоваться с определенной осторожностью и следовать нескольким простым советам.
Попробуйте угадать, все ли в порядке с банкоматом
Самая распространенная техника модификации банкомата – это метод, известный как скимминг ( skimming ), который подразумевает установку небольшого устройства в слот, куда вставляется банковская карта, для дальнейшего копирования информации с магнитной ленты. Позже данная информация используется для создания дубликатов карт,чтобы осуществлять онлайн-транзакции уже без ведома жертвы.
Не так-то просто определить, модифицировали преступники банкомат или нет, т.к. скимминговые устройства, как правило, очень хорошо спрятаны. Однако, есть некоторые моменты, на которые следует обратить внимание, чтобы понять: безопасно ли снимать наличные в данном банкомате.
Во-первых, обратите внимание на слот для приема банковской карты и пространство вокруг него: если Вы заметили какие-нибудь отметины, царапины или вмятины, то, скорее всего, в слоте данного банкомата установлено скимминговое устройство. Кроме этого, обратите внимание, насколько хорошее освещение.
Если свет отключен или Вы подозреваете что-то неладное, то мы не советуем Вам использовать такой банкомат. Отмените транзакцию (если Вы уже начали ее) не пытайтесь самостоятельно вытащить скимминговое устройство (лучше сообщите об этом сотруднику банка).
Следующее видео поможет Вам найти следы скимминговых устройств:
Скрывайте свой PIN -код
Если преступникам удалось получить информацию о Вашей карте и они захотят сделать ее копию или осуществить онлайн-транзакции, то кибер-преступникам также потребуется ВашPIN-код, который они могут получить различными способами. Первый, и самый распространенный способ, — это подглядывать через Ваше плечо, пока Вы находитесь у банкомата. Поэтому крайне важно, чтобы Вы прикрывали клавиатуру рукой при вводе PIN -кода.
Этим же самым Вы сможете скрыть Ваш код от видеокамеры, спрятанной в устройстве.
Убедитесь, что Ваш PIN-код не является простым для случайного подбора(не используйте простые комбинации типа 0000, 1234, 1111 или 9999, а также не используйте комбинации, связанные с Вашей датой рождения или номерами телефонов), и никогда не записывайте их. Для Вашей же собственной безопасности лучше всего их запомнить.
Прежде чем взять наличные, оглянитесь вокруг и посмотрите, присутствуют ли какие-то подозрительные люди поблизости. Никогда не принимайте любую помощь от незнакомцев, если Вы совершаете банковскую транзакцию не зависимо от того, что произошло. Если Ваша карта застряла в банкомате или банкомат не выдал наличные, не принимайте какую-либо помощь, т.к. она может быть частью ловкого обманного трюка, организованного преступниками.
Если Вы оказались в подобной ситуации, то лучше всего позвонить в банк и остаться рядом с банкоматом, отвергая любые предложения о помощи со стороны незнакомых лиц.
Выбирайте правильный банкомат
По возможности, лучше использоватьбанкомат , размещенный внутри помещения банка,нежели на улице. Пытайтесь избегать банкоматов, которые расположены на транспортных остановках или в торговых центрах, поскольку они являются легкой добычей для преступников.
По данным FICO , атаки на банкоматы, расположенные внутри банков, увеличились на 174%, что само по себе очень тревожно, но этот показатель просто меркнет на фоне роста на 317% количества атак на банкоматы, расположенные в других местах вне помещений банков. Любые места, где хорошее освещение, камеры безопасности или постоянно проходящие мимо люди, представляют собой более безопасные места, где вряд ли преступники будут взламывать банкоматы.
Наконец, всегда сохраняйте копию Вашего чека, который Вы получили в банкомате, а также храните выписку о движении средств на Вашем счете. Если Вы заметили что-то подозрительное, незамедлительно свяжитесь с Вашим банком, чтобы его сотрудники смогли разобраться в ситуации. Некоторые банки предоставляют ограниченный срок времени, в течение которого можно решить проблемы со счетом, поэтому не теряйте времени.
Panda Security в России
pandasecurity.com
Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Терминал с «приколом». Как аферисты вносят в банкоматы фальшивые деньги
Мошенники вносят в банкоматы так называемые билеты «банка приколов» на кругленькие суммы. Терминалы фальшивые деньги принимают и зачисляют их на счет аферистов как настоящие.
По информации издания, возможность загружать банковские терминалы «игрушечными» купюрами у аферистов появилась из-за устаревшего программного обеспечения устройств. Как выяснили эксперты, не смогли распознать подлинность денег банкоматы американской фирмы NCR.
Вопрос-ответ
Как банкоматы определяют фальшивки?
По данным Центрального банка РФ, в нашей стране в настоящее время действует порядка 200 тысяч банкоматов. 40 тысяч из них произведены NCR. Слабым местом устаревших терминалов этой фирмы, по данным «Коммерсанта», является программное обеспечение валидатора. Устройство, отвечающее за распознавание банкнот, не работает с более точными настройками шаблонов распознавания.
Поэтому банкоматы заглатывают билеты «банка приколов».
Кстати, осенью прошлого года американская компания уже предупреждала российские банки о масштабном вбросе «липовых» денег номиналом в пять тысяч рублей. Тогда, по информации «Ведомостей», некоторые финансовые организации приостановили прием пятитысячных банкнот. Позже вышло исследование Positive Technologies «Сценарии логических атак на банкоматы», где говорилось о разного рода уязвимостях 26 моделей терминалов производства фирм NCR, Diebold Nixdorf и GRGBanking.
Как рассказывал АиФ.ru руководитель Департамента развития новых направлений бизнеса ООО «Тошиба Рус» Владимир Максимов,алгоритмы верификации банкнот терминалами разрабатываются финансовыми организациями или производителями оборудования, но при участии банковских специалистов.
«В алгоритме учитываются зоны и защитные признаки банкноты, которые должны соответствовать заданному шаблону. А вот какие это признаки и каковы допуски отклонения от образца, при которых купюра все еще считается подлинной, — это строгая тайна, обеспечивающая надежность работы валидатора. Если вследствие злого умысла схему работы алгоритма за большие деньги «сливают» фальшивомонетчикам, банк рано или поздно сталкивается с вбросом подделок в свои банкоматы.
А обмануть машину довольно просто: в отличие от человека, который оценивает взглядом всю купюру, сканеры банкоматов определяют номинал и подлинность купюры всего по четырем признакам, а устаревшие банкоматы — и вовсе по двум», — объясняет эксперт.
Самые безопасные банкоматы — с функцией, когда банкноты разделены на две разные «корзины». В одной хранятся деньги, внесенные банком, они предназначены для выдачи клиентам. В другую «корзину» попадают внесенные клиентами купюры, которые изымаются при инкассации и отвозятся в банк.
Вопрос-ответ
Наибольший риск заполучить фальшивку, по словам юриста Артема Никитенко,в банкомате с функцией кэш-ресайклинга. Это когда терминал выдает пользователям деньги без инкассирования банком. Определить, какой банкомат работает по такому принципу, на глаз невозможно.
«Для реализации кэш-ресайклинга финансовая организация берет на себя особую ответственность, так как за выдачу поддельных банкнот, внесенных туда мошенником, претензии предъявят именно банку. Поэтому в такие устройства устанавливаются самые современные сканеры защитных признаков, исключающие прием «лоскутных одеял» (склеенных купюр) и высококачественных подделок. В общей сумме в России действует 203 тысячи cash-in банкоматов, половина из которых имеет функцию приема денег.
Их постепенная замена на ресайклинг-устройства даст огромную экономию на логистике наличности, но из-за высокой стоимости оборудования российские банки пока не торопятся полностью переходить на эти модели», — говорит Максимов.
Билеты банка приколов вне закона
А не проще ли запретить «шуточные деньги», купить которые можно в любой сувенирной лавке? Такой вопрос обсуждается в Центральном банке — регулятор обсуждает возможность введения административной ответственности за незаконное изготовление полиграфии, имеющей сходство с настоящими рублями.
В своем отчете за прошлый год Банк России высказывает обеспокоенность спам-рассылками, в которых неизвестные лица предлагают приобрести «купюры», частично похожие на настоящие деньги, которые можно вставить в банкомат, и он зачислит их на счет. Эту информацию ЦБР отправил в МВД, сославшись на то, что «сувенирные банкноты используются не для безобидных розыгрышей, а для разного мошенничества».
Мошенники нашли новый способ украсть деньги через банкомат
Клиенты Сбербанка столкнулись с новым видом мошенничества по собственной же невнимательности. На этот раз речь идет о платежных терминалах и банкоматах.
Алгоритм хищения следующий: мошенник начинает на терминале операцию — например, оплату мобильной связи, вводит номер телефона, сумму перевода, выбирает среди способов оплаты банковскую карту, но не завершает операцию и отходит от терминала. По умолчанию на завершение операции и терминал, и банкомат дает 90 секунд. Если за это время свою карту вставит следующий клиент и введет пин-код, то деньги по запросу предыдущего клиента будут списаны.
Обнаружившие такую уязвимость журналисты «Коммерсанта» со ссылкой на своих собеседников указали, что в сценарии работы электронных устройств могут быть недочеты. «РГ» попробовала повторить действия мошенников на себе и выяснила, что внимательному клиенту попасть на удочку мошенника было бы трудно, а вот пенсионерам — гораздо проще.
Дело в том, что после выбора способа оплаты банковской картой на терминале высвечивается надпись: «Чтобы завершить платеж, используйте карту или устройство». Далее указаны наименование платежа (в нашем случае это «мобильная связь») и сумма платежа, а уже потом, когда вставляешь карту, — поле для введения пин-кода. Операция действительно прерывается лишь через 90 секунд, если ничего не предпринимать.
Эксперты указывают, что сценарий работы терминала можно настроить так, чтобы способ оплаты выбирался в начале операции, а не в конце. К такому способу прибегают многие банки, и это дополнительно защищает клиента. Кроме того, время на завершение операции составляет, как правило, 30 секунд.
«Все системы самообслуживания нашего банка надежно защищены, — сообщила пресс-служба кредитной организации. — В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц. В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900».
«Формально Сбербанк не нарушал каким-либо образом закон и права клиентов. Это не уязвимость софта платежных терминалов. Вопрос базируется в злонамеренном использовании алгоритма действий при работе с терминалом в совокупности с человеческой невнимательностью, то есть пресловутым человеческим фактором», — солидарен партнер юридической компании «Рустам Курмаев и партнеры» Дмитрий Горбунов.
Чтобы не попасть на удочку мошенников, соблюдайте простые правила: внимательно прочтите на экране терминала о том, какую операцию, вероятно, он сейчас завершает, если не находится в режиме ожидания. Есть сомнения — нажмите несколько раз клавишу «Отмена». Если сомнения остались, обратитесь к консультанту в зале или перейдите к другому терминалу или банкомату.
Главное, внимательно прочесть, что написано на экране терминала. Есть сомнения — жмите клавишу «Отмена»
Если все же так вышло, что у вас в подобной ситуации списали деньги, то обращайтесь не только к консультантам, но и в полицию, используя встроенные в терминалы камеры. Это позволит установить, кто вас обманул вашими же руками. Банк вряд ли станет этому препятствовать, поскольку таким образом устраняются репутационные риски, говорит Дмитрий Горбунов.
Если же вы стали свидетелем такого мошенничества, помните, что, с точки зрения закона, гражданский арест без применения силы до прибытия полиции допустим. «Но нужно понимать, что в любом случае действует презумпция невиновности, а доказать наличие состава преступления во вполне законных действиях клиента банка, который обратился к банкомату, но, например, «обнаружил, что забыл карту», крайне затруднительно, — предупреждает юрист. — Так что с очень высокой степенью вероятности, в случае, если, например, данное лицо ранее не попадало в объектив камер слежения при совершении аналогичных действий, повлекших кражу средств других клиентов банков, такое гражданское задержание не повлечет для него никаких последствий».