российское информационное агентство 18+

Вывозим же!

Подпишись на каналы
NewDayNews.ru

Среда, 25 декабря 2024, 22:23 мск

Новости, Кратко, Популярное

Архив
Деньги с банковских карт можно снимать без ведома владельцев, не вводя PIN-код Журналисты нашли критическую уязвимость POS-терминалов

Оплатить покупки банковской картой можно без ввода PIN-кода: кассир в магазине и даже официант в ресторане могут вывести с карты клиента деньги без подтверждения транзакции владельцем. Журналисты Buisness FM в ходе эксперимента над собственными картами выяснили, что это не только работает, но и является сознательно заложенной в кассовые терминалы возможностью. При этом даже сотрудники банков-эмитентов пластиковых карт часто не знают о такой опции и теряются в догадках о причинах проблемы.

Владелец карты вводил на кассовом терминале PIN-код, неверно набрал цифру и случайно вместо желтой кнопки «Коррекция» нажал красную «Отмена». Сразу после этого произошла транзакция на сумму покупки. «Для меня стало открытием, что по карте, эмитированной банком ВТБ24, можно оплатить покупку, не вводя PIN-код. Причем это случилось один раз на заправке ТНК-ВР. Потом я это проверил в «Кофемании» и еще в каком-то продуктовом магазине. Многократно проверял эту функцию, она работает во всех терминалах, терминалы эти принадлежат разным банкам», – сообщил сотрудник BFM.

Для чистоты эксперимента журналисты попробовали оплачивать покупки в магазинах картами других банков. Каждый раз, когда кассиры просили ввести PIN-код, экспериментаторы нажимали красную кнопку отмены операции. Оплата проходила без набора PIN. На «горячей линии» ВТБ24 оператор объяснил, что возможность оплаты покупки без PIN-кода зависит не от карты, а от кассового терминала. И предположил, что это – неисправность терминала, а более подробно объяснить причину он не может.

Один из терминалов, где эксперимент прошел успешно, принадлежал Сбербанку. В колл-центре этой финорганизации предложили еще одну версию: сотрудники банка неправильно настроили работу терминала.

Единственный полный ответ о причинах этого явления был получен от криминалистов. «По правилам вот этого торгово-сервисного предприятия (это магазины, рестораны и так далее) кассир может проводить транзакцию в разных режимах – с запросом PIN-код, по подписи. И то, что при нажатии кнопки «Отмена» транзакция проходит без запроса PIN-кода – это просто определенная возможность для вот этого предприятия провести так платеж. Это совершенно нормально. Это сам оператор или кассир может выбирать, каким образом проводить платежи», – объяснил замруководителя криминалистической лаборатории компании Group-IB Сергей Никитин.

Таким образом, возможность транзакции без ввода PIN-кода была осознанно внедрена при организации системы безналичных платежей в торговых точках и заведениях общепита. Только широко о ней не говорится и клиентов не предупреждают даже банки-эмитенты. Предотвратить несанкционированный доступ к средствам владельца карты должны правила: инструкция по авторизации владельца карты. Если человек выбрал безналичный расчет, оператор обязан потребовать у него паспорт, сравнить подпись с подписью на карте, а далее попросить ввести PIN-код или расписаться на чеке и сравнить эту подпись с теми, что стоят на документе и пластике. Другой вопрос. что практически все операторы упрощают эту процедуру до ввода PIN клиентом и подписи на чеке. но и от этой процедуры можно отказаться на законных основаниях.

Обнаруженная пользователями уязвимость предоставляет широкие возможности для мошенников: официант в ресторане, взявший карту клиента и проводящий транзакцию не в его присутствии, может провести по карте заказы и других лиц. Например, тех, кто уже расплатился наличностью. Злоумышленники, похитившие кошелек с банковскими картами, не могут без знания PIN-кода обналичить их в банкоматах, но могут свободно оплатить любую покупку – и защиты от этого нет, кроме своевременного звонка в банк для блокировки карты.

Москва, Алексей Усов

Москва. Другие новости 07.08.15

Пентагон вновь оказался беззащитен перед хакерами. Американские власти признали провал только через две недели после взлома. / В Windows 10 Microsoft и спецслужбы узаконили кибершпионаж. Юристы изучили особенности пользовательского соглашения «десятки». / Псковские инженеры создают прототип летающего авто (ФОТО). Машина сможет преодолевать без посадки расстояние в 500 км. Читать дальше

© 2015, РИА «Новый День»

Подписывайтесь на каналы
Дзен YouTube

В рубриках