На этот раз жертвами становятся не физические лица. Злоумышленники обнаружили несовершенство «сценариев» перевода между клиентами.
Новый способ мошенничества с банкоматами достаточно незатейлив. Нужны лишь оперативная связь и мгновенно реагирующий партнёр.
Новый способ мошенничества условно можно отнести к видам по отмене совершённых через банкоматы транзакций с карточки одного физлица, на карточку другого.
Всё дело в обычном несовершенстве «сценариев» проведения таких операций. Странно, что службы безопасности банков самостоятельно не смогли вскрыть такой достаточно простой канал хищений.
Действует он следующим образом. Злоумышленником выбирается в банкомате функция по переводу от одного клиента к другому. Вставляет свою карточку и спокойно указывает номер карты, куда нужно отправить средства.
Банкомат, через который проходит транзакция, незамедлительно отправляет два авторизованных сообщения. Одно попадает в банк, с карточки которого предстоит списание денежных средств. Другое – банку на платёжное средство которого будет выполнен перевод.
Финансовые учреждения проверяют, располагает ли отправитель достаточной суммой. Если да, то одобрение на транзакцию поступает в банкомат от обоих банков почти одновременно.
Выполняется фактическая отправка средств. Естественно, на карте получателя баланс увеличивается. На карточке отправителя в это время сумму перевода замораживают. Вот он момент для мошенников.
Той порой банкомат запрашивает, согласен ли отправитель, чтобы с него списали комиссионные за проведённую операцию. Тот и не думает соглашаться.
После этого банком-инициатором отправляется сообщение про возврат в адреса банка-отправителя и банка-получателя.
«Замороженные» средства разблокируются. Однако, до этого времени сообщник злоумышленника уже успевает снять деньги, поступившие ему на карточку. Просто и элегантно.
Центробанк рекомендует финансовым учреждениям, во избежание такого мошенничества, проверить насколько корректны сценарии работы их банкоматов при таких операциях.
Наиболее желательным является чтобы «размораживание средств» происходило лишь после того, как переведённые средства были успешно возвращены.
Ну, или самое простое. Получать подтверждение о согласии на взимание комиссии до того, как станут отправляться авторизационные сообщения на операцию.
Центробанк не сообщили, банкоматы каких российских банков имеют такую уязвимость. Возможно, что не всех. Так что не стоит спешить повторять опыт мошенников.