ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Вот так номер: деньги с карт снимают без PIN-кода

Съем денег с карт

Сотрудники Business FM обнаружили серьезную уязвимость в системе оплаты покупок банковской карточкой. Всего одна кнопка на кассовом терминале делает абсолютно бессмысленной авторизацию владельца пластика, и воспользоваться ей может каждый.

Можно ли оплатить покупку в кассовом терминале без PIN-кода и подписи на чеке? Оказывается, да. Эту возможность обнаружил бренд-войс Business FM Андрей Иванов. Он вводил PIN-код карты, неверно набрал цифру и случайно вместо желтой кнопки "Коррекция" нажал красную «Отмена». Сразу после этого произошла транзакция на сумму покупки.

"Для меня стало открытием, что по карте, эмитированной банком ВТБ24, можно оплатить покупку, не вводя PIN-код. Причем это случилось один раз на заправке ТНК-ВР. Потом я это проверил в "Кофемании" и еще в каком-то продуктовом магазине. Многократно проверял эту функцию, она работает во всех терминалах, терминалы эти принадлежат разным банкам", – отметил Андрей Иванов.

Для чистоты эксперимента сотрудники Business FM попробовали оплачивать покупки в магазинах картами других банков. И каждый раз, когда нас просили ввести PIN-код, нажимали красную кнопку. Оплата проходила без каких-либо проблем. На "горячей линии" ВТБ24 оператор объяснил, что возможность оплаты покупки без пин-кода зависит не от карты, а от кассового терминала.

"По какой причине именно в данном терминале без ввода PIN-кода проходит оплата, к сожалению, возможности уточнить нет. Вы можете уточнить это непосредственно в организации, где установлен терминал. Либо PIN-код вводите, либо подпись на чеке, но по какой причине терминал принимает без ввода PIN-код – это уже неисправность терминала".

Один из терминалов, где сработала красная кнопка, принадлежал Сбербанку, поэтому Business FM обратилась в его колл-центр с вопросом, почему так произошло. Вот что там сказали:

– В данной ситуации виноваты все-таки сотрудники Сбербанка.

– То есть не настроили?

– Возможно, да.

Дальнейшее расследование показало, что проблема кроется не только на стороне банка. Есть строгая инструкция по авторизации владельца карты. По правилам, если человек решил расплатиться пластиком, оператор обязан потребовать у него паспорт, сравнить подпись с подписью на карте, а далее попросить ввести PIN-код или расписаться на чеке и сравнить эту подпись с теми, что стоят на документе и пластике. Процедура сложная, и так никто не делает, просто просят ввести PIN или расписаться. Но и от этой процедуры можно отказаться, рассказал Business FM замруководителя криминалистической лаборатории компании Group-IB Сергей Никитин.

"По правилам вот этого торгово-сервисного предприятия (это магазины, рестораны и так далее) кассир может проводить транзакцию в разных режимах – с запросом PIN-код, по подписи. И то, что при нажатии кнопки "Отмена" транзакция проходит без запроса PIN-кода – это просто определенная возможность для вот этого предприятия провести так платеж. Это совершенно нормально. Это сам оператор или кассир может выбирать, каким образом проводить платежи", – заметил Сергей Никитин.

Теперь ситуация: карта потерялась или ее украли. Владелец уверен, что "PIN-доступ" к его счету для злоумышленников будет закрыт. Это отчасти правда – если они станут снимать наличные в банкомате. В интернет-магазине такой картой расплатиться тоже сложно: хотя бы потому, что доставка товара требует какого-то времени, и за это время преступника могут найти. А вот пойти в магазин и отовариваться на крупную сумму злоумышленнику ничто не помешает. Ведь для оплаты, как показал опыт, ни подпись, ни PIN-код в реальности не нужны. И защиты от этой серьезной уязвимости нет.

Автор статьи: Михаил Баженов


БФМ.РУ (11.08.2015 в 09:34) | вверх страницы | к списку статей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"