ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Вот так номер: деньги с карт снимают без PIN-кода

Сотрудники Business FM обнаружили серьезную уязвимость в системе оплаты покупок банковской карточкой. Всего одна кнопка на кассовом терминале делает абсолютно бессмысленной авторизацию владельца пластика, и воспользоваться ей может каждый



Фото: Евгений Курсков/ТАСС

Можно ли оплатить покупку в кассовом терминале без PIN-кода и подписи на чеке? Оказывается, да. Эту возможность обнаружил бренд-войс Business FM Андрей Иванов. Он вводил PIN-код карты, неверно набрал цифру и случайно вместо желтой кнопки «Коррекция» нажал красную «Отмена». Сразу после этого произошла транзакция на сумму покупки.

Андрей Иванов

бренд-войс Business FM

«Для меня стало открытием, что по карте, эмитированной банком ВТБ24, можно оплатить покупку, не вводя PIN-код. Причем это случилось один раз на заправке ТНК-ВР. Потом я это проверил в «Кофемании» и еще в каком-то продуктовом магазине. Многократно проверял эту функцию, она работает во всех терминалах, терминалы эти принадлежат разным банкам».

Для чистоты эксперимента сотрудники Business FM попробовали оплачивать покупки в магазинах картами других банков. И каждый раз, когда нас просили ввести PIN-код, нажимали красную кнопку. Оплата проходила без каких-либо проблем. На «горячей линии» ВТБ24 оператор объяснил, что возможность оплаты покупки без пин-кода зависит не от карты, а от кассового терминала.

«По какой причине именно в данном терминале без ввода PIN-кода проходит оплата, к сожалению, возможности уточнить нет. Вы можете уточнить это непосредственно в организации, где установлен терминал. Либо PIN-код вводите, либо подпись на чеке, но по какой причине терминал принимает без ввода PIN-код — это уже неисправность терминала».

Один из терминалов, где сработала красная кнопка, принадлежал Сбербанку, поэтому Business FM обратилась в его колл-центр с вопросом, почему так произошло. Вот что там сказали:

— В данной ситуации виноваты все-таки сотрудники Сбербанка.

— То есть не настроили?

— Возможно, да.

Дальнейшее расследование показало, что проблема кроется не только на стороне банка. Есть строгая инструкция по авторизации владельца карты. По правилам, если человек решил расплатиться пластиком, оператор обязан потребовать у него паспорт, сравнить подпись с подписью на карте, а далее попросить ввести PIN-код или расписаться на чеке и сравнить эту подпись с теми, что стоят на документе и пластике. Процедура сложная, и так никто не делает, просто просят ввести PIN или расписаться. Но и от этой процедуры можно отказаться, рассказал Business FM замруководителя криминалистической лаборатории компании Group-IB Сергей Никитин.

Сергей Никитин

замруководителя криминалистической лаборатории компании Group-IB

«По правилам вот этого торгово-сервисного предприятия (это магазины, рестораны и так далее) кассир может проводить транзакцию в разных режимах — с запросом PIN-код, по подписи. И то, что при нажатии кнопки «Отмена» транзакция проходит без запроса PIN-кода — это просто определенная возможность для вот этого предприятия провести так платеж. Это совершенно нормально. Это сам оператор или кассир может выбирать, каким образом проводить платежи».

Теперь ситуация: карта потерялась или ее украли. Владелец уверен, что «PIN-доступ» к его счету для злоумышленников будет закрыт. Это отчасти правда — если они станут снимать наличные в банкомате. В интернет-магазине такой картой расплатиться тоже сложно: хотя бы потому, что доставка товара требует какого-то времени, и за это время преступника могут найти. А вот пойти в магазин и отовариваться на крупную сумму злоумышленнику ничто не помешает. Ведь для оплаты, как показал опыт, ни подпись, ни PIN-код в реальности не нужны. И защиты от этой серьезной уязвимости нет.