Миллион за пару минут. как хакеры грабят банки по всему миру

Снять деньги с карты без пин-кода через интернет

К сожалению, это далеко не все методы которыми может воспользоваться злоумышленник. Многих из данной категории людей интересует также вопрос: как снять деньги с карты сбербанка без пин кода через интернет, приложив при этом минимум усилий. В этом случае также есть несколько вариантов.

Создание копии карты

Сканирование магнитной ленты и изготовление копии пластика. Конечно же это технически сложный, но все возможный метод, которым пользуются многие злоумышленники. Это делается посредством специального оборудования, способного считать саму карту и увидеть ее пароль. Такое можно проделать либо в ненадежных магазинах или отдаленных от оживленных улиц банкоматах. Потому картой лучше пользоваться в крупных торговых центрах, где постоянно ведется видеонаблюдение.

Вирусные приложения

Снятие финансовых средств с карты, с помощью специальных приложений-вирусов. На гаджет (смартфон, планшет) может быть незаметно установлено приложение считывающие пароль и логин входа в интернет-банкинг и блокирует смс-сообщение, которое приходит на номер, используемый на смартфоне. Данным образом деньги с карты могут списываться, а владельцу не придет уведомление об совершенных операциях. Для того чтобы обезопасить себя от таких ситуаций нужно установить на гаджет специальную антивирусную программу.

Перевод средств с чужой карты на свою

Перечисление денег с украденной карты на свою. Такое также возможно, особенно если использовать специальные программы для входа на страницу интернет-банкинга владельца карты.

Кража личных данных со сторонних сайтов

Использование ваших данных. К примеру, при оплате гостиничного номера вы должны указать все данные карты, включая секретный код, размещенный на обратной стороне. А этих данных вполне достаточно для снятия финансовых средств с карты

Злоумышленники чаще всего снимают изначально незначительные суммы денег в пределах 500 рублей, рассчитывая на то что владелец просто не обратить на это внимание

Перекрестные ссылки

К примеру, вы проводите операции в интернет-банкинге, и заходя на свою интернет страницу вводите все данные карты в том числе логин и пароль. Однако при этом вы можете попасть не на реальную страницу банка, а на сайт злоумышленников, которые зная всю вышеперечисленную информацию легко смогут воспользоваться вашими деньгами, которые лежат на карте. И при этом совсем не обязательно знать пин-код.

Загрузчик модулей

Файл int.dll, получаемый в результате как первого, так и второго способов атаки, — это исполняемый файл Windows PE32 (DLL), предназначенный для загрузки других модулей вредоносного ПО с сервера управления. В качестве адреса сервера управления во время первой атаки использовался URL hxxps://help-desc-mecom/<псевдослучайная строка из ASCII-символов в нижнем регистре>/.

С периодичностью в одну секунду загрузчик модулей обращался к серверу управления по протоколу HTTP посредством GET-запросов. В случае получения HTTP-ответа с кодом 200 загружались зашифрованные модули и дешифровывались. После этого загрузчик запускал их в контексте своего процесса — это весьма распространенный метод затруднить детектирование вредоносного ПО. Результаты работы модулей отправлялись на сервер управления с помощью метода HTTP POST.

Загрузчик использовал достаточно оригинальный способ шифрования — бинарные данные, содержавшие загружаемые модули, были представлены в формате human readable content.

Human readable фрагменты, содержавшие дополнительный модуль вредоносного ПОЧасть кода загрузчика, отвечающая за декодирование получаемой нагрузки

В ходе динамического анализа на протяжении проводимых атак удалось получить три загружаемых модуля:

• исполняемый файл формата Windows PE (DLL) — модуль для создания скриншотов, загружается каждый раз, когда с управляющего сервера поступает задача сделать скриншот;
• исполняемый файл формата Windows PE (DLL) — модуль для получения списка запущенных процессов (имена исполняемых файлов и пути к ним). После выполнения отправляет данные обратно на управляющий сервер;
• полезная нагрузка Cobalt Strike Beacon версии 3.8, выдаваемая только в случае принятого хакерами положительного решения на основе полученной информации о зараженной системе.

Код получения скриншота экранаКод получения списка запущенных процессовАтака через вредоносный URL в письме, ведущий на исполняемый jar-файл

Скачать Сбербанк Онлайн бесплатно на телефон Андроид

Самая новая версия приложения с последними обновлениями всегда доступна в Play Market. В официальном магазине компании Гугл можно бесплатно скачать Сбербанк Онлайн на устройство. Первый вход в веб-кабинет Сбербанка выполняется после принятия пользовательского соглашения. Затем приложение проводит обязательное антивирусное сканирование смартфона — если на устройстве есть какие-либо проблемы безопасности, Вы получите полную информацию об этом.

Не могу скачать Сбербанк Онлайн на Андроид

В контакт-центр банка часто обращаются пользователи, у которых не получается скачать Сбербанк Онлайн. Наиболее распространены такие проблемы с установкой:

Как скачать мобильное приложение Сбербанка на смартфон с рут правами

В целях безопасности разработчик заблокировал возможность установки на смартфоны с root. Даже если приложение будет установлено, то в нем можно будет только оплачивать услуги и переводить деньги по шаблонам, которые были заранее созданы в интернет-банке или на не рутованном девайсе.

При желании пользователи имеют возможность обойти ограничения. Все действия выполняются на собственный страх и риск. Доступны такие способы:

1. Скрытие прав суперпользователя с помощью Magisk Hide. Оптимальный способ для официальных рутованных прошивок
2. Специальные модули для Xposed. Нужно скачать и активировать модуль BankShmut последней версии. После перезагрузки на устройстве будут доступны все функции Сбербанк Онлайн.
3. Отключение защиты через My Android Tools и подобных утилит. Необходимо в настройках приложения деактивировать AlarmReceiver. Сбербанк Онлайн будет сообщать об ограниченном функционале при каждом запуске, но это сообщение можно просто игнорировать.

Общая схема атаки

В результате анализа установлена общая схема атак.

Атака через вложенный файл, эксплуатирующий уязвимость CVE-2017-11882

Серверы C&C № 1 использовались хакерами для размещения загрузчика модулей, скачиваемого в момент второго этапа атаки. C&C № 2 — реальные управляющие серверы для удаленного взаимодействия. Также они использовались для передачи дополнительных модулей, предназначавшихся для дальнейшего потенциального распространения в сети жертвы.

Список C&C-серверов:

• servicenetupdatecom
• bankosantantdercom
• oracle-russiainfo
• help-desc-mecom
• billing-cbrru
• teredo-updatecom
• techupdateslivecom
• getfreshnewscom

Ладно, в этом есть здравый смысл. Можно как-то защитить карту от мошенников?

• Выучите ПИН-код. Лучше его нигде не записывать, а если всё-таки потребуется записать, то не носите бумажку с собой, держите отдельно от карты.
• Не используйте так называемые зарплатные карты для оплаты интернет-покупок.
• Переведите деньги с карточного счёта на депозит или установите суточные/месячные лимиты на все виды операций.
• Также деньги удобно переводить с карточного/текущего счёта на депозит, где до них куда сложнее добраться. Храните на платёжной карте небольшую сумму, а в случае необходимости переводите на неё деньги с депозита.
• Потеряв платёжную карту или опасаясь, что её украли или кому-то стали известны реквизиты, немедленно её заблокируйте, не ждите. Чаще всего потребуется позвонить в контактный центр банка, однако в мобильном приложении ForteBank, например, карту можно заблокировать насовсем или временно без контакта с оператором.

К вам незаметно подойдут с терминалом для бесконтактной оплаты

Вероятность потерять деньги: очень низкая, слишком затратный способ для мошенников.

С распространением бесконтактной оплаты поднялась паника — в любом месте массового скопления людей к тебе могут подойти с ридером и снять до 1000 рублей с карты. Теоретически это возможно — для снятия денег с помощью стандартного POS-терминала необходимо, чтобы между картой и устройством было расстояние не более 4 сантиметров. В любом виде общественного транспорта в час пик люди находятся друг к другу ближе.

Однако на практике всё намного сложнее.

• 4 сантиметра — это всё-таки мало. Если карта лежит в плотном кошельке в середине сумки, то добраться до неё стандартным терминалом не получится. Правда, в 2016 году в блоге «Лаборатории Касперского» рассказывали об эксперименте, в ходе которого исследователи собрали устройство, считывающее данные карты на расстоянии до 45 см. Правда, терминал получился очень большим, так что пришлось разместить его в тележке из супермаркета.
• Терминал активируется на несколько секунд. То есть вору нужно подойти к вам, незаметно ввести сумму и только после этого приложить устройство к сумке или карману, в котором находится карта.
• Нельзя списать деньги с одной карты несколько раз. После получения нужных данных терминал автоматически прекращает обмен с картой. Чтобы списать деньги с этого же или другого пластика, нужно заново вводить сумму.
• При бесконтактном считывании используется слишком много узлов, собирающих информацию о платеже: банк, который выдал карту, банк, на счёт которого будут зачислены деньги, платёжная система (Visa, MasterCard). Кроме того, POS-терминалы продаются только ИП и юридическим лицам и строго учитываются. 

В реальных условиях бесконтактный способ оплаты может стать проблемой только в случае потери карточки. Нашедший пластик человек может совершать покупки стоимостью до установленного лимита. Но если у вас включены оповещения, то вы быстро это обнаружите и заблокируете карту.

 Как защититься 

1. Не носите банковские карты в карманах. Пусть лежат в кошельке или в сумке.
2. Для параноиков — купите экранированный кошелек. Или просто оберните карточку фольгой.

ЭЦП

Вкратце: подпись — это результат хеш-функции от текста платежки,
«зашифрованной» на закрытом ключе клиента. Банк, получая платежку, проверяет хеш
от текста полученной платежки, потом «расшифровывает» подпись открытым ключом
клиента и сверяет результат. Если хеши совпали, значит, это действительно
платежка от клиента, и текст платежки достоверен. Решаются задачи целостности,
идентификации клиента и, кроме того, сам клиент потом НЕ МОЖЕТ отказаться от
этой платежки, так как она подписана верным ключом. Дело в том, что между банком
и клиентом подписывается договор, согласно которому все платежки с верной ЭЦП
банк должен отправлять. Поэтому, если кто-то украдет ключ пользователя, подпишет
платежку, то банк обязан исполнить ее, выполняя денежный перевод, куда сказано.
И если клиент потом пойдет с претензиями, что, мол, это не я отправлял, банк
покажет договор, покажет бумажки о генерации ключа, о признании этого ключа
клиентом, о том, что ключ был верный, и что денег клиенту он не должен. Короче,
сам потерял ключ — сам и виноват, банк ничего возмещать не обязан (хотя может,
если клиент ему дорог и сумма небольшая). ПО, работающее с ЭЦП по ГОСТу, у нас
гордо зовется «Система  Криптографической Защиты Информации» (СКЗИ). Такое
ПО проходит проверку ФСБ, и на него выдаются соответствующие сертификаты!
Алгоритм подписи — ГОСТ Р 34.10 2001. При этом алгоритм хеш-функции — ГОСТ Р
34.11-94. Разбирать и ломать криптографию никому не надо, ведь ключ можно
украсть или использовать прямо на месте.

Хакер № 1

Фото с сайта stock. xchng

В 1994 году, когда компьютеры и интернет не были так распространены, российский программист Владимир Левин украл более десяти миллионов долларов из американского банка. Сидя в своей комнате на Малой Морской улице в Петербурге, он взломал систему управления средствами нью-йоркского Citibank — одного из крупнейших банков планеты. За пять месяцев из банка Левин сумел украсть около 12 миллионов долларов.

Придя на работу утром 30 июня 1994 года, сотрудник гонконгского Philippe National Ваnk Int. Finance Ltd., обнаружил, что со счетов пропали 144 тысяч долларов. Он увидел, что эти деньги при посредничестве Citibank были переведены на другой счет, только вот неясно, куда именно. В Нью-Йорке сказали, что проблема не в них, так как все транзакции фиксируются, и они никаких денег не переводили. Через пару недель деньги загадочным образом исчезли со счетов в Уругвае. Тогда Citibank обратились в ФБР, чтобы начать расследование.

Левин переводил деньги на счетов в Финляндию, Германию, Израиль, США и Нидерланды. Сначала ФБР арестовывало его помощников, которые пытались обналичить счета. У всех у них были найдены поддельные паспорта и билеты до Санкт-Петербурга. Самого Левина арестовали в марте 1995 года, в 1998 году его приговорили к трем годам лишения свободы.

До сих пор неизвестно, каким образом Левин проник в компьютерную сеть Citibank. Сам хакер на суде отказался раскрывать подробности взлома. Существует версия, что доступ к системам изначально получила некая группа российских хакеров, после чего один из них продал методику Левину за 100 долларов.

Чтобы разместить новость на сайте или в блоге скопируйте код:

На вашем ресурсе это будет выглядеть так

Миллион за пару минут. Как хакеры грабят банки по всему миру
Пожалуй, впервые в Беларуси случилась масштабная хакерская атака на банк, из-за которой были выключены банкоматы. FINANCE.TUT.BY вспомнил пять самых громких и крупных…

Как не стать жертвой

Никто не сбережет ваши деньги лучше вас. На кражи через специальные программы и списания после разговоров с преступниками не распространяется ни одна страховая программа банковских карт. Вот несколько правил, которые помогут вам не потерять деньги.

• Не сообщайте незнакомым людям по телефону никаких данных.
• Если вам звонят с незнакомого номера и сообщают об угрозе списания средств, кладите трубку и перезванивайте в банк по номеру, который указан на карте. Лучше набрать его вручную.
• Включите функцию «антиспам» в браузере.
• Не переходите по ссылкам из СМС с незнакомых номеров, не скачивайте никаких программ.
• Не верьте в выигрыш денег и компенсации, если вы нигде не участвовали и не оставляли никаких заявлений.
• Подвергайте все услышанное по телефону сомнению.

Если вы стали жертвой мошенника, немедленно обратитесь в полицию.

Обнаружили ошибку? Выделите ее и нажмите Ctrl + Enter.

Анализ риска взлома мобильного банка

Для защиты клиента используются антивирусные программы на мобильном устройстве. Кроме того, рекомендуется включать блокировку экрана с помощью одного из методов аутентификации. В приложениях некоторых банков есть даже встроенные антивирусные модули, которые проверяют устройство перед запуском основной функциональности. Некоторые антивирусы имеют функцию «антивор», которая стирает все данные на телефоне в случае его утери и последующего подключения к Сети. 

На стороне банка рекомендуется использовать метод идентификации устройства, на котором запущено приложение. Сбор данных о привычках пользователя обеспечит выявление аномального поведения, что позволяет динамически менять лимиты на операции в зависимости от уровня доверия. Для новых устройств можно использовать процедуру более строгой аутентификации.

Также логично использовать идентификатор мобильного устройства — т.н. отпечаток. При первом запуске приложения он фиксируется, а потом проводится строгая аутентификация пользователя, чтобы привязать номера телефонов и адреса почты к конкретному гаджету. В дальнейшем отпечаток используется для удостоверения личности пользователя, которому достаточно ввести свой PIN-код для допуска к банковской системе. Этот механизм можно усилить, установив ограничения на количество применяемых клиентом устройств.

Классификация

Системы ДБО бывают разными, и поэтому работа с ними тоже протекает
по-разному. Проведу быструю классификацию:

• Толстый Банк-Клиент
• Тонкий Банк-Клиент
• Интернет-Клиент
• Мобильный-Клиент
• ATM-Клиент

Толстый

Этот мамонт — прародитель системы, используется издревле, но до сих пор. Его
особенность в том, что пользователь системы работает с БД локально! Это
означает, что копия его счета лежит у него в файле, и он аутентифицируется
локально в БД, а там с помощью выданного банком ПО он и работает — создает
платежки. Потом он соединяется сервером банка — по модему напрямую или через
интернет, базы синхронизируются, подписи проверяются, и клиент может обрубать
соединение и смотреть, что и как синхронизировалось, какие платежки ушли, какие
нет, и сколько денег у него осталось.

Тонкий

Клиент работает со счетом из браузера. Это означает, что он работает уже
через веб-интрефейс (иногда через специальный интерфейс на Java) и локальной
базы у него нет, но, тем не менее, ему накатываются плагины к браузеру в виде
Java-апплетов или ActiveX, чтобы делать подписи (электронная подпись ставится
локально, так как секретный ключ находится у клиента). Зачем ActiveX? Затем, что
в Windows по умолчанию нет криптопровайдера для подписи согласно ГОСТ. Поэтому
необходимо дополнительное ПО, которое будет ставить подпись по всем законам.

Интернет-Клиент

То же самое, что и тонкий, только тут я его выделил в отдельную группу, так
как никаких ActiveX не ставится, а используются одноразовые пароли или иные
приблуды без установки ПО от банка. Такое чаще всего реализовано для физических
лиц, которым электронная подпись не нужна.

Мобильный

То же, что и интернет, только подтверждение платежа происходит с помощью
мобильного телефона. Например, с помощью посылки на телефон одноразового пароля.

АТМ

Работа со счетом осуществляется через банкомат.

Юридические лица — компании, фирмы, государственные учреждения и т.п.
используют в большинстве своем толстые и тонкие БК. При этом еще остались
мамонты, которое работают по телефонной линии через модем. Но наибольшую
популярность набирают именно тонкие клиенты, так как они легче в установке и
эксплуатации.

Засудили?

Дело это совсем не однозначное, и возникает целый ряд вопросов. Из всех переводов денег – а как мы помним, хакеры заработали чуть ли не 4 миллиона долларов – был подтвержден только один, на 40 тысяч. И какое отношение они имеют непосредственно к хакерам, сказать сложно. На webmoney-кошелек Максакова действительно поступали деньги. Но, во-первых, суммы платежей были весьма скромными, а во-вторых, выписок со счетов Арутчева, Петрова или других, подтверждающих, что это именно они отправляли деньги, не имеется. 

Как мы уже знаем, главные улики – найденные CD-диски. На диске, обнаруженном у Петрова, так и было маркером крупно выведено: «ХАКЕР». И программы, которые там содержались, были в своей массе вирусами под MS-DOS. Как с помощью такого набора софта заработать 4 миллиона, суд не объяснил. Но гораздо интереснее то, что у Максакова был найден диск с точно таким же набором программ! Очень странное совпадение, однако же.

В Сети создали сообщество zasudili.livejournal.com, где были представлены аргументы в защиту ребят. По рунету распространилось обращение друзей Саши Петрова, доказывающих абсурдность обвинения.
В обращении было сказано, что компакт-диск был подброшен, а программы на нем – утилиты, написанные в 1995-1997 годах. И подобным софтом букмекеров не поломаешь.

На ребят оказывалось давление, а адвокат Петрова даже не приехал на оглашение приговора – не исключено, что под давлением органов. Защита хакеров указывает на смену экспертов во время суда. Первый эксперт доказывал бесполезность программ на пресловутом CD, а новый уже четко работал на следствие, утверждая, что (цитирую обращение) «от хакеров падают самолеты и взрываются АЭС». 

Это еще не все. Дактилоскопическую экспертизу компакт-диска, со снятием отпечатков пальцев и прочим, не провели. Таким образом, доказательства, что диски действительно принадлежали хакерам, а не подброшены, предоставлены не были.
Кроме того, вызывает удивление ажиотаж вокруг процесса. На оглашение приговора приехали представители всех шести федеральных каналов. Также присутствовали представители Великобритании. Друзья Петрова, говоря об этом, называют процесс «заказухой».
Один из экспертов назвал это обращение «грустным бредом». 

Для объективности изложу ниже его аргументы.

1. Нелояльности суда не было. Все заседания записывались на самые надежные носители – ноутбуки подсудимых.
2. Некомпетентность экспертов. Во время суда ни один довод экспертов не был опровергнут. Эксперты поясняли обвиняемым, где и на чем они прокололись. Уровень экспертов был очень высок.

Это основное. Еще там разносится «английский след» — мол, большие сроки не связаны с тем, что дело находилось под контролем Скотленд-Ярда, адвокаты упрекаются в некомпетентности в области компьютерных вопросов, и даже говорится пара слов о нашем журнале. «Хакер» называется провокаторским. Полностью мнение эксперта, согласного с приговором, можно прочесть на сайтеwww.ellf.ru. 

Взлом карты, бездействие банка

Добрый день! Первый раз столкнулась с столь негативной ситуацией со стороны Сбербанка. Дело в том, что у меня есть кредитная карта данного банка, которой я периодически пользуюсь(т.е регулярно вношу ежемесячные платежи и.т.д). Именно по этой причине, я подозреваю, что данные с карты были считаны именно там.В Вашем же отделении. Я написала заявление в отделении банка, где получала карту(9038/1797). Как взломать кроссфаер на кредиты. Сбербанк кредит наличными заполнить заявку онлайн.

Номер карты обычно публикуется для благотворительных сборов, но я поняла, что вы в таком деле не участвуете. Заметьте, что все платежи в интернете происходят по всем цифрам на вашей карте обычно, даже срок годности надо указывать. Так что, по одному номеру никто ничего не сможет с картой делать, другое дело, когда вы ее ненадежно храните или теряете, тут надо сразу блокировать по телефону.

0day

Но вернемся к клиенту, так как он все-таки более частая жертва. Два года
назад, когда я работал в одном питерском банке, мне было так скучно, что я решил
поковырять ActiveX популярного банк-клиента на предмет уязвимостей (BSS).
Фаззинг ничего не дал, так как формат принимаемых данных был сложным, но так как
время у меня было, я просто медленно и верно восстанавливал формат входных
данных. Когда формат был восстановлен, я указал очень большой параметр в текущем
формате. Итог банален — переполнение буфера. Тогда я проверил еще два популярных
коробочных продукта (Inist, R-Style). И там уже банальным фаззингом нашел как
переполнения буфера, так и небезопасные методы в ActiveX (вспоминаю сейчас
доклад на CC’10 Алексея Трошичева про фаззинг в процессе разработки и вопросы
программистов из зала на тему «нафиг это надо?». Вот ответ. Хотя анализ исходных
кодов — также вещь необходимая и важная). И вот прошло два года, и я решил
просмотреть еще один ActiveX, который не досмотрел тогда, естественно,
отечественный и популярный — Faktura.ru от ЦФТ :). Фаззинг ничего не дал (как и
два года назад). Но в этот раз я привлек банальную внимательность, которая
никогда не повредит. И вуаля — было найдено переполнение буфера в одном
свойстве, которое эксплуатировалось только в связке с другими свойствами и
методами…

Понятное дело, что фаззеры неэффективны, когда формат данных или
последовательность вызовов нетривиальна. Так получилось, что четыре из четырех
ActiveX, которые я посмотрел «чисто из любопытства», содержали критические
уязвимости (сейчас все исправлено, слава DSecRG, политика которых заключается в
бесплатном уведомлении отечественных разработчиков без распространения
технических деталей в публикациях). При этом стоит учесть, что два банк-клиента
сдались простейшему фаззеру ActiveX, что говорит о том, что злые парни тоже
могли бы их найти (в отличие от других двух, где фаззеры не дали результатов).

Inter-PRO от Сигнал-КОМ — локальный BoF

Но это еще не все — я решил глянуть на СКЗИ и его окружение, вернее, на
Inter-PRO от Сигнал-КОМ — клиент-серверное приложение, отвечающее за передачу
данных по сети. Само приложение содержит вшитый модуль СКЗИ, который
сертифицирован ФСБ (чтобы шифровать, не нарушая закон). Так вот, данное ПО
содержало аж три уязвимости (и мы уже говорим не про ActiveX, а про полноценное
клиент-серверное ПО). Одна из ошибок удаленная (в серверной части) и фактически
позволяет «отключить» любой банк, который использует у себя Inter-PRO (DoS).
Риски снижаются за счет того, что «отключить» банк может только законный
пользователь банка, имеющий валидный ключ (любой клиент), а не каждый
встречный-поперечный. Одна из уязвимостей была и в клиенте — переполнение буфера
с возможностью выполнения произвольного кода (для этого вектора атаки надо иметь
доступ на запись к файлам клиента или подсунуть свой файл, что, опять-таки,
сильно снижает вероятность реальных атак). В любом случае, такие ошибки в
критическом продукте — неприятность. Добавлю, что из всех производителей лишь ПО
от Сигнал-КОМ использовало защитные механизмы компилятора — /GS (понятно, что
есть пути обхода GS, но в данном билде они были неприменимы, и это позволило
лишь выполнить удаленный DoS вместо Code Execution). Было бы хорошо, если бы
такие слова, как Permanent DEP, ASLR, SEHOP, GS были знакомы всем программистам,
ведь в связке эти штуки способны сильно-сильно поломать планы злым хакерам.
Пример — все тот же Inter-PRO — если бы не GS, то была бы печальная история, а
так — просто невнимательность и неприятность.

Добавлю, что пользователь может знать об уязвимостях во Flash, Acrobat Reader,
Windows и т.д., но про уязвимости в отечественном продукте он не узнает — 
никто этим не занимается, на этом баг-хантерам денег не сделать (бывают
исключения, но они скорее другого рода).

Не клиентом единым

К слову, ломать могут не только клиентов, но и сам банк. Казалось бы, это
нереально, но тут есть, где развернуться — последний опыт пен-тестов показал,
что нашим разработчикам систем есть куда развиваться. В разное время и в разных
системах был найден классический набор ошибок: XSS-, SQL-инъекции, логические
ошибки доступа, отсутствие шифрования критичных данных и т.д., и т.п. Примеры
векторов атак при этом могут быть разными, но основа все-таки почти всегда
полу-инсайдерская. Дело в том, что если у тебя уже есть доступ к БК, то есть,
фактически, ты — клиент банка, то возможностей по взлому самого банка у тебя на
порядок больше, нежели ты был бы простым внешним пользователем. Мой любимый
пример логической ошибки: хочешь ты перевести рубли в доллары, БК предоставляет
такой функционал, у тебя, соответственно, два счета — валютный и наш,
деревянный. Скрипт перевода выглядит так: на вход сумма в рублях и валюта. На
выходе — сумма в рублях, текущий курс, сумма в долларах и хеш. После
подтверждения пользователем, что он согласен на перевод, это все кидается в
третий скрипт, который проверяет хеш (это от CSRF) и обрабатывает ввод, делая
update в БД. Так вот, на втором шаге можно изменить курс доллара на более
выгодный, а второй скрипт уже не проверяет курс… Это пример логической ошибки.
Описывать SQL-инъекции и XSS не смысла — все уже знакомы с таким видом дырок…

USB-Token

Многие банки, интеграторы-безопасники и т.д. говорят, что USBToken защитит
всех нас от хищения ЭЦП. Что же такое USB-Token? Это железка в виде
USB-устройства, внешне похожего на обычную флешку. Внутри этой «флешки» прошит
секретный ключ и микросхема, которая принимает на вход данные, подписывает их по
ГОСТу внутри себя (с помощью ключа) и на выход обратно кидает уже подпись. Это
достаточно круто, ведь тогда ключ нельзя скопировать и украсть. Но, к сожалению,
можно просто подменить входные данные или вообще поставить жертве R-Admin, а
можно и туннелировать трафик USB на машину злого хакера. В общем, все это — не
панацея, а недавние реализации зловредов уже включали в себя такой функционал.
Так что USB-Token просто снижает риски. Это все, что про него можно сказать.
Хотя есть более крутые Token’ы с одноразовыми паролями и т.д., но массового
внедрения пока нет, да и слабые места в виде перехвата ввода пароля и
использование его для подложной платежки также возможны. Защита клиента должна
включать в себя целый комплекс мер: сегментация физическая, логическая, удаление
ненужного функционала, ограничение доступа в интернет, ключевая политика,
парольная политика, патч-менеджмент, антивирусная защита и все в таком духе.

Мошенники сняли деньги с карты: как вернуть деньги

Если все-таки вы попались на удочку и мошенники сняли деньги с карты как вернуть потерянные средства? Шансы на это есть, хотя они и чрезвычайно малы.

Итак, для начала разберем, куда обращаться если мошенники сняли деньги с банковской карты. Действовать следует по такому алгоритму:

Незамедлительно позвонить в банк и сообщить о хищении, а также потребовать заблокировать карту.
Обратиться с письменным заявлением в банк-эмитент о несогласии с совершаемой операцией

Важно делать два экземпляра с отметкой банка, чтобы одно оставить у себя для подтверждения в суде.
Подать в правоохранительные органы заявление о хищении.. Однако это не гарантирует, что вы вернете свои сбережения

Рассмотрим пример, возвращает ли Сбербанк деньги украденные мошенниками с карты

Однако это не гарантирует, что вы вернете свои сбережения. Рассмотрим пример, возвращает ли Сбербанк деньги украденные мошенниками с карты.

Защищать права владельцев средств на карточном счете должен Федеральный закон N 161-фз «О национальной платежной системе». В частности, в ст. 9. п.4 говорится о том, что в обязанности банка входит:

«информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления».

Это обычно происходит в момент совершения операции или на следующий день. В качестве уведомления может служить:

• сообщение смс;
• рассылка на электронный ящик;
• письмо в интернет-банке.

В обязанность клиента банка входит незамедлительно сообщать в банк в случае использования карточки без согласия держателя. Это необходимо сделать в течение суток с момента получения уведомления о списании средств мошенниками (Ст.9, п.11 Закона «О национальной платежной системе»).

По закону банк обязан возместить суммы несанкционированных операций с банковской карты в следующих случаях:

• если банк не направлял уведомлений об операциях;
• когда банк все-таки уведомил клиента, и он вовремя подал заявление о несогласии (Ст.9, п.12 Закона «О национальной платежной системе»).

Срок рассмотрения претензии клиента к банку – до 30 дней. При положительном решении денежные средства будут возвращены на счет банковской карты. Но при отрицательном – вам должны предоставить мотивированный отказ.

В каких же случаях финансы не возвращают? Причин может быть несколько. Например, если у банка получилось доказать, что причиной проведения несанкционированных операций стало нарушение использования клиентом порядка использования электронного средства платежа. Эти правила должны быть опубликованы на официальном сайте банка. А в них нередко значится, что сообщать секретную информацию третьим лицам нельзя.

Другой мотив для отказа – это подозрение, что аферистом является сам пострадавший. Бывают случаи, когда мошенники переводят деньги на карту, а потом возвращают через банк. И возникает ситуация, когда приходится доказывать, что ты не верблюд.

Когда мошенники сняли деньги с банковской карты, судебная практика говорит о том, что не всегда удается восстановить справедливость. Потому что пострадавшему лицу в таком деле очень сложно доказать свою правоту в суде.

Случаи возмещения Сбербанком украденных аферистами средств есть. Но их не так много. Поэтому если потеря невелика, следует взвесить, прежде чем обращаться в суд, стоит ли тратиться на услуги адвоката и судебные издержки, если решение будет принято не в вашу пользу.

Теперь вы знаете, что делать, если мошенники сняли деньги с карты. Но, надеюсь, наш опыт, предостережения и советы уберегут вас от такой неприятности как обман аферистов. И вам не придется решать непростую задачу как вернуть деньги.