ЦБ РФ описал очередной способ мошенничества при переводе средств с карты на карту через банкомат. Схема основана на несовершенстве сценариев обработки р2р-перевода (перевод между физическими лицами) в некоторых банкоматах, указывается в обзоре компьютерных атак в финансовой сфере за 2018 год.
Данный вид атак можно условно отнести к мошенничествам с отменой транзакций (TRF-атаки, transaction reversal fraud). Метод заключается в следующем: злоумышленник выбирает в банкомате перевод от клиента к клиенту и указывает номер карты получателя. Терминал направляет два авторизационных сообщения - банку-отправителю и банку-получателю. Одобрение на совершение операций поступает в банкомат практически одновременно, а затем осуществляется фактическая транзакция, когда на карте получателя сумма увеличивается, на карте отправителя в этот момент сумма перевода замораживается.
Далее терминал запрашивает у отправителя согласие на списание комиссионных за перевод, однако следует отказ и сообщение о возврате отправляется обоим банкам. Замороженные на карте средства разблокируются, но к этому времени получатель уже успевает снять отправленную сумму.
Для предотвращения мошенничества подобного рода регулятор рекомендует банкам проверять корректность сценариев работы банкоматов. В числе мер для минимизации рисков предлагается отправлять одобрение на отмену операции отправителю только после уведомления об успешном возврате переведенных средств со стороны банка-получателя, а также получать согласие на взимание комиссии за перевод до отправки авторизационных сообщений на операцию.