Клавиатура банкомата сбербанка: Как пользоваться банкоматом Сбербанка « Блог о банковских картах

Содержание

пять раз нажимай и в систему попадай / Хабр


Помните одну из тех самых надоедливых возможностей Windows, особенно знакомую геймерам, когда пятикратное нажатие Shift вызывает специальное окошечко, предлагающее включить режим залипания клавиш? Эта «фича» дожила аж до Windows 10, к слову. Ну так вот, я, стоя у терминала Сбербанка с полноразмерной клавиатурой и ожидая ответа оператора по телефону, от скуки решил понажимать этот самый Shift, наивно полагая, что без функциональных клавиш это ни к чему не приведёт. Как бы не так! Пятикратное быстрое нажатие этой клавиши выдало мне то самое окошечко, к тому же обнажив панель задач со всем банковским ПО. Остановив работу пакетного файла (см. панель задач на видео ниже), а затем и всего банковского ПО, можно сломать терминал.

«Такое себе» — подумал я и попытался сообщить о найденной проблеме. Подобное желание у меня возникло впервые, поэтому я не придумал ничего лучше как обратиться к сотруднику Сбербанка с вопросом о том, кому можно сообщить. Девушка довольно неохотно ответила, что она ничего не знает, на вопросы о том, как связаться с начальством, ответила лаконичным молчанием и посоветовала обратиться в службу поддержки по телефону, написанному на самом терминале. Окей, звоним. К сожалению, записи разговора нет, осталась лишь картиночка-скриншот с датой звонка.

В техподдержке приветливая девушка после того, как я сказал, что хочу сообщить об уязвимости, сразу переключила меня на какого-то другого специалиста. Тот сначала спросил как ко мне можно обращаться и номер терминала, затем о сути проблемы, потом я достаточно долго слушал музыку, и, в конце концов, парень сказал, что проблема зафиксирована. На вопрос о том, полагаются ли какие-то бонусы за сообщение о подобных проблемах, он ответил, что такой информацией не располагает. На этом разговор был окончен, однако я решил попытать счастье в третий раз и обратился к девушке, которая помогает клиентам с терминалами. Она тоже посмотрела на выскакивающее окошко, после чего посоветовала позвонить инкассаторам, на просьбу дать их номер я получил невнятные ответы.

Всё это происходило шестого декабря. Спустя две недели я решил проверить, что там с терминалом. Всё-таки, как-никак они сказали, что «зафиксировали» проблему, наверное же должны были её уже устранить, но нет — воз и ныне там, окошко всё так же всплывает. Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой. Посему за фактом бездействия Сбербанка сообщаю о весёлой акции «СберШифт» вам, дражайшие хабровчане.

UPDATE от 29.12.2017

TL;DR: уязвимость устранили, окошко больше не открывается. Проверил лично. За это дали ежедневник и кардхолдер.

Через день после данного поста со мной по электронной почте с домена sberbank.ru связался человек-представитель Сбербанка, собиравшийся «поднять вопрос о качестве консультации и проверить куда улетел отложенный вопрос». Связавшийся попросил мой номер телефона и дату, в которую было сделано обращение. Я ему сообщил эти данные, и через день после этого было сообщено, что работники Сбера уже исправляют проблему.

Далее, 22 декабря мне на мобильный телефон позвонили из местного отделения Сбербанка с просьбой прийти в головной офис для получения «извинительного подарка». В качестве такого подарка были вручены фирменный ежедневник и кошелёк для банковских карт. В этот же день я не поленился и сходил «в гости» к терминалу Сбербанка, потыкав ему Shift вновь. Реакции не последовало, а значит и проблема решена.

Сегодня же со мной связался Sberbank и попросил написать этот апдейт. Честно говоря, я давно намеревался это сделать, но учёба постоянно отвлекала. Сегодня же выдался свободный денёк. Собственно, цитирую с сохранением орфографии комментарий Сбербанка, который компания попросила сюда добавить:

Данная информация уже не является актуальной на сегодняшний день. К настоящему моменту описанная уязвимость устранена на всех аналогичных информационно-платежных терминалах Сбербанка, оборудованных расширенной полноразмерной клавиатурой. Также отмечаем, что описанная уязвимость не несла за собой каких-либо рисков для безопасности устройств. Применяемые средства защиты не позволяют произвести на терминале или банкомате каких-либо неправомерных действий, которые могли бы нанести вред клиентам или банку.

При этом, мы благодарны нашим клиентам за внимательность и обратную связь по обнаруженным особенностям конфигурации наших систем. В свою очередь, стараемся реагировать максимально оперативно и учитывать ваши пожелания по работе всех наших систем и сервисов.

Что делать, если банкомат Сбербанка съел карту? Куда звонить, если банкомат забрал карту Сбербанк?

Значительная часть владельцев пластиковых карт пользуется банкоматами для снятия наличных средств. Чаще всего с этим не возникает никаких проблем, но изредка устройства «съедают» карты. Происходить это может по разным причинам. Почему это происходит и что делать в таких условиях – читайте в этой статье.

Почему банкомат съел Вашу карту?

Код на чеке

Как вернуть карту обратно?

Обязательные действия

Когда вернут зажеванную карту?

Что делать, если деньги с карты нужны срочно?

Почему банкомат съел Вашу карту?

Существует несколько основных причин для конфискации карты устройством:

  • Карта находится в стоп-листе по причине кражи/утери. Банкоматы всегда проверяют такую информацию и, если данные совпадают, забирают платежное средство.
  • Клиент ввел ПИН-код неверно более 3-х раз. Это уже программные настройки. Предполагается, что если клиент не знает или не помнит код, то он, с большой долей вероятности, не является владельцем карточки.
  • Банкомат завис и съел карту. Такое тоже бывает. Из-за перебоев со связью, питанием, ошибок в ПО (программном обеспечении) и по другим подобным причинам устройство тоже может забирать карточки.
  • Карта просрочена. На каждом платежном средстве указан срок его действия. Если он истек, банкомат заберет такую карту. Нужно заказывать перевыпуск.
  • На карте есть повреждения или размагнитилась полоса. В такой ситуации банкомат не может точно определить платежное средство и просто «проглатывает» его. Следует учитывать, что даже если впоследствии забрать карту в отделении банка, воспользоваться ею все равно не получится. Нужно заказывать перевыпуск.
  • Подозрительная операция. Иногда, если клиент пытается сделать что-то подозрительное, с точки зрения банка, например, снять абсолютно все деньги со счета при том, что раньше клиент никогда такого не делал, устройство может забрать карту, определив операцию как мошенническую. Если действительно нужно снимать абсолютно все со счета, это лучше делать в отделении банка или, хотя бы, в том банкомате, который находится на территории отделения Сбербанка.
  • Вышел лимит по времени. После завершения работы с банкоматом, устройство выдает карту и ждет, пока клиент ее заберет. Если не успеть вовремя взять платежное средство, банкомат конфискует его для того, чтобы картой не смогли воспользоваться мошенники. Чаще всего подобное бывает тогда, когда клиент берет деньги и уходит, забыв про карту.

Код на чеке

Иногда, после того как устройство забирает карту, оно выдает чек с кодом. С его помощью можно хотя бы примерно узнать причину конфискации. В общем целом, это ничего не даст клиенту, но хотя бы станет понятно, почему возникла проблема. Выделяют три основных кода, которые используются практически во всех случаях вне зависимости от того, к какой системе относится платежное средство (Visa, MasterCard и так далее):

  • Карта изъята без объяснений. Самая распространенная причина. Определить, что именно произошло не получится.
  • Карта отмечена как утерянная и потому будет конфискована.
  • Карта отмечена как украденная и потому будет конфискована.

Как вернуть карту обратно?

Для того, чтобы вернуть карту обратно, нужно:

  1. Определить, чей конкретно банкомат использовался. От этого зависит, кто будет его инкассировать.
  2. Обратиться в службу поддержки нужного банка и уточнить, какое конкретно отделение занимается инкассацией целевого банкомата (придется объяснить причину интереса).
  3. Обратиться в отделение и уточнить у специалистов, когда будет производиться инкассация требуемого банкомата.
  4. В назначенный срок (а лучше на следующий день после инкассации, чтобы у сотрудников отделения было время правильно оформить все документы) обратиться в структурное подразделение.
  5. Написать заявление на возврат изъятой банкоматом карты. Нужно будет предоставить документы, подтверждающие личность и доказать, что данная карта действительно принадлежит заявителю.
  6. Забрать карту.

Нередко банкомат может просто зависать. Устройство не выдает карту, но и не съедает ее. Определить это визуально практически невозможно, так как во многих случаях клавиатура аппарата будет работать и изображения будут сменяться. Но вот ничего выдавать устройство не будет, как и обрабатывать какие-либо задачи. В такой ситуации следует подождать. Вполне вероятно, что устройство «развиснет» и выдаст платежное средство. На это уходит около 5 минут, но для надежности рекомендуется ждать порядка 20 минут. Важно помнить, что никакие нажатия ни на какие кнопки в данном случае не помогут. Существует ошибочное мнение, что, зажав кнопку «Отмена» можно добиться того, что аппарат «выплюнет» карту, но это не соответствует действительности. Максимум, чего можно добиться таким образом – «подвесить» систему еще больше. Если карта и выдается после нажатия на эту кнопку, то это лишь совпадение, связанное с тем, что именно в этот момент устройство «развисло».

Обязательные действия

Существует несколько обязательных действий, которые всегда нужно и не нужно делать. Это не повлияет на выдачу карты или ее возврат, но может обезопасить средства клиента. Рассмотрим подробнее.

Нельзя вскрывать терминал/банкомат

Вытащить карту из банкомата невозможно. Устройство не нужно пытаться вскрывать, это, во-первых, практически невозможно без соответствующего оборудования, а во-вторых, это все равно не поможет, так как внутренние компоненты устройства имеют собственную, отдельную защиту. Также не стоит отключать банкомат от сети, даже если по какой-то причине есть такая возможность. Во-первых, аппараты обычно оснащаются автономным источником питания и способны еще достаточно долго работать даже при отключении от сети. А во-вторых, отключенный аппарат автоматически съедает любую карту, даже если до этого он еще «думал», находясь в зависшем состоянии.

Нужно обязательно заблокировать карту

Как только аппарат съел карту, ее нужно немедленно заблокировать. Для этого на каждом таком устройстве есть контактные телефоны службы поддержки (актуально в том случае, если клиент работает с банкоматом того же банка, что и эмитированная карта). В любом случае, блокировав карту, клиент защищает свои средства от потенциальных мошенников.

Когда вернут зажеванную карту?

Если банкомат зажевал карту, то срок ее выдачи напрямую зависит от расположения устройства:

  • Банкомат расположен непосредственно в отделении банка. Самый простой вариант. Обычно сотрудники банка могут оперативно, не проводя полную инкассацию устройства, достать конфискованные карты, оприходовать их по всем правилам и сразу же выдать клиенту. В среднем не это уходит от получаса и до нескольких часов (зависит от наличия на месте нужных специалистов и их загруженности).
  • Банкомат расположен в проходном месте. Инкассация таких устройств проводится достаточно часто, как минимум 1 раз в неделю. Как следствие, сразу после инкассации можно забрать платежное средство в том отделении, которое отвечает за работу устройства. Если повезет, то уже на следующий день клиент получит свою карточку.
  • Банкомат расположен в непроходном месте. Такие аппарат инкассируются достаточно редко. Раз в 2-3 недели или даже реже. Как следствие, придется долго ждать, пока заберут карту.

Что делать, если деньги с карты нужны срочно?

В том случае, если банкомат забрал карту, а деньги нужно получить срочно, рекомендуется следовать данной инструкции:

  1. Взять документы, удостоверяющие личность (лучше всего обычный паспорт) и, желательно, договор на обслуживание, по которому клиент получал карту. Последнее не обязательно, но так найти данные по пользователю менеджеру банка будет намного легче.
  2. Обратиться в любое отделение банка, эмитировавшего карту. Особо следует отметить тот факт, что ориентироваться надо не на банк, которому принадлежит банкомат, а именно на тот банк, который выпускал карту. Лучше всего обращаться в то структурное отделение, где человек получал свою карту изначально, но это не обязательное требование.
  3. Написать заявление на выдачу средств без карты. Иногда может назначаться комиссия, но чаще всего такая выдача производится бесплатно. Заявление помогут написать менеджеры банка. Придется смириться с очередями, если отделение находится в проходном месте.
  4. Предоставить в кассу отделения заявление и паспорт. Уточнять сумму выдачи уже не нужно, она прописывается в заявлении. Чаще всего к этим документам прикладывается еще и распоряжение на выдачу средств из кассы, которое формирует менеджер банка.
  5. Подписать кассовый ордер и получить деньги. Нужно помнить, что иногда банк настаивает на том, чтобы одновременно с выдачей средств блокировать платежное средство. Впоследствии, после возврата карты, его придется разблокировать.

Альтернативных способов снять деньги практически не существует. Как вариант, клиент может зайти в свой личный кабинет, перечислить деньги другому человеку (например, близкому родственнику) и попросить его снять/отдать средства. Не рекомендуется просить о такой услуге не проверенных или вообще посторонних лиц, так как доказать тот факт, что средства перечислялись исключительно для выдачи владельцу, не получится.

Russian bank orders more BANQIT ATMsATM Marketplace

NewsSuppliersResourcesWebinarsPodcastsClassifiedsEvents

Subscribe
Main Menu

Home

NewsSuppliersResourcesWebinarsPodcastsClassifiedsEvents

Topics

Bank / Credit UnionBranch TransformationЦифровой банкингПрограммное обеспечениеБезопасностьПлатежиИнновацииДополнительные темы

More Content

ArticlesBlogsVideosPhotosPress ReleasesJobsMedia By Company

Stay Connected

SubscribeFacebookLinkedInTwitterRSS

My Account

ProfileClient Portal

Additional Links

AdvertiseAbout UsContact UsDesign Guide

news


СТОКГОЛЬМ, Швеция — Российский Сбербак, установивший более 900 банкоматов BANQITQ-Cash, разместил заказ еще на более чем 300 банкоматов.

Согласно пресс-релизу, BANQIT и его российский реселлер SmartCard-Service являются ведущим поставщиком банкоматов для Сбербанка, который является одним из крупнейших в мире банков с примерно 20 000 отделений, которые обслуживают около 80 процентов всех банковских счетов физических лиц в России.

Генеральный директор SmartCard сказал в пресс-релизе: «Клиенты банка особенно ценят интуитивно понятный пользовательский интерфейс и конфиденциальность, обеспечиваемую встроенным устройством чтения карт и встроенной клавиатурой для ввода PIN-кода».


Bank / Credit UnionManufacturers


СЛЕДИТЕ ЗА НОВОСТЯМИ И ТЕНДЕНЦИЯМИ В ОБЛАСТИ АТМ И ЦИФРОВЫХ БАНКОВСКИХ УСЛУГ

Подпишитесь на рассылку ATM Marketplace и получайте самые важные новости прямо на свой почтовый ящик.

Политика конфиденциальности

ГЛАВНЫЕ ИСТОРИИ

Анализ банковских тенденций в 2023 году

Оглядываясь назад: лучшие блоги 2022 года

Спекуляции о приобретении NCR, каннабис лидирует в заголовках главных новостей 2022 года


News

Филадельфийские воры украли банкомат Popeyes Рост количества биткойн-банкоматов в 2022 году замедлился Ресурсы

ChargeItSpot Надежно подключает киоски для зарядки телефонов на объектах и ​​в розничных магазинахРуководство покупателя IoTУпрощение управления денежными средствами в постпандемическом миреКонтрольный список цифровой трансформации Все, что нужно бизнесуПреимущества ремонта в депо и ремонта оборудования

Дополнительные ресурсы

Top Picks

Саммит Bank Customer Experience Summit Инновации самообслуживания SummitCustomer Experience 4. 0 Master Series — Transforming the Future of Retail Banking Руководство по сравнению банкоматов и программного обеспечения самообслуживания Тенденции

Тенденции

Спекуляции о приобретении NCR, новости о каннабисе заголовки на 2022 г. Полиция Вашингтона расследует волну преступлений, связанных с банкоматамиК 2030 г. рынок криптовалютных кошельков достигнет 48,27 млрд долларов0009

Премиум-контент

Отчет о переписи рынка киосков за 2022 г. Cash Box: изобретение и глобализация банкоматов Руководство по сравнению банкоматов 2021 г. Опыт клиентов 4.0 Master Series: Transforming The Future of Retail Banking Руководство по сравнению банкоматов 2019 г.

Дорогостоящие инвестиции: банки по всему миру теряют миллионы

1

21 ноября 2016 г., 14:00

Индустрия финансовых услуг снова подвергается кибератаке, на этот раз жертвой собственных цифровых кассиров. В последние недели банки в России, Великобритании, Тайване и других странах пострадали от крупных взломов, совершенных из взломанных банкоматов.

Загрузить копию

Abstract

Индустрия финансовых услуг снова оказалась под угрозой кибератаки, на этот раз жертвой собственных электронных кассиров. В последние недели DDoS-атаки на банки в России, Великобритании, Тайване и других странах пострадали от крупных взломов, совершенных во взломанных банкоматах. Хакеры нацелились на огромные объемы торговли в праздничный сезон, надеясь разрушить индустрию финансовых услуг. В то время как новые стандарты аутентификации, такие как карты с чипами, PIN-коды и геоблокировка, помогают предотвратить мошенничество с использованием карт, вредоносные программы, нацеленные на системы точек продаж и банкоматы, продолжают развиваться с экспоненциальной скоростью.

Высокая стоимость DDoS-атак на банки

В июне банкоматы, произведенные Wincor Nixdorf и эксплуатируемые Тайваньским банком First Bank i , подверглись серьезному взлому, поскольку хакеры использовали подключенные устройства и самоудаляющиеся вредоносные программы для проведения DDoS-атак на банки. банкоматы, чтобы заставить машины выплюнуть почти 2 миллиона долларов. Банк в Южной Африке был ограблен на 13 миллионов долларов, когда хакеры использовали поддельные кредитные карты для снятия денег в банкоматах в Японии ii . Государственный банк Индии iii заблокировал и перевыдал банковские карты после обнаружения вредоносного ПО в банкоматах, не принадлежащих SBI. Хакеры часто используют скиммеры банкоматов или считыватели DIP — устройства чтения карт, которые работают, когда пользователь вставляет свою карту (в отличие от считывания).


Рис. 1. Скиммер банкомата для продажи на AlphaBay


Рисунок 2: NCR DIP 34 для продажи на AlphaBay — ложная крышка с компонентами скиммера для карт

Tesco 2,5 миллиона фунтов стерлингов Убыток

5 ноября британский Tesco Bank подвергся взлому, в результате которого было взломано 9000 учетных записей и украдено 2,5 миллиона фунтов стерлингов iv со счетов клиентов. Клиенты Tesco начали замечать подозрительную активность и снятие средств со своих счетов, что побудило Tesco приостановить дебетовые онлайн-транзакции в качестве меры предосторожности.


Рисунок 3: Пример взлома Tesco Bank и реакция клиента

Пока Tesco Bank проводит расследование, есть несколько возможностей. Некоторые утверждают, что эти DDoS-атаки на банки были нацелены на бесконтактные платежи или мобильное приложение Tesco, в то время как другие утверждают, что это была внутренняя работа. Два месяца назад Европол опубликовал предупреждение о том, что киберпреступники начали атаковать телефоны Android, чтобы инициировать мошеннические платежи NFC с помощью программного обеспечения, которое позволяет преступникам загружать скомпрометированные карты на свои телефоны. Пользователи даркнета обсуждают, как легко обналичить счета Tesco и сослаться на инсайдера в банке.


Рисунок 4. Участник Alphabay ссылается на Tesco Insider


Рисунок 5: Инсайдер Tesco, 2015 г., ссылка на

DDoS-атаки на российские банки

После атаки на Tesco, но не связанной с ней, 8 ноября пять банков в России подверглись DDoS-атаке, которую некоторые сообщают v как DDoS-атаку по найму, инициированную торговая площадка arknet, AlphaBay. Ботнет, который, по утверждению производителя, основан на устройствах IoT, предлагал множество векторов атак, а также большие объемы трафика. В целевой список вошли Сбербанк, Альфабанк, Банк Москвы, Росбанк и Московская биржа. Эта атака длилась двое суток, нарушив работу сервиса на несколько часов.


Рисунок 6. Аренда DDoS-атак на AlphaBay

Подробнее Ноябрьские DDoS-атаки на банки

После DDoS-атак на банки в России политические хактивисты начали запускать межсайтовые сценарии и LFI-атаки на JPMorgan Chase, Barclay Bank и Royal Bank of Scotland.


Рисунок 7: Уязвимость LFI на веб-сайте Barclay and Royal Bank of Scotland

Когда хакеры запускают DDoS-атаки на банки, у них есть разные способы использовать украденные данные в даркнете:

  • Продам сами (номера карт, пин-коды и т.д.) оптом или поштучно.
  • Делитесь прибылью с посредниками, желающими обналичить счета.
  • Загрузите эти скомпрометированные аккаунты в мобильные кошельки и обналичьте их в местных магазинах.

Методы взлома веб-приложений

Межсайтовый скриптинг — В этой атаке вредоносные скрипты внедряются на веб-сайты через брешь в веб-приложении, где нет проверки пользовательского ввода, используемого приложением

Внедрение SQL — этот метод использует преимущества плохого кода приложения. Когда входные данные приложения не дезинфицированы, оно становится уязвимым. Злоумышленники могут изменить SQL-запрос приложения, чтобы получить доступ к несанкционированным данным с правами администратора, выполнять удаленные команды на сервере, удалять или создавать объекты в базе данных и т. д.

Удаленное включение файлов (RFI) — этот тип уязвимости чаще всего встречается на веб-сайтах, работающих на PHP. Это позволяет злоумышленнику включить удаленно размещенный файл, обычно через сценарий на веб-сервере. Уязвимость возникает из-за использования введенных пользователем данных без надлежащей проверки. Это может привести к такому минимальному результату, как вывод содержимого файла, но в зависимости от серьезности может привести к выполнению произвольного кода.

Включение локального файла (LFI) — очень похоже на RFI; единственное отличие состоит в том, что в LFI злоумышленник должен загрузить вредоносный скрипт на целевой сервер для локального выполнения.

DDoS как услуга

За небольшую плату владельцы ботнетов предоставляют доступ к использованию своей сети с целью запуска распределенных атак типа «отказ в обслуживании» с целью получения прибыли. DDoSaaS, также известные как загрузчики или стрессеры, предлагают веб-службу атаки, которая предоставляет пользователям удобный интерфейс и различные векторы атак для использования. Продавцы также продают слоты или доступ к этим ботнетам через торговые площадки даркнета. Цены варьируются от 19 долларов.от 0,99 до более чем 1000 долларов в зависимости от продолжительности, сложности и объема атаки.

Вопросы безопасности веб-приложений для организаций, находящихся под угрозой

  • Полное покрытие OWASP Top-10 уязвимости приложений
  • Низкий уровень ложных срабатываний — сочетает отрицательные и положительные модели безопасности для максимальной точности
  • Возможности автоматического создания политик для самого широкого охвата с минимальными эксплуатационными затратами.
  • Отпечатки устройств, не зависящие от IP Возможности для преодоления динамических IP-атак и улучшения обнаружения и блокировки ботов
  • Гибкие варианты развертывания — локально, удаленно, виртуально или в облаке

Рекомендации по защите от DDoS-атак для организаций, находящихся под угрозой

  • Гибридная защита от DDoS-атак (локальная + облачная) — для защиты от DDoS-атак в режиме реального времени, которая также предотвращает массовые атаки и защищает от переполнения канала.
  • Behavioral-Based Detection — для быстрого и точного выявления и блокировки аномалий, пропуская законный трафик.
  • Создание подписи в реальном времени — для оперативной защиты от неизвестных угроз и атак нулевого дня.
  • Служба DDoS, которая включает в себя план реагирования на чрезвычайные ситуации в области кибербезопасности с собственной специальной группой экспертов по чрезвычайным ситуациям.

Radware призывает компании проверять и исправлять свои сети, чтобы остановить DDoS-атаки и защититься от рисков и угроз.

Под ударом и вам нужна экстренная помощь? Radware может помочь.

Radware предлагает услугу, помогающую реагировать на чрезвычайные ситуации в области безопасности, нейтрализовывать риски и лучше защищать операции до того, как произойдет непоправимый ущерб. Если вы подверглись DDoS-атаке или атаке вредоносного ПО и нуждаетесь в экстренной помощи по смягчению последствий DDoS-атак,
Свяжитесь с нами с кодом «Красная кнопка».