Особенно ушлые пользователи систем интернет- и мобильного-банкинга в РФ в последнее время освоили принципы округления чисел и конвертации средств на счетах для получения дополнительного дохода.
По оценкам экспертов, этот доход ежемесячно может достигать 15 тыс. рублей, сообщают «Известия» со ссылкой на специалистов компании Positive Technologies, работающей в сфере безопасности дистанционного банковского обслуживания.
По информации издания, в конце 2015–2016 гг. появилась новая незамысловатая схема, которую некоторые «продвинутые» пользователи начали активно использовать для получения дохода. Клиент интернет-банка переводит, условно, 29 копеек в доллары. Если курс этой валюты составляет 65 рублей, то сумма в 0,29 рублей соответствует $0,004461. По правилам банков эта сумма при конвертации будет округлена до двух знаков после запятой — то есть до $0,01, что соответствует 1 центу. Затем злоумышленник переводит 1 цент США обратно в рубли. В результате перевода он получит 65 копеек. Таким образом, за одну операцию клиент получает 36 копеек, т.е. больше, чем вложил.
В компании Positive Technologies рассказали, что подобные схемы называются «атаками на округление», и клиенты в кризис стали активно прибегать к ним, используя уязвимости систем дистанционного обслуживания банков для подобных манипуляций. По оценкам Positive Technologies, 25% дистанционных систем обслуживания российских банков (интернет- и мобильный банки) подвержены «атакам на округление».
По словам старшего эксперта отдела безопасности банковских систем Positive Technologies Тимура Юнусова, «атаки на округление» используются клиентами банков для мелких краж — на суммы до 15 тыс. рублей в месяц, которые складываются из копеек. Каждая операция, как правило, оценивается именно копейками, чтобы кредитная организация не обратила внимание на манипуляции. Собеседник пояснил, что принцип округления известен со времен появления онлайн-игр. Банки подобные инциденты и объемы ущерба не раскрывают.
«Если у банка украдут в течение месяца 10-50 тыс. рублей, то данный факт, скорее всего, никто разглашать не будет, — говорит Тимур Юнусов. — Банки обнародуют информацию по хищениям и утечкам лишь тогда, когда крадут деньги у клиентов либо если хакерская атака «разоряет банк» (речь идет о миллионных кражах)».
По мнению Тимура Юнусова, банки могут реализовывать алгоритмы округления для того, чтобы противостоять авторизованным ворам: ограничивать нижнюю сумму перевода, либо вводить проверку «в обе стороны» (при снятии 0,01 цента заново высчитывать сумму снятия с рублевого счета: 0,60 копейки).
Впрочем, по словам представителей двух банков из топ-100 по активам, опрошенных «Известиями», этот вариант получения дополнительного дохода гораздо более трудоемкий, чем так называемая «отложенная конвертация», когда клиент создает платежку по конвертации в интернет-банке и ждет выгодного для себя курса, чтобы провести операцию.
источник