Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере(ФинЦЕРТ) департамента информационной безопасности Банка России описал новый вид мошенничества, связанный с использованием банкомата.
Он основан на несовершенстве сценариев обработки переводов с карты на карту. Упрощенно такой вид TRF-атаки (transaction reversal fraud - афера с отменой транзакций) авторы описывают следующим образом: в банкомате выбирается тип операции - перевод Р2� (от клиента к клиенту), указывается номер карты получателя; банк-инициатор одновременно направляет 2 авторизационных сообщения: банку-получателю и банку-отправителю; инициатору практически одновременно приходит одобрение от обоих банков (в случае, если операция возможна - имеется необходимое количество средств на балансе отправителя и так далее); выполняется фактический перевод: увеличивается сумма на карте получателя, одновременно с этим холдируется такая же сумма у отправителя; банкомат "спрашивает" у отправителя о согласии на списание комиссионных за операцию; отправитель не соглашается, поэтому банк-инициатор отправляет сообщение о возврате в банк-отправитель и банк-получатель; холд со счета отправителя снимается, вместе с тем средства уже выведены получателем.
Основным способом минимизации рисков такой атаки является проверка корректности сценария работы банкомата. Для банка - владельца АТМ - мониторинг операций типа Reversal, а также изменения в сценарии: отправка сообщения 0400 "Возврат" в банк отправителя должна происходить строго после успешного завершения операции. Также довольно эффективной мерой является получение согласия клиента с условиями обслуживания до отправки авторизационных сообщений.