Оплатити покупки банківською картою можна без введення PIN-коду: касир в магазині і навіть офіціант в ресторані можуть вивести з картки клієнта гроші без підтвердження транзакції власником.
Журналісти Buisness FM в ході експерименту над власними картами з'ясували, що це не тільки працює, а й є свідомо закладеної в касові термінали можливістю. При цьому навіть співробітники банків-емітентів пластикових карт часто не знають про таку опції і губляться в здогадах про причини проблеми.
Власник карти вводив на касовому терміналі PIN-код, невірно набрав цифру і випадково замість жовтої кнопки "Корекція" натиснув червону "Скасування". Відразу після цього сталася транзакція на суму покупки. "Для мене стало відкриттям, що по карті, емітованої банком ВТБ24, можна оплатити покупку, не вводячи PIN-код. Причому це сталося один раз на заправці ТНК-ВР. Потім я це перевірив в" Кавоманія "і ще в якомусь продуктовому магазині. Багаторазово перевіряв цю функцію, вона працює в усіх терміналах, термінали ці належать різним банкам ", - повідомив співробітник BFM.
Для чистоти експерименту журналісти спробували оплачувати покупки в магазинах картами інших банків. Кожен раз, коли касири просили ввести PIN-код, експериментатори натискали червону кнопку скасування операції. Оплата проходила без набору PIN. На "гарячій лінії" ВТБ24 оператор пояснив, що можливість оплати покупки без PIN-коду залежить не від карти, а від касового терміналу. І припустив, що це - несправність терміналу, а більш детально пояснити причину він не може.
Один з терміналів, де експеримент пройшов успішно, належав Ощадбанку. У колл-центрі цієї фінустанови запропонували ще одну версію: співробітники банку неправильно налаштували роботу терміналу.
Єдиний повну відповідь про причини цього явища було отримано від криміналістів. "За правилами ось цього торгово-сервісного підприємства (це магазини, ресторани і так далі) касир може проводити транзакцію в різних режимах - із запитом PIN-код, за підписом. І те, що при натисканні кнопки" Скасувати "транзакція проходить без запиту PIN -коду - це просто певна можливість для ось цього підприємства провести так платіж. це абсолютно нормально. це сам оператор або касир може вибирати, яким чином проводити платежі ", - пояснив заступник керівника криміналістичної лабораторії компанії Group-IB Сергій Нікітін.
Виявлена користувачами вразливість надає широкі можливості для шахраїв: офіціант в ресторані, який взяв карту клієнта і проводить транзакцію не в його присутності, може провести по карті замовлення та інших осіб. Наприклад, тих, хто вже розплатився готівкою. Зловмисники, які викрали гаманець з банківськими картами, не можуть без знання PIN-коду перевести в готівку їх в банкоматах, але можуть вільно сплатити будь-яку покупку - і захисту від цього немає, крім своєчасного дзвінка в банк для блокування карти.