Літо, спорт, велосипед - ці три слова звучать як заклик добре виглядати, вести здоровий спосіб життя, насолоджуватися швидкістю і веселим спілкуванням з друзями-велосипедистами. Але для клієнтів московських мереж велопроката приємний вечір з друзями в парку міг закінчитися проблемами з банківською картою. На щастя, фахівці «Касперського» вчасно знайшли уразливість в інтерфейсі платіжних терміналів і попередили власників мережі про можливу небезпеку. 
У багатьох платіжних терміналах (і, зокрема, в терміналах московської системи велопрокату) використовується операційна система Windows. Відмінність від тих версій цієї ОС, які ми використовуємо на наших комп'ютерах і ноутбуках, полягає в тому, що поверх системи запущено повноекранне додаток, що закриває доступ до стандартного інтерфейсу.
Якщо зловмисник хоче використовувати платіжний термінал в своїх цілях, найочевидніше, що він може зробити, - знайти спосіб, як вивести на екран віртуальну клавіатуру і вийти в Інтернет. І цей спосіб нерідко, на жаль, є.
У нашому випадку через термінал можна було не тільки оплатити послуги велопроката, а й подивитися на «Google Картах», де розташовані найближчі кафе або туалет. На жаль, стандартний віджет Google включає в себе рядок статус-бару. Тут серед іншої інформації (поточний масштаб, авторські права тощо) можна знайти посилання «Повідомити про помилку», «Конфіденційність» і «Умови використання», що відкривають вікно Internet Explorer. Проробивши ще кілька нехитрих маніпуляцій, дослідники отримали доступ до всіх інструментів, необхідним для злому терміналу.
Якби на місці дослідників з «Лабораторії Касперського» були злочинці, то вони могли б як мінімум зібрати базу з перевіреними телефонами і e-mail-адресами клієнтів парковки (найменш шкідливе використання такої бази - продати її для розсилки поштового і SMS-спаму). Злочинці також могли встановити своє ПЗ для збору даних, введених новими користувачами.
Якби зловмисники потребували швидкому припливі коштів, то вони могли б модифікувати платіжний додаток, додавши в нього додаткові поля введення. Зокрема, запросити повні реквізити платіжних карт клієнтів: номер карти, термін дії та CVV2 / CVC2-номер. Багато користувачів не знають, що номер CVV2 / CVC2 не потрібно для здійснення платежу через термінал, і з великою часткою ймовірності необізнана клієнт введе всі ці дані разом з ім'ям, номером телефону і адресою електронної пошти. Оскільки термінали прокату розташовані на вулиці і працюють цілодобово, злочинцям було б нескладно провернути цю операцію без зайвих свідків.
Треба зауважити, що такі маніпуляції не рідкість. зломом банкоматів і торгових терміналів , у тому числі і на промисловому рівні , Займаються і у нас, і за кордоном. Втім, найчастіше саме недбалість користувачів дозволяє зловмисникам викрасти гроші і дані. Щоб захистити себе, не слід нехтувати простими правилами при проведенні фінансових операцій за допомогою терміналів:
- Не варто вводити повні реквізити своїх платіжних карт, особливо CVV2 / CVC2-номер.
- По можливості краще оплачувати послуги готівкою.
- Виявивши підозрілі зміни в інтерфейсі, варто написати в службу підтримки сервісу.
