Главная » Взлом и защита

Мошенники вывели через сервис переводов Mastercard 9 млн рублей

Добавлено на 16.05.2019

С 15 по 19 мая прошлого года через банкоматы банка «Москва-сити» на Киевском, Ярославском, Казанском, Ленинградском и Павелецком вокзалах мошенники похитили 9 млн руб. Секрет оказался прост. Участники схемы выбирали опцию перевода денег с карты на карту через сервис Mastercard – MoneySend, но в последний момент не подтверждали или отменяли операцию. Во всех случаях средства «переводились» с карт Сбербанка на карты «Тинькофф банка». Несмотря на отмену операции деньги все равно зачислялись на одни карты и восстанавливались на других. Но речь не идет о безобидных ошибках пользователей: «Неустановленными лицами произведены множественные однотипные операции перевода денежных средств на общую сумму $134 122», говорится в вынесенном в марте решении Арбитражного суда по иску банка «Москва-сити».

Он требовал с АО «Компания объединенных кредитных карточек» и Росбанка 9 млн руб. Первый ответчик работает под брендом UCS и обрабатывает операции в банкоматах «Москва-сити», Росбанк оказывает истцу спонсорские услуги в платежных системах.

Мошенники обнаружили уязвимость и для хищения денег не требовался даже вредоносный код, объясняет эксперт по информационной безопасности банков Николай Пятиизбянцев, изучивший решение суда. Участники схемы вставляли карты в банкоматы «Москва-сити», выбирали опцию перевода денег с карты на карту и вводили номер карты и сумму, описывает он. После этого направлялись запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств соответственно, продолжает Пятиизбянцев. Но затем пользователю на экране банкомата выводилась комиссия за перевод и предложение его подтвердить. Ошибка в настройках заключалась в том, что банк – владелец банкомата считал, что операцию все еще можно отменить, а банк получателя – что перевод уже отозвать нельзя, рассказывает он.

Далее мошенник отменял операцию, и сумма перевода восстанавливалась на карте отправителя, одновременно эта же сумма приходила и на карту получателя. Это было возможно, поскольку по правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции.

В итоге деньги по спорным операциям были списаны со счета «Москва-сити» по решению арбитражного комитета Mastercard, говорится в решении суда.

По словам Пятиизбянцева, для того, чтобы провести такую атаку, необходимо знать, в каких конкретно банкоматах есть эта уязвимость, и, более того, нужно было подобрать банк получателя, который не разрешал проводить отмену операции.

«Тинькофф банк» руководствовался исключительно правилами Mastercard, говорит его представитель. Логика переводов в MoneySend не подразумевает возможность отмены операции без предварительного согласования с банком получателя, подчеркивает он. Ведь тот моментально увеличивает остаток средств на карточном счете своего клиента, которому был адресован перевод. Также при расследовании этого случая «Тинькофф» дополнительно проверил логику работы своих банкоматов, заключил его представитель. После того как стало известно о такой атаке, Mastercard дала рекомендации и все банки проверили корректность настроек, указывает Пятиизбянцев. Достаточно лишь поменять последовательность действий – сначала уведомить клиента о комиссии и запросить согласие на операцию, а затем направлять запросы в банки.

Подробнее: Ведомости