{"id":11244,"title":"\u0420\u0430\u0437\u0431\u0438\u0440\u0430\u0435\u043c\u0441\u044f, \u043b\u043e\u043f\u043d\u0435\u0442 \u043b\u0438 \u0440\u044b\u043d\u043e\u043a \u0418\u0422 \r\n ","url":"\/redirect?component=advertising&id=11244&url=https:\/\/vc.ru\/promo\/353949-razbiraemsya-lopnet-li-rynok-it&placeBit=1&hash=d208029863fe4571a57bd41458f0ed509048b262392aaffae456a4ea928923a5","isPaidAndBannersEnabled":false}

Мошенники вывели через сервис переводов Mastercard 9 млн рублей из-за ошибки в настройках банкоматов Статьи редакции

После атаки Mastercard рекомендовала всем банкам проверить настройки и устранить уязвимость.

Мошенники вывели через сервис денежных переводов Mastercard — MoneySend — 9 млн рублей из-за ошибки в настройках банкоматов банка «Москва-сити». Об этом пишут «Ведомости».

Операции проводили с 15 по 19 мая 2018 года в банкоматах на железнодорожных вокзалах в Москве. Участники схемы выбирали опцию перевода денег с карт «Сбербанка» на карты «Тинькофф банка», но в последний момент отменяли операцию.

Мошенники выбирали опцию перевода, после чего направлялись запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств, объясняет эксперт по информационной безопасности банков Николай Пятиизбянцев, изучивший решение суда. Затем на экране банкомата появлялась информация о комиссии и предложение подтвердить перевод.

Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя. Мошенники отменяли операцию: сумма восстанавливалась на карте отправителя и одновременно проходил перевод. По правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции.

Банк «Москва-сити» подал иск к АО «Компания объединенных кредитных карточек» (работает под брендом UCS) на 9,37 млн рублей. UCS обрабатывает операции в банкоматах «Москва-сити».

Однако суд отклонил иск, поскольку не нашёл доказательств, что к убыткам привели действия ответчиков. 8 мая 2019 года «Москва-сити» подал апелляцию.

После того как об атаке стало известно, Mastercard дала рекомендации, и банки проверили корректность настроек, отмечает Пятиизбянцев. По словам двух источников «Ведомостей», «Москва-сити» не единственный банк, пострадавший из-за таких действий злоумышленников.

В «Москва-сити» сообщили, что инцидент произошел из-за неверно настроенного процессингового сценария UCS. Компания отвечала за настройку софта и сценариев операций, и эта настройка нарушала логику переводов MoneySend.

В «Тинькофф банке» заявили, что следовали правилам Mastercard. «Сбербанк» отказался от комментариев, представители Mastercard и UCS не ответили на запросы.

0
80 комментариев
Популярные
По порядку
Написать комментарий...
Andrew Solovov

Программисты скоро станут невостребованы
А про тестировщиков мы вообще не слышали.

Ответить
51
Развернуть ветку
Нужный корабль

Комментарий удален по просьбе пользователя

Ответить
5
Развернуть ветку
Юрий Белоножкин

1. Статья интересная, пролистнул в поисках "старых уязвимостей" на логику как в статье. Не нашёл.

2. Все эти "Самый простой способ — напрямую подключиться к жесткому диску" и "Злоумышленник подключает к USB- или PS/2-интерфейсу банкомата устройство для эмуляции клавиатуры и ввода информации пользователем" мне вообще не очень понятны КАК?

Ответить
0
Развернуть ветку
Andrew Solovov

пролистнул в поисках. Не нашёл.
Почитайте — и да найдете. Уязвимости 16 - 17 годов

напрямую подключиться к жесткому диску. КАК?
Не поверите — отверстие сверлят; через кардридер (на некоторых банкоматах); Снимают кожухи сервисного отделения (тоже на некоторых банкоматах)

PS Если тема заинтересовала, почему бы не погуглить?!

Ответить
0
Развернуть ветку
Юрий Белоножкин

1. в приведённой вами статье нет описания уязвимости 16-17 годов следующего содержания "Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя. Мошенники отменяли операцию: сумма восстанавливалась на карте отправителя и одновременно проходил перевод."

ваш ход, раз вы привели ссылку.

2. в статье "хакеры" чтобы увезти деньги, сверлили кожух, что-то всовывали в кард-ридер? нет. просто юзали интерфейс.

PS. погуглить что? "как ограбить банкомат без физического нарушения и чтоб ничего за это не было"? я надеялся, вы расскажите, а иначе зачем я плачу за интернет.

Ответить
1
Развернуть ветку
Нужный корабль

Комментарий удален по просьбе пользователя

Ответить
23
Развернуть ветку
A SUS

Битки намного чаще воруют прямо с бирж, бесследно, тут хоть про получателя все известно

Ответить
1
Развернуть ветку
Нужный корабль

Комментарий удален по просьбе пользователя

Ответить
1
Развернуть ветку
Nuke

Биткоин не настоящий из-за эмитирования, а процессы трансфера одинаково виртуальные.

Ответить
0
Развернуть ветку
Нужный корабль

Из-за эмитирования он как раз настоящий, учитывая сколько на этот процесс расходуется электроэнергии.

Ответить
1
Развернуть ветку
Nuke

Нет, это фиктивная «стоимость». По факту эмитирование ничего не стоит и окончательно пробивает дно на фортках, когда количество денег просто мультиплицируется без всякого на то основания.

Ответить
0
Развернуть ветку
Нужный корабль

Ничего просто так не мультиплицируется, если речь идёт о форках PoW блокчейна, который опять же нужно поддерживать процессорным временем, и форки успешно сливаются на биржах. Но вы правы, в большинстве проектов ценности создаются фактически из ничего, основываясь лишь на грёзах о будущем и обещаниях, но есть и достойные представители, создающие именно технологии и экосистемы.

Ответить
0
Развернуть ветку
Нужный корабль

Мне кажется вы просто не понимаете, как работает современная банковская система :) Эмитирование нарезанной бумаги тоже фактически ничего не стоит (кроме цены самой бумаги, технологий её защиты, оборудования на котором она производится и всех остальных сопутствующих расходов по защите монополии на производство этой бумаги) особенно, когда и от резаной бумаги начинают отказываться, называя это "цифровой экономикой".

Ответить
0
Развернуть ветку
Nuke

Бумага не имеет никакого отношения к эмиссии и тем более банковской системе.
Эмиссия происходит через обязательства, именно они создают новые деньги. А обязательства создают ценности, которые и являются обеспечением для эмиссии. Экономический рост и развитие это базис для создания новых денег.

Ответить
0
Развернуть ветку
Дмитрий Фишер

Всегда уважал людей, которые умеют находить лазейки)

Ответить
7
Развернуть ветку
Pavel Che

Чтобы найти такую лазейку надо создать такую лазейку. Помоему искать надо где то там. Иначе это величайший аналитик который может строить такие гипотезы и проверять их в короткое время, растрачивает свой дар на какие то 9 млн руб

Ответить
8
Развернуть ветку
Ilya Ershov

Или достаточно случайнсти — попробовали перевести 500 руб, отменили и о чудо! «И тут карта поперла».

Ответить
29
Развернуть ветку
Richard Daniel

уверен, так и было. Все в мире экономят на тестировании, это один из самых дорогих этапов. Поэтому тестировщики - пользователи.

Ответить
16
Развернуть ветку
Максим Ростокин

Работа, конечно, грязная. Но ведь кто-то должен её делать!

Ответить
1
Развернуть ветку
fingertipsads

хуже только Роснефтью управлять

Ответить
1
Развернуть ветку
fingertipsads

Значит деньги не украдены, а честно заработаны! Тестировали же, искали все ичправный банкомат

Ответить
0
Развернуть ветку
Максим Ростокин

Надеюсь, тестеры заплатили с заработанных пОтом и кровью 9 лимонов все необходимые налоги и сборы?

Ответить
0
Развернуть ветку
Pavel Che

Может быть и такое, но скоро человеку с такой удачей должно повезти в лотерею миллионов на 30 не меньше)) И не забывайте что ему еще нужно было целенаправленно продолжать эти действия что бы довести до 9 млн. Первая реакция нормального человека при обнаружении не понятных операций на карте позвонить в банк в тех поддержку чтобы выяснить, что происходит (может он и пожалел бы потом поняв упущенную возможность), но осознать что можно сейчас продолжать это делать с полным отсутствием ответственности? Это может или уникальный провидец либо полный дурак которому все пофиг (и тогда в сообщении было бы указано что его задержали по реквизитам карты)

Ответить
0
Развернуть ветку
Bela Lugosi's Dead

Неа, тут скорее другая история. Ошибка была, и это систематическая ошибка, а не разовая, судя по описанному в статье. Соотв., возникал этот сценарий поведения может и не часто, но если умножить на кол-во пользователей, то таки уже часто.

Кто-то написал на форумах (даже не на кардерских, а просто на банковских) - а дальше понятно, чем кончилось.

Я вон своему банку пишу в 100500 раз, что их мобильное приложение позволяет делать скриншоты, хотя хорошим тоном в банковских аппах считается блокировать возможность скринов (т.е. другое приложение не должно читать инфу с экрана). Но банк считает, что это неопасная уязвимость, и обещает починить уже год.

Ответить
2
Развернуть ветку
Нужный корабль

Но скриншот это и правда не уязвимость. Нельзя считать уязвимостью легальный доступ к легальным возможностям ОС.

Ответить
0
Развернуть ветку
Bela Lugosi's Dead

Легальной возможностью ОС (по крайней мере в Андроид) является отключение скринов в пределах заданного приложения, причем делается это двумя строчками конфига данного приложения.

Нетфликс, напр., запрещает скриншотиться, понятно, почему.

Хорошие банковские приложения тоже запрещают скрины. Напр., чужое приложение может вызвать системную функцию скриншота и вытащить главный экран банковского аппа, а там мои балансы. Ну или прочесть список операций по счетам (когда я сам их смотрю).

Да, это не уязвимость как таковая - но при определенной ловкости рук МОЖЕТ привести к чтению конфиденциальной инфы. Поэтому я и говорю о хорошем тоне: в случае с банками никакая паранойя не является лишней.

Ответить
0
Развернуть ветку
Максим Ростокин

История с создателем патча для WannaCry, думаю, охладила многих «белых шляп».

Ответить
1
Развернуть ветку
subst

Каким образом та история должна была охладить белых шляп?

Ответить
0
Развернуть ветку
Максим Ростокин

Прежде чем создать публичный инструмент, лучше, наверное, сперва сообщить о своей разработке спецслужбам и безопасникам Microsoft.

Ответить
0
Развернуть ветку
subst

Стоп, какой инструмент? И почему Microsoft?

Ответить
0
Развернуть ветку
Максим Ростокин

Он разреверсил вирус, нашёл способ остановить его, зарегил домен. После этого он должен был передать код зловреда в Microsoft для решения вопроса о выпуске патча, что он не сделал, а опубликовал уязвимость в открытом доступе.

Ответить
0
Развернуть ветку
subst

Бррррр. Он ничего не реверсил, он анализировал его поведение и обнаружил, что тот стучится на незарегистрированный домен, после чего просто зарегистрировал этот домен. Никакой "уязвимости" в открытом доступе он не публиковал. И какой код он должен был передавать в Microsoft?

Но всё-таки - в чём собственно состояла "история", которая должна была охладить белых шляп?

Ответить
1
Развернуть ветку
Максим Ростокин

Чувак сделал всё правильно, но его сгубило ЧСВ. И не поделился с сильными мира сего. Мог бы сделать всё втихую, либо эксплуатировать бэкдор, через который вирус заражает систему, в сугубо личных целях. Ведь самое вкусное заключается в том, что он фактически рассекретил механизм, как вирус общается со своим «хозяином». Шёл 2017 год, весьма богатый на вирусные атаки. Но ещё раньше WikiLeaks слил исходники инструментов спецслужб, на основе которых был создан не один образчик заразы. Тогда Microsoft выпустила заплатки, которые смягчили эти бэкдоры, но не устранили их. Поражает удивительное сходство WannaCry с теми RAT от американских спецслужб. После того, как Маркус описал механизм работы вируса, он вывернул бэкдор наизнанку (без уведомления правообладателей). Поэтому, когда после публикации исследования в системе стало на одну лазейку меньше, американские чекисты и припомнили программисту его прошлое.

Ответить
–2
Развернуть ветку
subst

Кажется это анализ от канала НТВ

Ответить
1
Развернуть ветку
Konstantin Smirnov

Как там в девятом "Б"?

Ответить
0
Развернуть ветку
Максим Ростокин

Если человек ведёт себя как дурак, это не означает, что он и есть дурак (с IQ меньше 70). Просто не поддаётся всплеску эмоций, чтобы стрелочником оказался кто-либо другой. Зачем ломать систему, которая хорошо работает? Тем более, от такого фрода страдают банкиры, а не их клиента.
А то вдруг это не уязвимость, а специально созданный бэкдор «для своих». Так вот, чтобы потом не иметь дело с людьми в чёрном, лучше тихой сапой слить 9 лимонов и залечь на дно, чем похерить кормушку.

Ответить
0
Развернуть ветку
Test Test

Весьма вероятно что косяк сделали намеренно, хотя может и рукожопство

Ответить
1
Развернуть ветку
Pavel Che

Интересно бы было если бы какой нить математик просчитал вероятность попадания человека с таким образом мыслей на уязвимость которая не очевидна в одной точке довольно узкой (один определенный банк)

Ответить
0
Развернуть ветку
Максим Ростокин

Я один раз покупал товар за 7000 рублей, доставка курьером, оплата картой через мобильный терминал. Так вот, то ли курьер попался криворукий, то ли случай происходил в стародавние времена, короче, сумма покупки заблокировалась, а потом вернулась на счёт. Я, не будь дураком, обрадовался, вывел на личный сбер, снял, а когда овердрафт спалился, вместо того, чтобы платить, подал на чарджбэк. МПС его одобрила, курьера скорее всего рассчитали. Просто, когда на голову свалился мешок с деньгами, не растерялся и увел его сравнительно честным путём. Заранее, конечно, я не рассчитывал на эти деньги, но на ловца и зверь бежит )

Ответить
–6
Развернуть ветку
Арсений Петрович

Вы правда не осознаёте, что описанный случай - воровство и гордиться здесь нечем?

Ответить
2
Развернуть ветку
Максим Ростокин

Это капитализм, детка )

Ответить
–1
Развернуть ветку
Максим Ростокин

С каких пор использование СИ в чистом виде является воровством? За гешефт заплатил криворукий курьер, а я просто подсуетился. Всё делал с личных именных карт, так как я был уверен в своей безнаказанности. И потом, банк добровольно обнулил овердрафт, опять-таки, без шантажа и насилия с моей стороны. На дурака не нужен нож…

Ответить
–2
Развернуть ветку
Максим Ростокин

Воровство или не воровство - может решить только суд, которого в моем случае не было )

Ответить
–2
Развернуть ветку
Максим Ростокин

Это со мной такой случай произошёл, но я любитель. А вот если человек помимо владения СИ закончит ещё факультет ИБ, у него улов будет куда крупнее. Ибо он эти уязвимости мониторит в режиме мозгового штурма и, скорее всего, обладает выдержкой.

Ответить
1
Развернуть ветку
Максим Ростокин

Когда идей, витающих в воздухе, становится слишком много, наступает синергетический эффект, и они материализуются в правильную структуру. Точно так же как и добыча крипты, когда после долгого и упорного труда распределённых вычислений «выстреливает» целый блок, за которое сразу даётся вознаграждение в круглую сумму биток.

Ответить
0
Развернуть ветку
Nuke

Они обычно потом на зоне отвисают, радостные.

Ответить
5
Развернуть ветку
Ware Wow

И оттуда потом тоже лазейки находят как пенсионеров на Авито кидать. Талант везде пробьется.

Ответить
2
Развернуть ветку
Максим Ростокин

В лучших традициях Древней Спарты )

Ответить
0
Развернуть ветку
Нужный корабль

По-моему, между «вывели» и «похитили» большая разница. В оригинале статьи также фигурирует и второй термин. Мне кажется, что стоит изменить заголовок или указать о хищении в тексте.

Ответить
6
Развернуть ветку
Max Yankov

Но, конечно, фундаментальные знания программирования вроде того, что такое атомарность, не нужны, когда прошёл код-школу за три месяца и умеешь сделать сайт, который не ломается на счастливом пути.

Ответить
–1
Развернуть ветку
Нужный корабль

Тыж наш хороший! Что ещё про атомарность знаншь? :)

Ответить
11
Развернуть ветку
Max Yankov

Знаю, что не знаю - и что когда буду, например, делать что-нибудь для бэкенда, буду снова ботать забытое, а не делать сразу по наитию.

И искренне считаю, что именно known unknowns - это самая важная часть любой фундаментальной подготовки. Нагуглить можно всё, что угодно. Надо просто знать, что вообще стоит что-то гуглить.

Ответить
0
Развернуть ветку
Андрей Деревянко

Расскажите плиз как будет реализовываться атомарность во взаимодействии 2-х (как минимум) и более систем

Ответить
2
Развернуть ветку
Руслан Целебный

ЗАКОНЧЮТЬ СВОИ ОНЛАЕН ШКОЛЫ И НЕ ЗНАЮТ ПАТОМ НИЧЕ ОБ ООАПЭ, ИНКАПСУЛЯЦЕНИИ, КАНКУРЕНТНАСТИ

Ответить
4
Развернуть ветку
Nuke

Человек имел ввиду не атомарность, а транзакционность поди.

Ответить
0
Развернуть ветку
Max Yankov

Вообще я имел в виду ACID целиком, да, тупил с утра.

Ответить
0
Развернуть ветку
Michael Smith

И это ничем не помогло бы, так как ПО одного банка не контролирует процессы другого банка.
Локально ПО работало правильно, ошибка была в понимании правил перевода через MasterCard.

Ответить
2
Развернуть ветку
Андрей Деревянко

Так в статье же написана причина)

Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя.

Все работает правильно, как нарисовали аналитики

Ответить
0
Развернуть ветку
Андрей Деревянко

При чем тут программирование вообще?

Ответить
2
Развернуть ветку
Michael Smith

Ну он наверно думает, что ПО банка отправителя может контролировать счета в банке-получателе)

Ответить
0
Развернуть ветку
Sandrino Komaroff

Пятиизбянцев
Семибанкирщина

Ответить
1
Развернуть ветку
Zmitr0k

Семипалатинск :)

Ответить
3
Развернуть ветку
Sandrino Komaroff

Кострома
Айда а города

Ответить
0
Развернуть ветку
Александр Тарасюк

Аста... Нурсул...
Так, давайте Алматы.

Ответить
0
Развернуть ветку
Евгений Вотер

получается известны лица от кого был перевод и лица кому, есть записи с камер банкоматов, а иск на возмещение пропавших средств к Монейсенд? хм, видимо дело не раскрыть..

Ответить
1
Развернуть ветку

Комментарий удален

Развернуть ветку
Eugene Basov

Скорее всего они не свои карты использовали

Ответить
0
Развернуть ветку
Евгений Анисимов

Карты наверняка на левых лиц. Переводил парень в кепке или капюшоне...

Ответить
0
Развернуть ветку
Алексей Шатаев

Точно мошенники?

Ответить
0
Развернуть ветку
Матвей Панов

Что там нужно нажимать? Можно подробнее?;-))

Ответить
1
Развернуть ветку
Oleg Nazaruk

Кто то норм шарит в этих банкоматных делах

Ответить
0
Развернуть ветку
BeezOne84

Банк «Москва-сити» подал иск к АО «Компания объединенных кредитных карточек»
Я бы сходу не доверял АО КОКК

Ответить
0
Развернуть ветку
Максим Фомин

Кто-то свой и слил в итоге.

Ответить
0
Развернуть ветку
Михаил

Нашёл уязвимость? получи награду! Это опыт мировых it-компаний)

Ответить
0
Развернуть ветку
Evgheni Chiriliuc

А разве пользование багом в системе можно считать мошенничеством?

Ответить
0
Развернуть ветку
Nuke

Мошенничество — хищение чужого имущества или приобретение права на чужое имущество путём обмана или злоупотребления доверием. Лицо, занимающееся этим, называется мошенник или мошенница.
При этом под обманом понимается как сознательное искажение истины (активный обман), так и умолчание об истине (пассивный обман). В обоих случаях обманутая жертва сама передает своё имущество мошеннику.

Ответить
0
Развернуть ветку
Максим Ростокин

Остап Бендер с Вами не согласится )

Ответить
0
Развернуть ветку
fingertipsads

Сбербанк не прокомментировал ситуацию

Ответить
0
Развернуть ветку
Pavel Proxin

Почему мошенники?
Может просто умные люди , которые нашли уязвимость (слабость) компании и кб воспользовались?

Ответить
0
Развернуть ветку
Читать все 80 комментариев
Скоро выйдут: сериалы про WeWork, Theranos, Uber и Spotify Статьи редакции

Три из них можно будет посмотреть уже весной 2022 года.

Хакеры взломали DeFi-платформу Qubit Finance и украли криптовалюту на $80 млн Статьи редакции

Команда проекта предложила вернуть деньги за награду — но им пока не ответили.

Доходы Yota от роуминга выросли в 1,6 раз

Ковидные ограничения стали испытанием для мобильных операторов, которые недополучили доход от роуминга в 2020 году. В Yota в 2020 году выручка от роуминга сократилась в два раза по сравнению с 2019 годом.

От техподдержки через переводчик до главного канала продаж

Как изменился «AliExpress Россия»: рассказывают «старички» маркетплейса.

Как и почему я переехал в Иннополис: плюсы и минусы

В прошлом году я стал операционным директором офиса компании Promwad в Иннополисе и оказался единственным сотрудником, который исходно жил в этом городе. Остальные приезжали из других городов России. Поэтому мне часто приходилось делиться с новичками своим опытом трех лет жизни и работы в Иннополисе. В итоге я решил собрать свои заметки про плюсы…

Что посмотреть про ИТ в TikTok? Рассказываем, как снимаются шутки про работу айтишников

Делимся кейсом: как найти свою аудиторию в TikTok и зачем это нужно крупной ИТ-компании.

Просмотр сетки ордеров
Обман "Озона" с акцией "баллы за отзывы" (заблокировали аккаунт с 3000+ баллами)

Несколько месяцев мной старательно делались видеообзоры на купленные товары. За каждый отзыв с видео и фото начислялись разные деньги (100-150 баллов было обычно). А как захотелось использовать эти баллы и были созданы заказы с ними - "Озон" аккаунт заблокировал (объяснять причины и разблокировать отказывается). 46890080-0775 - один из последних…

null