Финансы Татьяна Боброва
23 892

Мошенники вывели через сервис переводов Mastercard 9 млн рублей из-за ошибки в настройках банкоматов

После атаки Mastercard рекомендовала всем банкам проверить настройки и устранить уязвимость.

В закладки
Аудио

Мошенники вывели через сервис денежных переводов Mastercard — MoneySend — 9 млн рублей из-за ошибки в настройках банкоматов банка «Москва-сити». Об этом пишут «Ведомости».

Операции проводили с 15 по 19 мая 2018 года в банкоматах на железнодорожных вокзалах в Москве. Участники схемы выбирали опцию перевода денег с карт «Сбербанка» на карты «Тинькофф банка», но в последний момент отменяли операцию.

Мошенники выбирали опцию перевода, после чего направлялись запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств, объясняет эксперт по информационной безопасности банков Николай Пятиизбянцев, изучивший решение суда. Затем на экране банкомата появлялась информация о комиссии и предложение подтвердить перевод.

Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя. Мошенники отменяли операцию: сумма восстанавливалась на карте отправителя и одновременно проходил перевод. По правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции.

Банк «Москва-сити» подал иск к АО «Компания объединенных кредитных карточек» (работает под брендом UCS) на 9,37 млн рублей. UCS обрабатывает операции в банкоматах «Москва-сити».

Однако суд отклонил иск, поскольку не нашёл доказательств, что к убыткам привели действия ответчиков. 8 мая 2019 года «Москва-сити» подал апелляцию.

После того как об атаке стало известно, Mastercard дала рекомендации, и банки проверили корректность настроек, отмечает Пятиизбянцев. По словам двух источников «Ведомостей», «Москва-сити» не единственный банк, пострадавший из-за таких действий злоумышленников.

В «Москва-сити» сообщили, что инцидент произошел из-за неверно настроенного процессингового сценария UCS. Компания отвечала за настройку софта и сценариев операций, и эта настройка нарушала логику переводов MoneySend.

В «Тинькофф банке» заявили, что следовали правилам Mastercard. «Сбербанк» отказался от комментариев, представители Mastercard и UCS не ответили на запросы.

#новость

{ "author_name": "Татьяна Боброва", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 80, "likes": 61, "favorites": 22, "is_advertisement": false, "subsite_label": "finance", "id": 67000, "is_wide": false, "is_ugc": false, "date": "Mon, 13 May 2019 07:56:06 +0300" }
SMS-чат для клиентов
{ "id": 67000, "author_id": 283507, "diff_limit": 1000, "urls": {"diff":"\/comments\/67000\/get","add":"\/comments\/67000\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/67000"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199119, "last_count_and_date": null }

80 комментариев 80 комм.

Популярные

По порядку

Написать комментарий...
51

Программисты скоро станут невостребованы

А про тестировщиков мы вообще не слышали.

Ответить
5

Просто кто-то из программистов-тестировщиков проболтался по пьяни, вот и вскрылось, а так у них всё работало "как надо".

Ответить
0

1. Статья интересная, пролистнул в поисках "старых уязвимостей" на логику как в статье. Не нашёл.

2. Все эти "Самый простой способ — напрямую подключиться к жесткому диску" и "Злоумышленник подключает к USB- или PS/2-интерфейсу банкомата устройство для эмуляции клавиатуры и ввода информации пользователем" мне вообще не очень понятны КАК?

Ответить
0

пролистнул в поисках. Не нашёл.

Почитайте — и да найдете. Уязвимости 16 - 17 годов

напрямую подключиться к жесткому диску. КАК?

Не поверите — отверстие сверлят; через кардридер (на некоторых банкоматах); Снимают кожухи сервисного отделения (тоже на некоторых банкоматах)

PS Если тема заинтересовала, почему бы не погуглить?!

Ответить
1

1. в приведённой вами статье нет описания уязвимости 16-17 годов следующего содержания "Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя. Мошенники отменяли операцию: сумма восстанавливалась на карте отправителя и одновременно проходил перевод."

ваш ход, раз вы привели ссылку.

2. в статье "хакеры" чтобы увезти деньги, сверлили кожух, что-то всовывали в кард-ридер? нет. просто юзали интерфейс.

PS. погуглить что? "как ограбить банкомат без физического нарушения и чтоб ничего за это не было"? я надеялся, вы расскажите, а иначе зачем я плачу за интернет.

Ответить
23

сумма восстанавливалась на карте отправителя и одновременно проходил перевод

Биткоин ненастоящий, говорили они.
А всего лишь виртуальные цифры на экране, говорили они

Ответить
1

Битки намного чаще воруют прямо с бирж, бесследно, тут хоть про получателя все известно

Ответить
1

Кому известно?
Из источника статьи
неустановленными лицами произведены множественные однотипные операции перевода денежных средств на общую сумму 134 122 доллара

Ответить
0

Биткоин не настоящий из-за эмитирования, а процессы трансфера одинаково виртуальные.

Ответить
1

Из-за эмитирования он как раз настоящий, учитывая сколько на этот процесс расходуется электроэнергии.

Ответить
0

Нет, это фиктивная «стоимость». По факту эмитирование ничего не стоит и окончательно пробивает дно на фортках, когда количество денег просто мультиплицируется без всякого на то основания.

Ответить
0

Ничего просто так не мультиплицируется, если речь идёт о форках PoW блокчейна, который опять же нужно поддерживать процессорным временем, и форки успешно сливаются на биржах. Но вы правы, в большинстве проектов ценности создаются фактически из ничего, основываясь лишь на грёзах о будущем и обещаниях, но есть и достойные представители, создающие именно технологии и экосистемы.

Ответить
0

Мне кажется вы просто не понимаете, как работает современная банковская система :) Эмитирование нарезанной бумаги тоже фактически ничего не стоит (кроме цены самой бумаги, технологий её защиты, оборудования на котором она производится и всех остальных сопутствующих расходов по защите монополии на производство этой бумаги) особенно, когда и от резаной бумаги начинают отказываться, называя это "цифровой экономикой".

Ответить
0

Бумага не имеет никакого отношения к эмиссии и тем более банковской системе.
Эмиссия происходит через обязательства, именно они создают новые деньги. А обязательства создают ценности, которые и являются обеспечением для эмиссии. Экономический рост и развитие это базис для создания новых денег.

Ответить
7

Всегда уважал людей, которые умеют находить лазейки)

Ответить
8

Чтобы найти такую лазейку надо создать такую лазейку. Помоему искать надо где то там. Иначе это величайший аналитик который может строить такие гипотезы и проверять их в короткое время, растрачивает свой дар на какие то 9 млн руб

Ответить
29

Или достаточно случайнсти — попробовали перевести 500 руб, отменили и о чудо! «И тут карта поперла».

Ответить
16

уверен, так и было. Все в мире экономят на тестировании, это один из самых дорогих этапов. Поэтому тестировщики - пользователи.

Ответить
1

Работа, конечно, грязная. Но ведь кто-то должен её делать!

Ответить
1

хуже только Роснефтью управлять

Ответить
0

Значит деньги не украдены, а честно заработаны! Тестировали же, искали все ичправный банкомат

Ответить
0

Надеюсь, тестеры заплатили с заработанных пОтом и кровью 9 лимонов все необходимые налоги и сборы?

Ответить
0

Может быть и такое, но скоро человеку с такой удачей должно повезти в лотерею миллионов на 30 не меньше)) И не забывайте что ему еще нужно было целенаправленно продолжать эти действия что бы довести до 9 млн. Первая реакция нормального человека при обнаружении не понятных операций на карте позвонить в банк в тех поддержку чтобы выяснить, что происходит (может он и пожалел бы потом поняв упущенную возможность), но осознать что можно сейчас продолжать это делать с полным отсутствием ответственности? Это может или уникальный провидец либо полный дурак которому все пофиг (и тогда в сообщении было бы указано что его задержали по реквизитам карты)

Ответить
2

Неа, тут скорее другая история. Ошибка была, и это систематическая ошибка, а не разовая, судя по описанному в статье. Соотв., возникал этот сценарий поведения может и не часто, но если умножить на кол-во пользователей, то таки уже часто.

Кто-то написал на форумах (даже не на кардерских, а просто на банковских) - а дальше понятно, чем кончилось.

Я вон своему банку пишу в 100500 раз, что их мобильное приложение позволяет делать скриншоты, хотя хорошим тоном в банковских аппах считается блокировать возможность скринов (т.е. другое приложение не должно читать инфу с экрана). Но банк считает, что это неопасная уязвимость, и обещает починить уже год.

Ответить
0

Но скриншот это и правда не уязвимость. Нельзя считать уязвимостью легальный доступ к легальным возможностям ОС.

Ответить
0

Легальной возможностью ОС (по крайней мере в Андроид) является отключение скринов в пределах заданного приложения, причем делается это двумя строчками конфига данного приложения.

Нетфликс, напр., запрещает скриншотиться, понятно, почему.

Хорошие банковские приложения тоже запрещают скрины. Напр., чужое приложение может вызвать системную функцию скриншота и вытащить главный экран банковского аппа, а там мои балансы. Ну или прочесть список операций по счетам (когда я сам их смотрю).

Да, это не уязвимость как таковая - но при определенной ловкости рук МОЖЕТ привести к чтению конфиденциальной инфы. Поэтому я и говорю о хорошем тоне: в случае с банками никакая паранойя не является лишней.

Ответить
1

История с создателем патча для WannaCry, думаю, охладила многих «белых шляп».

Ответить
0

Каким образом та история должна была охладить белых шляп?

Ответить
0

Прежде чем создать публичный инструмент, лучше, наверное, сперва сообщить о своей разработке спецслужбам и безопасникам Microsoft.

Ответить
0

Стоп, какой инструмент? И почему Microsoft?

Ответить
0

Он разреверсил вирус, нашёл способ остановить его, зарегил домен. После этого он должен был передать код зловреда в Microsoft для решения вопроса о выпуске патча, что он не сделал, а опубликовал уязвимость в открытом доступе.

Ответить
1

Бррррр. Он ничего не реверсил, он анализировал его поведение и обнаружил, что тот стучится на незарегистрированный домен, после чего просто зарегистрировал этот домен. Никакой "уязвимости" в открытом доступе он не публиковал. И какой код он должен был передавать в Microsoft?

Но всё-таки - в чём собственно состояла "история", которая должна была охладить белых шляп?

Ответить
–2

Чувак сделал всё правильно, но его сгубило ЧСВ. И не поделился с сильными мира сего. Мог бы сделать всё втихую, либо эксплуатировать бэкдор, через который вирус заражает систему, в сугубо личных целях. Ведь самое вкусное заключается в том, что он фактически рассекретил механизм, как вирус общается со своим «хозяином». Шёл 2017 год, весьма богатый на вирусные атаки. Но ещё раньше WikiLeaks слил исходники инструментов спецслужб, на основе которых был создан не один образчик заразы. Тогда Microsoft выпустила заплатки, которые смягчили эти бэкдоры, но не устранили их. Поражает удивительное сходство WannaCry с теми RAT от американских спецслужб. После того, как Маркус описал механизм работы вируса, он вывернул бэкдор наизнанку (без уведомления правообладателей). Поэтому, когда после публикации исследования в системе стало на одну лазейку меньше, американские чекисты и припомнили программисту его прошлое.

Ответить
0

Если человек ведёт себя как дурак, это не означает, что он и есть дурак (с IQ меньше 70). Просто не поддаётся всплеску эмоций, чтобы стрелочником оказался кто-либо другой. Зачем ломать систему, которая хорошо работает? Тем более, от такого фрода страдают банкиры, а не их клиента.
А то вдруг это не уязвимость, а специально созданный бэкдор «для своих». Так вот, чтобы потом не иметь дело с людьми в чёрном, лучше тихой сапой слить 9 лимонов и залечь на дно, чем похерить кормушку.

Ответить
1

Весьма вероятно что косяк сделали намеренно, хотя может и рукожопство

Ответить
0

Интересно бы было если бы какой нить математик просчитал вероятность попадания человека с таким образом мыслей на уязвимость которая не очевидна в одной точке довольно узкой (один определенный банк)

Ответить
–6

Я один раз покупал товар за 7000 рублей, доставка курьером, оплата картой через мобильный терминал. Так вот, то ли курьер попался криворукий, то ли случай происходил в стародавние времена, короче, сумма покупки заблокировалась, а потом вернулась на счёт. Я, не будь дураком, обрадовался, вывел на личный сбер, снял, а когда овердрафт спалился, вместо того, чтобы платить, подал на чарджбэк. МПС его одобрила, курьера скорее всего рассчитали. Просто, когда на голову свалился мешок с деньгами, не растерялся и увел его сравнительно честным путём. Заранее, конечно, я не рассчитывал на эти деньги, но на ловца и зверь бежит )

Ответить
2

Вы правда не осознаёте, что описанный случай - воровство и гордиться здесь нечем?

Ответить
–1

Это капитализм, детка )

Ответить
–2

С каких пор использование СИ в чистом виде является воровством? За гешефт заплатил криворукий курьер, а я просто подсуетился. Всё делал с личных именных карт, так как я был уверен в своей безнаказанности. И потом, банк добровольно обнулил овердрафт, опять-таки, без шантажа и насилия с моей стороны. На дурака не нужен нож…

Ответить
–2

Воровство или не воровство - может решить только суд, которого в моем случае не было )

Ответить
1

Это со мной такой случай произошёл, но я любитель. А вот если человек помимо владения СИ закончит ещё факультет ИБ, у него улов будет куда крупнее. Ибо он эти уязвимости мониторит в режиме мозгового штурма и, скорее всего, обладает выдержкой.

Ответить
0

Когда идей, витающих в воздухе, становится слишком много, наступает синергетический эффект, и они материализуются в правильную структуру. Точно так же как и добыча крипты, когда после долгого и упорного труда распределённых вычислений «выстреливает» целый блок, за которое сразу даётся вознаграждение в круглую сумму биток.

Ответить
5

Они обычно потом на зоне отвисают, радостные.

Ответить
2

И оттуда потом тоже лазейки находят как пенсионеров на Авито кидать. Талант везде пробьется.

Ответить
0

В лучших традициях Древней Спарты )

Ответить
6

По-моему, между «вывели» и «похитили» большая разница. В оригинале статьи также фигурирует и второй термин. Мне кажется, что стоит изменить заголовок или указать о хищении в тексте.

Ответить
–1

Но, конечно, фундаментальные знания программирования вроде того, что такое атомарность, не нужны, когда прошёл код-школу за три месяца и умеешь сделать сайт, который не ломается на счастливом пути.

Ответить
11

Тыж наш хороший! Что ещё про атомарность знаншь? :)

Ответить
0

Знаю, что не знаю - и что когда буду, например, делать что-нибудь для бэкенда, буду снова ботать забытое, а не делать сразу по наитию.

И искренне считаю, что именно known unknowns - это самая важная часть любой фундаментальной подготовки. Нагуглить можно всё, что угодно. Надо просто знать, что вообще стоит что-то гуглить.

Ответить
2

Расскажите плиз как будет реализовываться атомарность во взаимодействии 2-х (как минимум) и более систем

Ответить
4

ЗАКОНЧЮТЬ СВОИ ОНЛАЕН ШКОЛЫ И НЕ ЗНАЮТ ПАТОМ НИЧЕ ОБ ООАПЭ, ИНКАПСУЛЯЦЕНИИ, КАНКУРЕНТНАСТИ

Ответить
0

Человек имел ввиду не атомарность, а транзакционность поди.

Ответить
0

Вообще я имел в виду ACID целиком, да, тупил с утра.

Ответить
2

И это ничем не помогло бы, так как ПО одного банка не контролирует процессы другого банка.
Локально ПО работало правильно, ошибка была в понимании правил перевода через MasterCard.

Ответить
0

Так в статье же написана причина)

Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя.

Все работает правильно, как нарисовали аналитики

Ответить
2

При чем тут программирование вообще?

Ответить
0

Ну он наверно думает, что ПО банка отправителя может контролировать счета в банке-получателе)

Ответить
1

Пятиизбянцев
Семибанкирщина

Ответить
3

Семипалатинск :)

Ответить
0

Кострома
Айда а города

Ответить
0

Аста... Нурсул...
Так, давайте Алматы.

Ответить
1

получается известны лица от кого был перевод и лица кому, есть записи с камер банкоматов, а иск на возмещение пропавших средств к Монейсенд? хм, видимо дело не раскрыть..

Ответить

Комментарий удален

0

Скорее всего они не свои карты использовали

Ответить
0

Карты наверняка на левых лиц. Переводил парень в кепке или капюшоне...

Ответить
0

Точно мошенники?

Ответить
1

Что там нужно нажимать? Можно подробнее?;-))

Ответить
0

Кто то норм шарит в этих банкоматных делах

Ответить
0

Банк «Москва-сити» подал иск к АО «Компания объединенных кредитных карточек»

Я бы сходу не доверял АО КОКК

Ответить
0

Кто-то свой и слил в итоге.

Ответить
0

Нашёл уязвимость? получи награду! Это опыт мировых it-компаний)

Ответить
0

А разве пользование багом в системе можно считать мошенничеством?

Ответить
0

Мошенничество — хищение чужого имущества или приобретение права на чужое имущество путём обмана или злоупотребления доверием. Лицо, занимающееся этим, называется мошенник или мошенница.

При этом под обманом понимается как сознательное искажение истины (активный обман), так и умолчание об истине (пассивный обман). В обоих случаях обманутая жертва сама передает своё имущество мошеннику.

Ответить
0

Остап Бендер с Вами не согласится )

Ответить
0

Сбербанк не прокомментировал ситуацию

Ответить
0

Почему мошенники?
Может просто умные люди , которые нашли уязвимость (слабость) компании и кб воспользовались?

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления
{ "page_type": "default" }