Мошенники вывели через сервис переводов Mastercard 9 млн рублей из-за ошибки в настройках банкоматов Статьи редакции
После атаки Mastercard рекомендовала всем банкам проверить настройки и устранить уязвимость.
Мошенники вывели через сервис денежных переводов Mastercard — MoneySend — 9 млн рублей из-за ошибки в настройках банкоматов банка «Москва-сити». Об этом пишут «Ведомости».
Операции проводили с 15 по 19 мая 2018 года в банкоматах на железнодорожных вокзалах в Москве. Участники схемы выбирали опцию перевода денег с карт «Сбербанка» на карты «Тинькофф банка», но в последний момент отменяли операцию.
Мошенники выбирали опцию перевода, после чего направлялись запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств, объясняет эксперт по информационной безопасности банков Николай Пятиизбянцев, изучивший решение суда. Затем на экране банкомата появлялась информация о комиссии и предложение подтвердить перевод.
Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя. Мошенники отменяли операцию: сумма восстанавливалась на карте отправителя и одновременно проходил перевод. По правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции.
Банк «Москва-сити» подал иск к АО «Компания объединенных кредитных карточек» (работает под брендом UCS) на 9,37 млн рублей. UCS обрабатывает операции в банкоматах «Москва-сити».
Однако суд отклонил иск, поскольку не нашёл доказательств, что к убыткам привели действия ответчиков. 8 мая 2019 года «Москва-сити» подал апелляцию.
После того как об атаке стало известно, Mastercard дала рекомендации, и банки проверили корректность настроек, отмечает Пятиизбянцев. По словам двух источников «Ведомостей», «Москва-сити» не единственный банк, пострадавший из-за таких действий злоумышленников.
В «Москва-сити» сообщили, что инцидент произошел из-за неверно настроенного процессингового сценария UCS. Компания отвечала за настройку софта и сценариев операций, и эта настройка нарушала логику переводов MoneySend.
В «Тинькофф банке» заявили, что следовали правилам Mastercard. «Сбербанк» отказался от комментариев, представители Mastercard и UCS не ответили на запросы.
Всегда уважал людей, которые умеют находить лазейки)
Чтобы найти такую лазейку надо создать такую лазейку. Помоему искать надо где то там. Иначе это величайший аналитик который может строить такие гипотезы и проверять их в короткое время, растрачивает свой дар на какие то 9 млн руб
Или достаточно случайнсти — попробовали перевести 500 руб, отменили и о чудо! «И тут карта поперла».
уверен, так и было. Все в мире экономят на тестировании, это один из самых дорогих этапов. Поэтому тестировщики - пользователи.
Значит деньги не украдены, а честно заработаны! Тестировали же, искали все ичправный банкомат
Надеюсь, тестеры заплатили с заработанных пОтом и кровью 9 лимонов все необходимые налоги и сборы?