Мошенники вывели через сервис переводов Mastercard 9 млн рублей из-за ошибки в настройках банкоматов Статьи редакции

После атаки Mastercard рекомендовала всем банкам проверить настройки и устранить уязвимость.

Мошенники вывели через сервис денежных переводов Mastercard — MoneySend — 9 млн рублей из-за ошибки в настройках банкоматов банка «Москва-сити». Об этом пишут «Ведомости».

Операции проводили с 15 по 19 мая 2018 года в банкоматах на железнодорожных вокзалах в Москве. Участники схемы выбирали опцию перевода денег с карт «Сбербанка» на карты «Тинькофф банка», но в последний момент отменяли операцию.

Мошенники выбирали опцию перевода, после чего направлялись запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств, объясняет эксперт по информационной безопасности банков Николай Пятиизбянцев, изучивший решение суда. Затем на экране банкомата появлялась информация о комиссии и предложение подтвердить перевод.

Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя. Мошенники отменяли операцию: сумма восстанавливалась на карте отправителя и одновременно проходил перевод. По правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции.

Банк «Москва-сити» подал иск к АО «Компания объединенных кредитных карточек» (работает под брендом UCS) на 9,37 млн рублей. UCS обрабатывает операции в банкоматах «Москва-сити».

Однако суд отклонил иск, поскольку не нашёл доказательств, что к убыткам привели действия ответчиков. 8 мая 2019 года «Москва-сити» подал апелляцию.

После того как об атаке стало известно, Mastercard дала рекомендации, и банки проверили корректность настроек, отмечает Пятиизбянцев. По словам двух источников «Ведомостей», «Москва-сити» не единственный банк, пострадавший из-за таких действий злоумышленников.

В «Москва-сити» сообщили, что инцидент произошел из-за неверно настроенного процессингового сценария UCS. Компания отвечала за настройку софта и сценариев операций, и эта настройка нарушала логику переводов MoneySend.

В «Тинькофф банке» заявили, что следовали правилам Mastercard. «Сбербанк» отказался от комментариев, представители Mastercard и UCS не ответили на запросы.

0
80 комментариев
Написать комментарий...
Дмитрий Фишер

Всегда уважал людей, которые умеют находить лазейки)

Ответить
Развернуть ветку
Pavel Che

Чтобы найти такую лазейку надо создать такую лазейку. Помоему искать надо где то там. Иначе это величайший аналитик который может строить такие гипотезы и проверять их в короткое время, растрачивает свой дар на какие то 9 млн руб

Ответить
Развернуть ветку
Ilya Ershov

Или достаточно случайнсти — попробовали перевести 500 руб, отменили и о чудо! «И тут карта поперла».

Ответить
Развернуть ветку
Pavel Che

Может быть и такое, но скоро человеку с такой удачей должно повезти в лотерею миллионов на 30 не меньше)) И не забывайте что ему еще нужно было целенаправленно продолжать эти действия что бы довести до 9 млн. Первая реакция нормального человека при обнаружении не понятных операций на карте позвонить в банк в тех поддержку чтобы выяснить, что происходит (может он и пожалел бы потом поняв упущенную возможность), но осознать что можно сейчас продолжать это делать с полным отсутствием ответственности? Это может или уникальный провидец либо полный дурак которому все пофиг (и тогда в сообщении было бы указано что его задержали по реквизитам карты)

Ответить
Развернуть ветку
Максим Ростокин

Если человек ведёт себя как дурак, это не означает, что он и есть дурак (с IQ меньше 70). Просто не поддаётся всплеску эмоций, чтобы стрелочником оказался кто-либо другой. Зачем ломать систему, которая хорошо работает? Тем более, от такого фрода страдают банкиры, а не их клиента.
А то вдруг это не уязвимость, а специально созданный бэкдор «для своих». Так вот, чтобы потом не иметь дело с людьми в чёрном, лучше тихой сапой слить 9 лимонов и залечь на дно, чем похерить кормушку.

Ответить
Развернуть ветку
Pavel Che

Интересно бы было если бы какой нить математик просчитал вероятность попадания человека с таким образом мыслей на уязвимость которая не очевидна в одной точке довольно узкой (один определенный банк)

Ответить
Развернуть ветку
Максим Ростокин

Я один раз покупал товар за 7000 рублей, доставка курьером, оплата картой через мобильный терминал. Так вот, то ли курьер попался криворукий, то ли случай происходил в стародавние времена, короче, сумма покупки заблокировалась, а потом вернулась на счёт. Я, не будь дураком, обрадовался, вывел на личный сбер, снял, а когда овердрафт спалился, вместо того, чтобы платить, подал на чарджбэк. МПС его одобрила, курьера скорее всего рассчитали. Просто, когда на голову свалился мешок с деньгами, не растерялся и увел его сравнительно честным путём. Заранее, конечно, я не рассчитывал на эти деньги, но на ловца и зверь бежит )

Ответить
Развернуть ветку
Арсений

Вы правда не осознаёте, что описанный случай - воровство и гордиться здесь нечем?

Ответить
Развернуть ветку
Максим Ростокин

С каких пор использование СИ в чистом виде является воровством? За гешефт заплатил криворукий курьер, а я просто подсуетился. Всё делал с личных именных карт, так как я был уверен в своей безнаказанности. И потом, банк добровольно обнулил овердрафт, опять-таки, без шантажа и насилия с моей стороны. На дурака не нужен нож…

Ответить
Развернуть ветку
77 комментариев
Раскрывать всегда