Мошенники вывели через сервис переводов Mastercard 9 млн рублей из-за ошибки в настройках банкоматов Статьи редакции
После атаки Mastercard рекомендовала всем банкам проверить настройки и устранить уязвимость.
Мошенники вывели через сервис денежных переводов Mastercard — MoneySend — 9 млн рублей из-за ошибки в настройках банкоматов банка «Москва-сити». Об этом пишут «Ведомости».
Операции проводили с 15 по 19 мая 2018 года в банкоматах на железнодорожных вокзалах в Москве. Участники схемы выбирали опцию перевода денег с карт «Сбербанка» на карты «Тинькофф банка», но в последний момент отменяли операцию.
Мошенники выбирали опцию перевода, после чего направлялись запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств, объясняет эксперт по информационной безопасности банков Николай Пятиизбянцев, изучивший решение суда. Затем на экране банкомата появлялась информация о комиссии и предложение подтвердить перевод.
Ошибка в настройках заключалась в том, что банк — владелец банкомата считал, что операцию все ещё можно отменить, а банк получателя — что перевод уже отозвать нельзя. Мошенники отменяли операцию: сумма восстанавливалась на карте отправителя и одновременно проходил перевод. По правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции.
Банк «Москва-сити» подал иск к АО «Компания объединенных кредитных карточек» (работает под брендом UCS) на 9,37 млн рублей. UCS обрабатывает операции в банкоматах «Москва-сити».
Однако суд отклонил иск, поскольку не нашёл доказательств, что к убыткам привели действия ответчиков. 8 мая 2019 года «Москва-сити» подал апелляцию.
После того как об атаке стало известно, Mastercard дала рекомендации, и банки проверили корректность настроек, отмечает Пятиизбянцев. По словам двух источников «Ведомостей», «Москва-сити» не единственный банк, пострадавший из-за таких действий злоумышленников.
В «Москва-сити» сообщили, что инцидент произошел из-за неверно настроенного процессингового сценария UCS. Компания отвечала за настройку софта и сценариев операций, и эта настройка нарушала логику переводов MoneySend.
В «Тинькофф банке» заявили, что следовали правилам Mastercard. «Сбербанк» отказался от комментариев, представители Mastercard и UCS не ответили на запросы.
Всегда уважал людей, которые умеют находить лазейки)
Чтобы найти такую лазейку надо создать такую лазейку. Помоему искать надо где то там. Иначе это величайший аналитик который может строить такие гипотезы и проверять их в короткое время, растрачивает свой дар на какие то 9 млн руб
Или достаточно случайнсти — попробовали перевести 500 руб, отменили и о чудо! «И тут карта поперла».
Может быть и такое, но скоро человеку с такой удачей должно повезти в лотерею миллионов на 30 не меньше)) И не забывайте что ему еще нужно было целенаправленно продолжать эти действия что бы довести до 9 млн. Первая реакция нормального человека при обнаружении не понятных операций на карте позвонить в банк в тех поддержку чтобы выяснить, что происходит (может он и пожалел бы потом поняв упущенную возможность), но осознать что можно сейчас продолжать это делать с полным отсутствием ответственности? Это может или уникальный провидец либо полный дурак которому все пофиг (и тогда в сообщении было бы указано что его задержали по реквизитам карты)
Неа, тут скорее другая история. Ошибка была, и это систематическая ошибка, а не разовая, судя по описанному в статье. Соотв., возникал этот сценарий поведения может и не часто, но если умножить на кол-во пользователей, то таки уже часто.
Кто-то написал на форумах (даже не на кардерских, а просто на банковских) - а дальше понятно, чем кончилось.
Я вон своему банку пишу в 100500 раз, что их мобильное приложение позволяет делать скриншоты, хотя хорошим тоном в банковских аппах считается блокировать возможность скринов (т.е. другое приложение не должно читать инфу с экрана). Но банк считает, что это неопасная уязвимость, и обещает починить уже год.
Но скриншот это и правда не уязвимость. Нельзя считать уязвимостью легальный доступ к легальным возможностям ОС.
Легальной возможностью ОС (по крайней мере в Андроид) является отключение скринов в пределах заданного приложения, причем делается это двумя строчками конфига данного приложения.
Нетфликс, напр., запрещает скриншотиться, понятно, почему.
Хорошие банковские приложения тоже запрещают скрины. Напр., чужое приложение может вызвать системную функцию скриншота и вытащить главный экран банковского аппа, а там мои балансы. Ну или прочесть список операций по счетам (когда я сам их смотрю).
Да, это не уязвимость как таковая - но при определенной ловкости рук МОЖЕТ привести к чтению конфиденциальной инфы. Поэтому я и говорю о хорошем тоне: в случае с банками никакая паранойя не является лишней.