С 15 по 19 мая прошлого года через банкоматы банка «Москва-сити» на Киевском, Ярославском, Казанском, Ленинградском и Павелецком вокзалах мошенники похитили 9 млн руб. Секрет оказался прост. Участники схемы выбирали опцию перевода денег с карты на карту через сервис Mastercard – MoneySend, но в последний момент не подтверждали или отменяли операцию. Во всех случаях средства «переводились» с карт Сбербанк
а на карты «Тинькофф Банка». Несмотря на отмену операции деньги все равно зачислялись на одни карты и восстанавливались на других. Но речь не идет о безобидных ошибках пользователей: «Неустановленными лицами произведены множественные однотипные операции перевода денежных средств на общую сумму $134 122», говорится в вынесенном в марте решении Арбитражного суда по иску банка «Москва-сити».
Он требовал с АО «Компания объединенных кредитных карточек» и Росбанка 9 млн руб. Первый ответчик работает под брендом UCS и обрабатывает операции в банкоматах «Москва-сити», Росбанк оказывает истцу спонсорские услуги в платежных системах.
Мошенники обнаружили уязвимость и для хищения денег не требовался даже вредоносный код, объясняет эксперт по информационной безопасности банков Николай Пятиизбянцев, изучивший решение суда. Участники схемы вставляли карты в банкоматы «Москва-сити», выбирали опцию перевода денег с карты на карту и вводили номер карты и сумму, описывает он. После этого направлялись запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств соответственно, продолжает Пятиизбянцев. Но затем пользователю на экране банкомата выводилась комиссия за перевод и предложение его подтвердить. Ошибка в настройках заключалась в том, что банк – владелец банкомата считал, что операцию все еще можно отменить, а банк получателя – что перевод уже отозвать нельзя, рассказывает он.
Далее мошенник отменял операцию, и сумма перевода восстанавливалась на карте отправителя, одновременно эта же сумма приходила и на карту получателя. Это было возможно, поскольку по правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции.
469 млн руб.
похитили мошенники в августе 2015 г. у банка «Кузнецкий». Для кражи денег они тоже использовали атаку типа «отмена транзакции». Мошенник снимал средства с карты «Кузнецкого» в банкомате стороннего банка, после чего его сообщник направлял запрос на отмену операции и средства восстанавливались на счете. Операции отменялись под учетными записями сотрудников «Кузнецкого», не имевших на то полномочий, следует из материалов картотеки арбитражных дел. Обычно мошенники делают по 5−10 подходов к банкомату, каждый раз снимая максимально возможную сумму – 200 000 руб., или 40 купюр по 5000 руб., − больше не помещается в диспенсер банкомата. Участники кражи могли опустошить до 200 банкоматов разных банков.
Все банки входили в платежную систему ОРС. Она позволяла снимать наличные с карт международных платежных систем по низким ставкам. А операционным и платежным клиринговым центром ОРС была UCS. ОРС сразу после инцидента заплатила банкам 469 млн руб., а затем в суде добилась взыскания этих средств с UCS
В итоге деньги по спорным операциям были списаны со счета «Москва-сити» по решению арбитражного комитета Mastercard, говорится в решении суда.
По словам Пятиизбянцева, для того, чтобы провести такую атаку, необходимо знать, в каких конкретно банкоматах есть эта уязвимость, и, более того, нужно было подобрать банк получателя, который не разрешал проводить отмену операции.
«Тинькофф Банк» руководствовался исключительно правилами Mastercard, говорит его представитель. Логика переводов в MoneySend не подразумевает возможность отмены операции без предварительного согласования с банком получателя, подчеркивает он. Ведь тот моментально увеличивает остаток средств на карточном счете своего клиента, которому был адресован перевод. Также при расследовании этого случая «Тинькофф» дополнительно проверил логику работы своих банкоматов, заключил его представитель. После того как стало известно о такой атаке, Mastercard дала рекомендации и все банки проверили корректность настроек, указывает Пятиизбянцев. Достаточно лишь поменять последовательность действий – сначала уведомить клиента о комиссии и запросить согласие на операцию, а затем направлять запросы в банки.
Представитель ЦБ не стал комментировать этот инцидент. Но он отметил, что такой тип мошенничества регулятор описывал в отчете своего центра мониторинга и реагирования на компьютерные атаки ФинЦЕРТ, опубликованном в сентябре 2018 г. Этот вид мошенничества доступен даже малоквалифицированным исполнителям, подчеркивается в докладе.
«Москва-сити» не единственный банк, пострадавший из-за таких атак, говорят два человека, близких к одной из сторон инцидентов годичной давности.
Суд отклонил иск «Москва-сити», поскольку истец не представил доказательств, что к убыткам привели действия ответчиков. 8 мая банк подал апелляцию. По сути, суд счел, что ни одна из сторон не виновна в причинении ущерба, поскольку не нарушила своих обязательств, указывает Пятиизбянцев.
Инцидент произошел из-за неверно настроенного процессингового сценария UCS, говорится в ответе «Ведомостям» юридического управления банка «Москва-сити». При этом UCS отвечала за настройку софта и сценариев операций, следует из ответа, и эта настройка нарушала логику денежных переводов MoneySend. «Москва-сити» провел внутреннее расследование, которое не выявило причастность кого-либо из сотрудников банка к инцидентам, подчеркивается в ответе.
В то же время суд указывает, что «Москва-сити» участвовал в настройках сервиса MoneySend в собственных банкоматах и знал о сценариях совершения переводов, пояснял ответчик, система проходила тестирование.
Было ли заведено уголовное дело по факту хищения средств, представитель «Москва-сити» не сказал. Помимо убытков из-за действий мошенников «Москва-сити» пришлось также заплатить 4620 евро комиссии за рассмотрение своей претензии к UCS в арбитражном комитете Mastercard. Эти средства банк также пытался взыскать в суде.
Представитель Сбербанк
а от комментариев отказался, представители Mastercard, Росбанка и UCS на запросы «Ведомостей» не ответили.