Арбитражный суд Москвы взыскал с процессинговой компании UCS 470 млн руб., посчитав, что по ее вине мошенники похитили у банка «Кузнецкий» эти средства, следует из материалов картотеки арбитражных дел.
В августе 2015 г. мошенники, используя платежные карты MasterCard, выпущенные банком «Кузнецкий», сняли из банкоматов других банков 470 млн руб. Мошенники использовали платежную систему ОРС, в которую тогда входило более 200 банков и которая позволяла снимать наличные по картам международных платежных систем по более низким ставкам. UCS же является операционным и платежным клиринговым центром ОРС.
Это типичный случай мошеннической атаки «отмена транзакции», рассказывает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. По его словам, схема атаки очень проста: мошенник, используя карту банка-эмитента, снимает наличные в банкомате − эти деньги принадлежат банку, обслуживающему банкомат (эквайеру). Сразу после этого, продолжает Кузнецов, сообщник мошенника направляет в платежную систему требование об отмене операции. «Из-за отмены операции сумма на карточном счете не изменяется, так что мошенники могут повторять эту двухходовку снова и снова, пока не надоест», – говорит он. При этом у эмитента возникнет долг перед эквайером на сумму, равную сумме снятой наличности.
Суд указал, что транзакции в платежной системе ОРС осуществляются в соответствии с правилами MasterCard, а согласно им право на отмену операции в режиме реального времени имеет только банк-эквайер (т. е. владелец банкомата), а банк-эмитент (в нашем случае – «Кузнецкий») мог отменить операцию только по истечении семи календарных дней, но ответчик UCS, несмотря на это, провел операцию отмены от имени «Кузнецкого». Суд также указывает, что ОРС, в которую входил «Кузнецкий», направила незадолго до атаки на него уведомление UCS, что расходный лимит для банка составляет 3,4 млн руб. (та сумма, которой банк был готов рискнуть в случае массового проведения операций).
Когда мошенники сняли первую сотню тысяч рублей, остаток, имеющийся на корсчете эмитента, уменьшился на эту сумму, а после отмены операции восстановился, хотя у эмитента возникла фактическая задолженность перед эквайером на сотню тысяч, говорит эксперт по информационной безопасности. С каждой следующей мошеннической операцией остаток на корреспондентском счете то уменьшался, то восстанавливался, объясняет он. С точки зрения UCS то же самое происходило с расходным лимитом, в то время как на самом деле задолженность эмитента постоянно росла и могла расти неограниченно, считает он. Ответчик «не обеспечил должного контроля за расходными лимитами», резюмирует суд.
Обычно мошенники делают по 5−10 подходов к банкомату, каждый раз снимая максимально возможную сумму (200 000 руб., 40 купюр номиналом 5000 руб., − больше просто не помещается в диспенсер банкомата), рассказывает Кузнецов. По его мнению, особенность данного случая в том, что за сутки было сделано более 3000 таких операций, а общая сумма достигла почти 470 млн руб. Судя по сумме и количеству операций, продолжает он, мошенникам пришлось за короткий срок опустошить более 200 банкоматов, принадлежащих разным банкам. Это тоже типичный способ вывода средств, когда к мошеннической операции привлекается большое количество рядовых исполнителей (так называемые дропы), указывает он. И добавляет, что вручную выполнить такое количество операций отмены платежа невозможно даже физически, так что можно уверенно утверждать, что действовал не сотрудник, а хакеры, которые предварительно получили доступ к инфраструктуре банка.
«По нашим сведениям, по возбужденным уголовным делам проводятся следственные действия, которые еще не завершены», – говорит представитель НКО «ОРС». Собеседник «Ведомостей», близкий к одной из сторон, указывает, что первые задержания по этому делу прошли еще осенью. Комментарии МВД в понедельник вечером получить не удалось.
С решением суда ОРС полностью согласна, говорит ее представитель: «Поскольку именно неправомерные действия UCS привели к возникновению такого значительного ущерба». В случае обжалования решения суда первой инстанции ОРС готова и далее защищать и аргументировать в суде свою позицию, предупредил он.
Из материалов дела следует, что ОРС сразу после инцидента заплатила банкам, из чьих банкоматов украли деньги, 470 млн руб., а иск к UCS компания подала 2 ноября 2015 г. По словам человека, близкого к одной из сторон, «Кузнецкий» не мог компенсировать банкам ущерб, поскольку у него не было таких средств (его активы, по данным «Интерфакс-ЦЭА», на конец I квартала составили 4,3 млрд руб., банк занимает 351-е место по этому показателю), для ОРС это был больше вопрос репутации. Представители UCS и «Кузнецкого» на запрос не ответили.
Согласно принципам уголовного судопроизводства компенсировать причиненный вред должен преступник, говорит Кузнецов. Если хакеров не поймают, то компенсировать вред некому, если их поймают, то таких денег у них все равно уже нет, рассуждает он. «Поэтому ОРС, руководствуясь желанием компенсировать полученный ущерб, поступила именно так, как я советую поступать всем своим знакомым: представила дело как нарушение правил проведения платежных операций компанией UCS и перевела инцидент в плоскость гражданского судопроизводства, где ущерб возмещает тот, кто по итогам судебных разбирательств оказался «сильнее неправ», – заключает он.