Воспользовавшись ошибкой в настройках банкоматов, мошенники похитили 9 миллионов рублей

8:37, 13 мая. Автор: Источник: Ведомости

Как сообщают «Ведомости», с 15 по 19 мая прошлого года через банкоматы банка «Москвасити» на Киевском, Ярославском, Казанском, Ленинградском и Павелецком вокзалах мошенники похитили 9 миллионов рублей. Секрет оказался прост: участники схемы выбирали опцию перевода денег с карты на карту через сервис Mastercard – Moneysend, но в последний момент не подтверждали или отменяли операцию. Во всех случаях средства «переводились» с карт Сбербанка на карты «Тинькофф банка». Несмотря на отмену операции деньги все равно зачислялись на одни карты и восстанавливались на других. При этом речь не идет о безобидных ошибках пользователей: «Неустановленными лицами произведены множественные однотипные операции перевода денежных средств на общую сумму $134 122», говорится в вынесенном в марте решении Арбитражного суда по иску банка «Москва-сити».

logo-mastercard-mobile

Эксперты отмечают, что мошенники обнаружили уязвимость и для хищения денег не требовался даже вредоносный код. Участники схемы вставляли карты в банкоматы «Москва-сити», выбирали опцию перевода денег с карты на карту и вводили номер карты и сумму. После этого направлялись запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств соответственно. Но затем пользователю на экране банкомата выводилась комиссия за перевод и предложение его подтвердить. Ошибка в настройках заключалась в том, что банк – владелец банкомата считал, что операцию все еще можно отменить, а банк получателя – что перевод уже отозвать нельзя.

Далее мошенник отменял операцию, и сумма перевода восстанавливалась на карте отправителя, одновременно эта же сумма приходила и на карту получателя. Это было возможно, поскольку по правилам Mastercard для операций Moneysend банк получателя может не согласиться с отменой операции.

Стоит отметить, что для того, чтобы провести такую атаку, необходимо знать, в каких конкретно банкоматах есть эта уязвимость, и, более того, нужно было подобрать банк получателя, который не разрешал проводить отмену операции.

В итоге деньги по спорным операциям были списаны со счета «Москва-сити» по решению арбитражного комитета Mastercard, говорится в решении суда.