При переводе с карт «Сбербанка» мошенники похитили 9 миллионов из-за уязвимости в банкоматах посредника
Столичный банк «Москва-сити» судится из-за того, что при пользовании его банкоматом злоумышленники воспользовались программной ошибкой.
13-05-2019
#новости
Время чтения: 2 минуты
Как пишет vc.ru со ссылкой на «Ведомости», год назад из-за уязвимости в системе работы банкоматов неустановленные лица смогли похитить 9 миллионов рублей.

Злоумышленники воспользовались сервисом денежных переводов Mastercard — MoneySend. Они орудовали всего несколько дней – с 15 по 19 мая – на ж/д вокзалах столицы. Там они находили банкоматы банка «Москва-сити» и проворачивали одну и ту же операцию, с помощью которой обогатились на девять миллионов.

В ходе следствия выяснилось, что мошенники, которых за год так и не поймали, делали следующее: на дисплее банкомата они выбирали опцию перевода денег с карт «Сбербанка» на карты «Тинькофф банка», но в последний момент отменяли операцию. «Москва-сити» выступал в данном случае как промежуточное звено для проведения перевода – и пострадал. Его система отправляла запросы «Сбербанку» и «Тинькофф банку» для разрешения на списание и зачисление средств. Затем на экране банкомата появлялось предложение подтвердить перевод. Как только мошенник на этом этапе отменял операцию, срабатывала уязвимость.

Ошибка заключалась в том, что система владельца банкомата, «Москва-сити», считала, что операцию все еще можно отменить, а банка получателя («Тинькофф банк»), что перевод уже нельзя отозвать. В результате, не переведенная сумма восстанавливалась на карте отправителя и одновременно переходила на карту получателя.

По правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции.

После всего случившегося банк «Москва-сити» подал в суд на АО «Компания объединенных кредитных карточек» (UCS), которая обрабатывает операции в его банкоматах. Суд иск отклонил, поскольку доказательств, что виновата именно эта компания не нашлось. На прошлой неделе «Москва-сити» подал апелляцию – в банке уверены, что всему виной неправильно настроенный процессинговый сценарий UCS. Компания занималась именно настройкой софта и сценариев операций, и эта настройка конфликтовала с логикой переводов сервиса MoneySend.

После того, как эта история стала достоянием гласности, Mastercard в свою очередь опубликовала рекомендации, следуя которым, многие банки проверили корректность своих настроек. По данным СМИ, «Москва-сити» оказался не единственным банком, который мошенники ограбили подобным образом.

В комментариях на vc.ru пользователи отметили, что подобные уязвимости еще раз доказывают – до того времени, как программисты и тестировщики станут невостребованными, еще далеко. Напомним, ранее с подобным заявлением выступал глава «Сбербанка» Герман Греф, оно касалось не только разработчиков, но и математиков.

Наш материал о том, почему это просто невозможно и как этому препятствует сама суть математики, читайте здесь. Неоднозначное высказывание Грефа – только вершина айсберга заблуждений о том, как нас всех вскоре заменит искусственный интеллект.

А о том, как Герман Греф практически сам опровергает собственные слова на эту тему и какие уязвимости есть у онлайн-банков – здесь:
Раз в месяц мы делаем рассылку с анонсом новых кейсов и статей, опубликованных на сайте.
Подпишитесь на обновления.
Гарантируем - никакого спама. Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой в отношении обработки персональных данных.
Читать еще:
Материалы, которые могут вас заинтересовать.