Как сообщают «Ведомости», участники схемы воспользовались ошибкой в настройках терминалов самообслуживания столичного финучреждения, расположенных на Казанском, Киевском, Ленинградском, Ярославском и Павелецком вокзалах.
Стало известно, что злоумышленники выбирали функцию денежных переводов между картами через сервис Mastercard MoneySend, но на заключительном этапе операции отменяли или не подтверждали ее. Во всех выявленных случаях деньги должны были переводиться с карт Сбербанка на карточки Тинькофф. Несмотря на отмену платежа средства зачислялись на картсчета получателей и восстанавливались на картах отправителей.
Уточняется, что в данном случае речь совершенно не идет об ошибках пользователей. По словам экспертов, мошенникам удалось обнаружить уязвимость, и для хищения денежных средств им даже не требовался вредоносный код. Так, неустановленные лица неоднократно совершали однотипные операции по переводу денег на общую сумму более 134 тысяч долларов. Участники схемы вставляли карту в банкомат, выбирали опцию перевода с карты на карту, указывали номер карточки и сумму. Затем в банки и отправителя и получателя система отправляла запросы на проведение платежа (списание и зачисление средств). Затем на экране выводилась информация с размером комиссии за перевод и предложение его подтвердить.
Из-за ошибки в настройках банк-владелец АТМ считал, что перевод еще можно отменить, тогда как банк получателя думал, что деньги уже отозвать нельзя. В этот момент мошенники отменяли операцию, и вся сумма восстанавливалась на карточке отправителя и одновременно приходила на картсчет получателя. В итоге, по решению арбитражного комитета компании Mastercard, средства по спорным транзакциям были списаны со счетов банка «Москва-сити».
По словам участников рынка, для проведения подобной атаки нужно знать, в каких именно терминалах самообслуживания есть такая уязвимость. Кроме того, необходимо было подобрать такой банк получателя, который не разрешает проводить отмену платежа. В Тинькофф банке сообщают, что руководствовались исключительно правилами Mastercard (логика переводов с помощью MoneySend не предусматривает возможность отмены транзакции без согласования с банком получателя). В ЦБ РФ и Сбербанке данный инцидент комментировать не стали.
После появления информации об этой атаке Mastercard дала соответствующие рекомендации, и все финучреждения проверили корректность своих настроек. Уточнятся, что была просто изменена последовательность действий: сперва система уведомляет пользователя о размере комиссии и запрашивает согласие на перевод, а затем направляет необходимые запросы в обслуживающие кредитные организации.
Комментарии: 0