Group-IB выявила новый вид мошенничества, с помощью которого преступники похищали деньги с банковских счетов.

UPDATE от 24.11.2015появилась некоторая дополнительная информация на Forbes.com

Для совершения основных действий злоумышленники использовали банкоматы, поэтому эта схема получила название «АТМ-реверс», или «обратный реверс». В описанной схеме преступник получал неименную платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек о проведенной операции.

image

Далее данные о проведённых транзакциях отправлялись сообщнику (сообщникам), который имел доступ к зараженным вирусом POS-терминалам, которые зачастую находились вне России. Через терминалы, по коду операции, указанной в чеке, формировалась команда на отмену операции снятия наличных. В результате отмены операции баланс карты мгновенно восстанавливался (в процессинговой системе банка это выглядело аналогично возврату купленного товара) — и у злоумышленника появлялись «отменённые» деньги на счету. Преступники повторяли эти действия многократно, пока в банкоматах не заканчивалась наличка.

По словам Group-IB, в результате данных действий пострадали пять неназванных крупных российских банков. Всего преступники похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб. Предотвратить последующие попытки такого воровства банкам удалось лишь после разработки и внедрения совместно с платежными системами Visa и MasterCard защитных систем.

Наверняка среди мошенников был человек, знакомый с работой процессинга одного из пострадавших банков. По словам представителя одного из крупных банков, в описанной схеме злоумышленники использовали уязвимость в процессинговом центре банка-эмитента, который при операции отмены проверял не все данные. «Дополнительная проверка могла бы обнаружить, что деньги выдаются в одной стране, а операция отменяется в другой», — отметил эксперт.

Update:
Валерий Баулин, руководитель лаборатории компьютерной криминалистики Group-IB:
«Злоумышленники научились использовать некую, если можно так сказать, уязвимость, которая основывалась на особенностях взаимоотношений между банками-эмитентами и эквайерами, а также платёжными системами. Поэтому сказать точно, на чьей стороне была уязвимость, наверное, невозможно и неправильно было бы. Это было сделано для упрощения взаимоотношений, взаиморасчетов, ускорения проведения транзакций. Собственно, злоумышленники об этом знали, о каких-то таких упрощённых схемах проверки, и смогли это использовать».

Информация о том, какие именно банки пострадали, а также были ли задержаны преступники, в интересах следствия пока не раскрывается.

Максим Эмм, эксперт в области информационной безопасности и технологий:
«Речь идёт о том, что в любой платёжной системе, в том числе Visa и MasterCard, есть возможность как снять деньги, так и вернуть деньги. И в данном случае злоумышленники воспользовались тем, что для ряда банков можно было снять деньги в одном терминале, а транзакцию по возврату денег оформить с другого терминала. В данном случае, который контролировался злоумышленниками, в этом и была уязвимость. Найти эти транзакции было достаточно сложно, потому что никто не заявлял о потерях. То есть найти можно было, только сравнив дебет и кредит по счетам карточным, а транзакций очень много, пока там разобрались, наверное, вот и такое количество денег — 250 млн — утекло. Защита, в общем-то, от этой угрозы недорогая, это просто перенастройка правил в процессинге банка. Если информационная система такого рода эти правила поддерживает, а большинство процессингов их поддерживает, достаточно просто это настроить, и эта лазейка будет прикрыта, и все клиенты от такого рода проблемы будут избавлены. На самом деле, теряли деньги не клиенты, терял банк, поэтому, в общем-то, достаточно быстро с этим банки разберутся. Те злоумышленники очень детально себе представляли правила работы платёжной системы, правила формирования транзакции, как списания, так и пополнения, и отмены этого списания. И, скорее всего, детально понимали, как работают процессинги в банках. Возможно, кто-то из злоумышленников раньше работал в компании, которая разрабатывает процессинги, либо в банке. Поэтому это довольно изощренная атака, которую удалось достаточно быстро выявить. Я думаю, что большинство банков сейчас, исходя из этой информации, такого рода проверки введёт, и в будущем такие проблемы с нашими банками будут исключены».

По материалам РБК, Securitylab и BFM.RU.

UPDATE от 24.11.2015, появилась дополнительная информация на Forbes.com:

— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);

— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;

— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средств из банкомата, тем самым позволяя преступникам продолжать их мошенничество;

— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;

— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество.
Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB.
«Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»

Комментарии (90)


  1. kraidiky
    19.11.2015 00:12
    +15

    То есть система на сервере позволяет оформить платёж с одного терминала, а отменить его ЛЮБЫМ другим?
    Предполагается, что банк должен своими силами определять есть ли взаимосвязь между этими терминалами?
    Предполагается, что присутствия даже не в одном городе, а в одной стране достаточно чтобы такие действия прокатили?

    Я, конечно, слышал, что виза с мастеркардом дырявые как друшлак, но, блин…


    1. SpiritOfVox
      19.11.2015 00:25
      +2

      Допустим в GSM можно заводить трафик от нужных абонентов на свой контроллер и отправлять запросы о местоположении чужих абонентов. Когда строили эти системы люди думали, что 2015 год это далёкое будущее ;-)


    1. DrPass
      19.11.2015 04:37

      Система «на сервере» в этом деле не участвует, насколько я помню (конечно, со времен моей банковской молодости уже многое могло поменяться :-). Она просто перебрасывает запрос chargeback с терминала в процессинг банка-эквайра. А что с ним процессинг будет делать — это дело самого процессинга. Небольшие их вообще вручную обрабатывали (в смысле, живым человеческим трудом). В этом случае, видимо, была, так сказать, автоматика. Так что эта дыра не в самой платежной системе.


      1. mihmig
        19.11.2015 10:33
        +4

        За такие «бабки» (0.1..2% от СУММЫ операции) платёжная система могла бы и позаботиться о безопасности своих клиентов (банков).


        1. DrPass
          19.11.2015 11:21
          +1

          Ну а как она позаботится? Платежная система ведь не обладает информацией о том, что там за транзакция была, и можно ли/нельзя ли её отменять. Это банк должен решать. Вот он и решил. По-своему :)


          1. tbl
            19.11.2015 11:26
            +3

            Проблема в том, что транзакции снятия денег и reversal выполняются у эквайера, а эмитент только исполняет, что ему пришло от МПС. В результате он теряет деньги. И если у эквайера криво настроено сопоставление (например, позволяется посылка с POS-терминала reversal транзакции, выполненной на ATM), то имеем такую ситуацию.


          1. mihmig
            19.11.2015 12:42
            +1

            Хм, в транзакции же есть кроме номера карты и суммы ID точки, где прошла транзакция. И если ID точки производящей возврат не равен ID точки, которая провела предыдущую транзакцию — «давать отлуп».


            1. tbl
              19.11.2015 13:00

              Матчинг люди настраивают, они могут ошибиться, а ответственные могут не проверить.


      1. zagayevskiy
        19.11.2015 13:02

        О, судя по всему, вы можете быть в курсе. Давно меня интересует вопрос.
        Почему почти любой POS-терминал умеет сказать «правильный PIN» сразу после ввода пина, а банкоматы обычно работают по схеме «Введите PIN — выберите операцию — введите сумму — хотите чек? — ой, а у вас PIN неправильный»?


        1. tbl
          19.11.2015 13:12
          +3

          Есть 2 варианта проверки PIN-а для EMV-чипа: офлайновый и онлайновый. На POS-терминалах до определенной суммы обычно (либо от настроек терминала) проверяют офлайновый пин. На транзакциях с ATM обычно настраивают сразу онлайновую проверку PIN-а.
          Кароч, всё зависит от того, что эмитент прошил в данные EMV-карты, настроек POS-терминала/ATM-терминала, настроек эквайера. И все это регулируется хотелками эквайера/эмитента в рамках правил и рекомендаций, навязанных сверху платежной системой.


    1. bankinobi
      19.11.2015 07:32
      +13

      Да больше удивляет, что можно отменить транзакцию выдачи денег в банкомате?


      1. TedBeer
        19.11.2015 11:53
        +1

        Если деньги «забыть» забрать, то банкомат их втянет назад и транзакция отменится.
        Не?


        1. Dare
          19.11.2015 12:00
          +3

          Нет. Транзакция не отменится, деньги отправятся в специальный ящичек (не везде), а вернуть их можно будет только по заявлению в банк, после зачастую ручной, сверки транзакций и реального баланса банкомата.


          1. Fuzzyjammer
            19.11.2015 13:30

            Нет. Это зависит от контроллера банкомата, но, как правило, автореверс будет сгенерирован в ту же минуту, что банкомат обнаружит забытые деньги, а не по заявлению.


            1. tbl
              19.11.2015 13:41
              +3

              Диспенсер выдал 10 купюр аккуратной стопочкой, злоумышленник тихонько вытягивает купюру из середины стопки, банкомат ждёт 45 секунд, сжирает назад стопку и отправляет ее в отстойник. Автореверс генерится в ту же минуту. Злоумышленник стал богаче на номинал купюры.


              1. midday
                19.11.2015 14:19
                +1

                Вы думаете банкомат деньги считать не умеет?


                1. Flammar
                  19.11.2015 14:26
                  +5

                  Хотел ответить на тот же коммент «Автореверс не пересчитывается?» и понял, что большинство банкоматов, которые не умеют принимать наличные, таки действительно не обязаны уметь считать наличку…


                1. DrPass
                  19.11.2015 16:18
                  +1

                  Как правило, то, что кидает в диверт-кассету — не умеет. Но у банкомата есть камера, чековая лента, логи. Поэтому данная хитрая схема не слишком хитрая.


                1. mickvav
                  19.11.2015 18:47
                  +1

                  Банкомат без функции приёма скорее всего не умеет отличать настоящие купюры от фальшивое в этом месте.


                  1. Fuzzyjammer
                    19.11.2015 19:07
                    +2

                    Да и с функцией приема не умеют, т.к. диспенсер и аксептор — разные устройства. Более того, у большинства банкоматов купюры на выдачу и принимаемые купюры никак не пересекаются (есть банкоматы с т.н. ресайклингом, когда принятые купюры могут выдаваться, но они пока довольно редко встречаются).


                    1. tbl
                      19.11.2015 19:10

                      В России с ресайклингом точно нет на данный момент. Их использование какие-то ЦБ-шные инструкции нарушает, насколько я слышал.


                      1. szubtsovskiy
                        19.11.2015 21:57
                        +1

                        Вот тут пишут, что уже есть. И ЦБ, дескать, одобрил.

                        http://www.banki.ru/wikibank/bankomat_s_funktsiey_kesh-resayklinga/


                        1. Gorodnya
                          19.11.2015 23:32
                          +1

                          В Альфе таких банкоматов сейчас около 500, так что да, такие банкоматы есть и они используются.


                          1. SpiritOfVox
                            20.11.2015 00:24

                            Банкоматы принимающие деньги стоят существенно дороже чем обычные. С использованием внесённых денег ещё дороже. Вряд ли они станут массовыми.


                            1. Gorodnya
                              20.11.2015 00:48

                              Согласен, иногда даже дешевле поставить обычный банкомат для выдачи наличных + платёжный киоск для приёма, чем просто один банкомат с cash-in.


                            1. MrTims
                              24.11.2015 12:54

                              Банкоматы с ресайклером выгодны тогда, когда количество вносимых денег соразмерно количеству выдаваемых. При такой схеме увеличивается время работы устройства между инкассациями. А инкассация — это деньги.
                              Но в странах СНГ, практически везде еще жива традиция снимать нал по максимуму. Поэтому ресайклер будет, опустошен намного раньше, чем примет соразмерную сумму денег.


                1. MrTims
                  24.11.2015 12:51

                  В данном случае — не умеет


              1. kot9pko
                20.11.2015 13:08

                Во многих современных (и не очень) банкоматах на диспенсере стоит пъезодатчик, который регистрирует подобные вмешательства. Так что незаметно вынуть/подменить купюру не получится.


                1. MrTims
                  24.11.2015 12:56

                  Гм… можно модели устройств услышать? Пьезо-датчик, это, для меня что-то, новое. Есть датчик наличия\отсутствия купюр в отверстии выдачи. Но так потому и пишут, что не все купюры выдергивают злоумышленники.


      1. tbl
        19.11.2015 12:14
        +4

        Ну вот такой кейс: клиент хочет снять 3000 рублей, банкомат посылает фронту в банке данные, фронт считает (обычно он сам ведет учет купюр в кассете), что в ней купюр достаточно (а на самом деле по какой-то причине там уже пусто) и говорит банкомату: отдай клиенту столько-то купюр из такой-то кассеты. Диспенсер банкомата обнаружил, что бабло клиенту не выдано. Тогда банкомат говорит фронту: Reversal. А фронт-то уже до этого посчитал, что транзакция успешна, даже смс-ку ему послал. Вот он и проводит откат транзакции с попутной отсылкой новой смс-ки.


        1. bankinobi
          19.11.2015 14:44

          Банкомат отправляет флаг «успешная транзакция» процессингу после выдачи денег.
          После запроса на получения денег, банкомат пересчитывает купюры, полученные из кассет, если все оК, то деньги выдаются и транзакция успешно завершена.


          1. Mingun
            19.11.2015 20:21

            Это только один вариант работы, причем не всегда самый лучший. Представьте, что банкомат вам деньги уже выдал, но по каким-то причинам его сообщение об этом не дошло до процессинга.


            1. tbl
              20.11.2015 00:23

              Ну да, банк в первую очередь обезопасивает себя, и только потом — клиента.


      1. Flammar
        19.11.2015 14:24
        +2

        Мне однажды наличку не выдали, а сумму списали. Через пару дней извинились и деньги вернули. Наверное, технически это была отмена транзакции выдачи денег в банкомате?


        1. bankinobi
          19.11.2015 14:46

          Это все результат ошибки и откат ошибочной транзакции, а хакеры делали откат успешно завершенной транзакции выдачи денег.

          Вот это вот и смущает, как процессинг делал откат успешной выдачи денег?


          1. Flammar
            19.11.2015 15:37

            Ну, неуспешность завершения транзакции в моём случае устанавливали несколько дней. СМС о списании денег тогда пришла сразу, транзакция поначалу со стороны банка не выглядела ошибочной.

            Хотя, может быть, в моём случае был и не откат, а новая «корректировочная» транзакция.


        1. Mingun
          19.11.2015 20:27

          В вашем случае скорее всего сначала выполняется списание средств, а затем дается инструкция банкомату для их выдачи. Если банкомат деньги не выдал, то он может либо сообщить о сбое, тогда процессинг может отреверсировать транзакцию сразу, если будет уверен, что действительно деньги не выдались, либо может сделать, когда банкомат пришлет следующий запрос на транзакцию. В нем, при нормальной настройке, должна быть информация о предыдущей выполненной транзакции (сколько было выдано и серийный номер, присвоенный ей хостом). Этой информации достаточно, чтобы понять, были выданы деньги и сколько и автоматически сделать реверс. Но только после того, как придет следующий запрос, что для редко используемого банкомата может произойти нескоро.


      1. MrTims
        24.11.2015 12:49
        +1

        Отменить банкоматную транзакцию можно, в случае, если, например, в процессе набора денег из кассет и транспортировке их к выдаче что-то произойдет с оборудованием. Банкомат известит об этом свой процессинг и будет сформирована отмена.
        Но в данном случае очень странно, что выдача проходит на банкомате в одной стране, через какое-то время POS терминал (!) уже в другой стране формирует отмену на данную операцию и она проходит без вопросов. На мой взгляд, мало информации во всех статьях и заметках об этой «краже века». По идее, POS, с которого идет отмена, должен быть настроен именно на выдачу наличных. Такие терминалы стоят в отделениях банков. Как туда попали злоумышленники? Если же используют POS у коммерса, то как вообще операция ВЫДАЧИ, может быть отменена в ритейловом (торговом) POS? Все пишут, что POS заражен вирусом. А что этот вирус делал? Выдавал коммерсовский POS за POS в отделении? Подменял код страны в операции Отмена, чтобы не было вопросов? Почему анти-фрод системы, которые сейчас есть во многих банках, не реагировали на такие странности?..
        В общем, по-моему, нужно больше информации. И, почти уверен, что далеко не любой процессинг был подвержен подобной болезни.


    1. tbl
      19.11.2015 10:46

      Del


  1. runnerworks
    19.11.2015 00:26

    Быстро, но 3 500 000 долларов кто-то сделал быстрее. Мелочь, но сколько конфет можно купить — страсть.


    1. Klaster
      19.11.2015 05:04

      Я подозреваю у сбера это дневной, если не 2-3часовой оборот. А вот злоумышленники вкусно покушают да. Сделай себе сам оплату поиска уязвимостей.


      1. Milfgard
        19.11.2015 07:19

        Возможно, сценарий был такой: банки почти сразу (в конце банковского дня) увидели расхождение между суммой всех денег по операциям и фактическим оборотом, а потом начали реагировать ночью.


        1. tbl
          19.11.2015 13:16
          +1

          Банки не среагируют до инкассации (пока не сравнят количество оставшихся купюр в кассетах с тем, сколько у них должно быть по учетной системе). Тогда уже поднимаются логи, начинаются разборки: где и кто накосячил.


          1. Milfgard
            19.11.2015 13:25

            Банкоматы же сообщают, сколько денег выдано, чтобы как раз эту инкассацию вовремя делать. Этого показателя отмена операции не касается, важно только сколько купюр по факту отдано.


  1. trikadin
    19.11.2015 01:00
    +8

    Честно говоря, не очень понял, почему «похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб.». Жертв и разрушений нету, исправление этой ошибки, если верить статье, весьма простое (не потребовались крупные траты на переразработку и перенакатку ПО), расследование… Ну блин, ну тоже не на 750 млн. же.

    Или это как в этой истории — владельцы банков накинули сверху немного?)


    1. MichaelBorisov
      19.11.2015 01:42
      +4

      Может, моральный ущерб накинули? Ведь кому-то из акционеров наверняка стало морально плохо от вести об убытке в 250млн. Так плохо, что морально это эквивалентно 750млн.


    1. vorphalack
      19.11.2015 03:04
      +2

      ну например вычислили транзакций на 250млн — а сколько там на самом деле, поди знай.


    1. saboteur_kiev
      19.11.2015 04:24

      Ну еще затраты на поиск уязвимости, анализ, нанять нормальных программистов, пофиксить, обновить все терминалы и другие расходы…


      1. trikadin
        19.11.2015 04:28
        +2

        Да не, там что-то другое должно быть. Эти работы не могут стоить 750 000 000 рублей. Даже если вооружиться ручкой, бумажкой и посчитать всё по верхним (очень верхним) границам.


        1. saboteur_kiev
          19.11.2015 04:55

          почему же? Если им пришлось приостановить работу системы, это может и больше занять. Ну и там все-таки мнимые потери а не реальные.


          1. dtestyk
            19.11.2015 05:40

            потенциальный ущерб
            Возможно, имеется ввиду недополученная прибыль и выплата неустоек.


          1. merlin-vrn
            19.11.2015 09:10

            Если бы пришлось приостановить работу системы, вряд ли бы оставить банки неназванными. Неработающий процессинг в течение, скажем, часа — это очень заметно.


      1. akirsanov
        19.11.2015 06:41
        +2

        Эти затраты не должны входить в ущерб — т.к. скорее всего злоумышленники не создали баг, они его нашли и использовали.
        Соответственно в уязвимой системе баг был и до них, и затраты по выявлению и фиксу бага лежат на разработчике системы.
        Я не защищаю жуликов, однако при пентестах встречаются заказчики, которые реагируют на найденные баги неадекватно — они думают, что проблемы с уязвимостью и них не было до нахождения бага, соотвественно выявив баг пентестер создал заказчику проблему.


      1. mihmig
        19.11.2015 10:34

        Нормальных — нельзя. А то вдруг они напишут/поправят систему так, что окажется что половина обслуживающего персонала (отчёты там, ручная обработка файлов и т.п.) не нужна! А у них дети, кредиты…


    1. DarkByte
      19.11.2015 09:28
      +1

      Разница между похищенным и потенциальным ущербом — оплата услуг GroupIB.


    1. ssneg
      19.11.2015 17:10
      +2

      Я думаю, это значит «мы долго читали логи, нашли левых транзакций на 250 млн, а еще на 750 млн — не нашли, но боимся, что они были совершены»,


      1. trikadin
        19.11.2015 17:43

        В общем-то да, я тоже так думаю.


      1. mickvav
        19.11.2015 18:54

        на 750 не сошлись контрольные суммы


  1. grokinn
    19.11.2015 06:50
    +8

    Интересно, почему когда я возвращаю товар, то деньги приходят через несколько дней, а этим преступникам они приходят мгновенно?


    1. Akela_wolf
      19.11.2015 07:14
      +10

      Потому что в тексте неточность. Происходил не возврат товара, происходила отмена операции (реверс), а она, как правило, выполнятся мгновенно. Сценарии по легальному реверсу примерно такие:
      1. Банкомат послал запрос на снятие наличных, получил добро (банк списал деньги со счета), начал отсчитывать купюры, тут его заело, на экране вылезла ошибка «Извините, мне плохо произошла ошибка оборудования, попробуйте еще раз», банкомат послал реверс, банк вернул деньги на счет. У меня было что-то подобное в сбере — на телефон падали две смс-ки, первая о снятии денег, вторая об отмене операции (реверсе).
      2. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.


      1. andreili
        19.11.2015 08:43
        -1

        2. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.

        В китайской гостинице отменяли предоплату номера, проведенную картой Visa — сама отмена отразилась на счету почти через месяц(!!!!), хотя разница по времени между предоплатой и реверсом составляла 2 дня.


        1. track13
          19.11.2015 16:30

          Там скорее всего chargeback был, возврат денег за неоказанную услугу.


        1. Vilgelm
          20.11.2015 01:04

          Скорее всего деньги оказались заблокированными, а из-за отмены запрос на их списание не пришел. Холд как раз отменяется через 30 дней у большинства банков.


      1. Wernisag
        19.11.2015 14:31
        +1

        Чуть-чуть дополню. В конце суток проходит что-то типа опер дня и закрываются все операции. При снятии денег с карты или оплатой товара картой, деньги не списываются со счета, а блокируются банком. В случае с покупкой товара картой без ввода пин-кода, средства блокируются до момента подтверждения покупки магазином, как правило это 2-3 суток. В случае с вводом пин-кода деньги блокируются ровно до момента проведения опер дня.
        Если успеть сделать возврат операции, то деньги возвращаются на счет автоматом. Банк ничего списать со счета не успел, а значит и зачислять ничего не надо. А вот если же возвращать деньги на следующие сутки, то тут уже идут обычные банковские операции на снятие и зачисление денежных средств.

        В случае с магазинами, кассиры сами закрывают день на терминале. Если успеть сделать возврат покупки до этого момента (конца рабочего дня) то деньги должны прийти сразу же.


    1. postgree
      19.11.2015 07:20

      Не знаю, но предполагаю — при снятии в банкомате банка не эмитента я вижу не списание денег, а блокировку. По окончании опердня бабло списывается. При этом может происходят взаиморасчеты, кто в итоге кому сколько бабла должен. При этом существует стандартная операция отмены блокировки. Из какой системы пришел механизм не знаю, но на визе при возврате денег один интернет магазин мне возвращал в течение пяти минут (и в это время скорее всего вошло время человеческого запуска операции). Парни автоматизировали операцию и рубанули профит.
      Поидее, банки могут отбросив моральные принципы и совесть затребовать деньги с владельцев похаченных терминалов, с которых возвраты шли. При условии реальности терминалов и контор, владеющих этими терминалами.
      А вообще тут поработал инженер, который работал с протоколом. Думаю в РФ таких не больше 15 — 20. Поскребут и найдут.


      1. Zifix
        19.11.2015 09:06
        +4

        Вряд ли он еще в России)


      1. tbl
        19.11.2015 10:53
        +4

        В России находятся 2 компании из крупнейших разработчиков ПО для процессинга (OpenWay, BPC), ещё есть компании, которые разрабатывают POS-терминалы (Inpas), ещё есть в банках персонал, работающий с процессингом. Так что людей, знающих протоколы платежных систем, гораздо больше 20.


        1. tbl
          19.11.2015 11:58
          +1

          Вернее 3 вендора: Compass Plus ещё забыл


    1. tbl
      19.11.2015 11:40

      Есть три типа операций по возврату: Reversal (та, что в статье, предусмотрена для возврата средств на карту в случае, если, например, диспенсер в АТМ по каким-то причинам не смог отдать валюту), Unhold (разморозка средств на счету для транзакций с предавторизацией, обычно применяется в интернет-магазинах в ситуациях, когда, например, клиент ввел реквизиты карты при оплате товаров, а потом ему позвонил менеджер из магазина, и клиент отказался от части товаров) и Refund (полноценная транзакция по возврату денег на счет клиента после того, как они уже были списаны с него).

      Reversal — выполняется в онлайне, остальные две — в офлайне.


    1. icoz
      19.11.2015 14:34

      Сказано же: «они нашли уязвимость»!


    1. Flammar
      19.11.2015 14:36

      Про возврат товара мне в «Юлмарте» объясняли, что якобы если вернуть товар сразу после покупки, или, по крайней мере, в те же сутки, что и была покупка, то они могут сделать отмену транзакции и деньги вернутся в тот же день. У меня это получилось один раз из двух. Наверное, сутки должны быть по Гринвичу…


    1. Mixim333
      19.11.2015 18:34

      Пару месяцев назад был случай: расплачивался банковской картой Сбера в магазине, сумма покупки была около 300-500 рублей, ввел пароль, терминал минуты 3 думал, мне пришла SMS: «С Вас списали...», а затем терминал ругнулся, чек не выдал, я продавцу: «Как это понимать?», в ответ: «Да у него это иногда бывает, сейчас Вам SMS придет об отмене» и через пару минут SMS пришла (текст, по-моему, был о том, что на карту зачислено N рублей, а не о том, что транзакция отменена), я расплатился наличкой и ушел.


      1. tbl
        19.11.2015 19:17
        +2

        То, что в СМС пишут, не всегда реально коррелирует с типом транзакции. Ну то есть коррелирует, но шаблон для текста может не отражать всю реальную суть транзакции. Это на усмотрение банка.


      1. SpiritOfVox
        20.11.2015 00:30

        Все чеки по таким операциям нужно брать. В том числе по возвратам потому как СМС это вообще не документ.


        1. Gorodnya
          20.11.2015 00:42

          Я бы добавил, что все чеки по всем операциям надо брать. Так, на всякий случай)


        1. vlivyur
          23.11.2015 16:11

          Мне терминал ругнулся что нет связи, но чека не напечатал (может и нечем ему было печатать, т.к. потом выяснилось что он у них глючный уже давно). Потом принесли другой терминал, там всё прошло. И сразу пришли обе смски о списании. Банк сказал что если за сутки отмены не будет, то или сразу к ним или в ресторан на разборки, но лучше сначала им позвонить и они скажут как поступить. Отмена операции произошла только ночью.


  1. MASe
    19.11.2015 10:43
    +1

    Я может глупость спрошу… Но «В описанной схеме преступник получал неименную платёжную карту»
    А как вообще можно получить такую карту в банке РФ??? Вроде сейчас даже и Вебмани и ЯД карты дают только «верифицированным аккаунтам», а уж в банках то всегда паспорт требуют…
    Или я что-то не знаю?


    1. dmitriy_novikov
      19.11.2015 11:16
      +2

      загуглите «unembossed» — такие карты очень широко используются. это самые простые и дешевые карты, которые можно сразу выдать клиенту, т.к. не надо ждать выпуска. другое дело, что для их оформления действительно требуется паспорт, но видимо этот вопрос тоже как-то решили.


      1. Gorodnya
        19.11.2015 11:36

        Не совсем, «unembossed» — это без нанесения на карту имени и фамилии методом «выдавливаниея». Карта может быть неэмбоссированной, но с указанными на ней именем и фамилилей (ФИО будут просто напечатаны, а не выдавлены). Вы, наверное, имели в виду «карты мгновенного выпуска» — неперсонифицированные.
        Однако тут идёт речь о полностью неперсонифицированных картах — это предоплаченные или подарочные карты, пополняемые и не пополняемые. Кажется, та же Кукуруза, плюс «Вишня» от Банка Русский Стандарт. Однако нужно смотреть детальнее, так как по некоторым таким картам как закрыта возможность совершать операции зарубежом, так и закрыта возможность снимать наличные в банкоматах вообще или без идентификации:

        Чтобы иметь возможность снимать с карты наличные и расплачиваться ей за рубежом, необходимо обратиться в Офис Банка, предъявить паспорт гражданина РФ и получить ПИН-код.


        1. SpiritOfVox
          20.11.2015 00:39

          Кукуруза открывается с идентификацией, но не персонифицированная.


    1. kreon
      19.11.2015 11:19
      +1

      На дропа или вне РФ


    1. vlivyur
      19.11.2015 11:26
      +1

      Скорее всего это что-то типа Евросетевой Кукурузы или от Связного.


    1. dkukushkin
      19.11.2015 11:59
      +1

      Или я что-то не знаю?

      В Украине, к примеру, платежную карту MasterCard можно купить в любом магазине абсолютно анонимно. Стоит 30 грн. Выпускает Фидобанк. Только вот там лимиты…


      1. Gorodnya
        19.11.2015 12:10
        +1

        «Штука» от Фидобанка стоит 40 грн (39, если быть точным), а ещё есть Банк Михайловский, который выпускает аналогичную карту «Электронный кошелёк», на данный момент это 49 грн.
        И да, лимиты у нас регламентированы НБУ — 500 грн. в день снятия наличных + карты действуют только на территории Украины.


      1. MaxF
        24.11.2015 12:42

        Если я все правильно понял, лимиты в данном случае роли не играют.
        Операций-то не было, они были все отменены )


    1. tbl
      19.11.2015 19:20

      В банке паспорт со всей строгостью проверяют на подлинность?


      1. MASe
        19.11.2015 21:36

        ну это второе дело… в статье то говорится именно о том, что преступник получал неименную платёжную карту


        1. tbl
          20.11.2015 00:17

          Неименная выдаётся практически сразу. У редких банков есть instant issue. Обычно персонализированную карту надо несколько дней ждать. А для целей в статье пойдёт и неименная.


  1. Dywar
    19.11.2015 16:01

    Стянули годовую зарплату банкира, а те сверху еще 750 накинули. Кто в плюсе? :)


  1. Gorodnya
    24.11.2015 17:50
    +1

    UPDATE, появилась некоторая дополнительная информация на Forbes.com:

    — POS-терминалы были преимущественно из США и Чехии (Чешской Республики);

    — криминальная активность началась летом 2014 и закончилась в первом квартале 2015;

    — Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средства из банкомата, тем самым позволяя преступникам продолжать их мошенничество;

    — было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;

    — «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество. Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB. «Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»