UPDATE от 24.11.2015 — появилась некоторая дополнительная информация на Forbes.com
Для совершения основных действий злоумышленники использовали банкоматы, поэтому эта схема получила название «АТМ-реверс», или «обратный реверс». В описанной схеме преступник получал неименную платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек о проведенной операции.
Далее данные о проведённых транзакциях отправлялись сообщнику (сообщникам), который имел доступ к зараженным вирусом POS-терминалам, которые зачастую находились вне России. Через терминалы, по коду операции, указанной в чеке, формировалась команда на отмену операции снятия наличных. В результате отмены операции баланс карты мгновенно восстанавливался (в процессинговой системе банка это выглядело аналогично возврату купленного товара) — и у злоумышленника появлялись «отменённые» деньги на счету. Преступники повторяли эти действия многократно, пока в банкоматах не заканчивалась наличка.
По словам Group-IB, в результате данных действий пострадали пять неназванных крупных российских банков. Всего преступники похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб. Предотвратить последующие попытки такого воровства банкам удалось лишь после разработки и внедрения совместно с платежными системами Visa и MasterCard защитных систем.
Наверняка среди мошенников был человек, знакомый с работой процессинга одного из пострадавших банков. По словам представителя одного из крупных банков, в описанной схеме злоумышленники использовали уязвимость в процессинговом центре банка-эмитента, который при операции отмены проверял не все данные. «Дополнительная проверка могла бы обнаружить, что деньги выдаются в одной стране, а операция отменяется в другой», — отметил эксперт.
Update:
Валерий Баулин, руководитель лаборатории компьютерной криминалистики Group-IB:
«Злоумышленники научились использовать некую, если можно так сказать, уязвимость, которая основывалась на особенностях взаимоотношений между банками-эмитентами и эквайерами, а также платёжными системами. Поэтому сказать точно, на чьей стороне была уязвимость, наверное, невозможно и неправильно было бы. Это было сделано для упрощения взаимоотношений, взаиморасчетов, ускорения проведения транзакций. Собственно, злоумышленники об этом знали, о каких-то таких упрощённых схемах проверки, и смогли это использовать».
Информация о том, какие именно банки пострадали, а также были ли задержаны преступники, в интересах следствия пока не раскрывается.
Максим Эмм, эксперт в области информационной безопасности и технологий:
«Речь идёт о том, что в любой платёжной системе, в том числе Visa и MasterCard, есть возможность как снять деньги, так и вернуть деньги. И в данном случае злоумышленники воспользовались тем, что для ряда банков можно было снять деньги в одном терминале, а транзакцию по возврату денег оформить с другого терминала. В данном случае, который контролировался злоумышленниками, в этом и была уязвимость. Найти эти транзакции было достаточно сложно, потому что никто не заявлял о потерях. То есть найти можно было, только сравнив дебет и кредит по счетам карточным, а транзакций очень много, пока там разобрались, наверное, вот и такое количество денег — 250 млн — утекло. Защита, в общем-то, от этой угрозы недорогая, это просто перенастройка правил в процессинге банка. Если информационная система такого рода эти правила поддерживает, а большинство процессингов их поддерживает, достаточно просто это настроить, и эта лазейка будет прикрыта, и все клиенты от такого рода проблемы будут избавлены. На самом деле, теряли деньги не клиенты, терял банк, поэтому, в общем-то, достаточно быстро с этим банки разберутся. Те злоумышленники очень детально себе представляли правила работы платёжной системы, правила формирования транзакции, как списания, так и пополнения, и отмены этого списания. И, скорее всего, детально понимали, как работают процессинги в банках. Возможно, кто-то из злоумышленников раньше работал в компании, которая разрабатывает процессинги, либо в банке. Поэтому это довольно изощренная атака, которую удалось достаточно быстро выявить. Я думаю, что большинство банков сейчас, исходя из этой информации, такого рода проверки введёт, и в будущем такие проблемы с нашими банками будут исключены».
По материалам РБК, Securitylab и BFM.RU.
UPDATE от 24.11.2015, появилась дополнительная информация на Forbes.com:
— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);
— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;
— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средств из банкомата, тем самым позволяя преступникам продолжать их мошенничество;
— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;
— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество.
Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB.
«Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»
Комментарии (90)
runnerworks
19.11.2015 00:26Быстро, но 3 500 000 долларов кто-то сделал быстрее. Мелочь, но сколько конфет можно купить — страсть.
Klaster
19.11.2015 05:04Я подозреваю у сбера это дневной, если не 2-3часовой оборот. А вот злоумышленники вкусно покушают да. Сделай себе сам оплату поиска уязвимостей.
Milfgard
19.11.2015 07:19Возможно, сценарий был такой: банки почти сразу (в конце банковского дня) увидели расхождение между суммой всех денег по операциям и фактическим оборотом, а потом начали реагировать ночью.
tbl
19.11.2015 13:16+1Банки не среагируют до инкассации (пока не сравнят количество оставшихся купюр в кассетах с тем, сколько у них должно быть по учетной системе). Тогда уже поднимаются логи, начинаются разборки: где и кто накосячил.
Milfgard
19.11.2015 13:25Банкоматы же сообщают, сколько денег выдано, чтобы как раз эту инкассацию вовремя делать. Этого показателя отмена операции не касается, важно только сколько купюр по факту отдано.
trikadin
19.11.2015 01:00+8Честно говоря, не очень понял, почему «похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб.». Жертв и разрушений нету, исправление этой ошибки, если верить статье, весьма простое (не потребовались крупные траты на переразработку и перенакатку ПО), расследование… Ну блин, ну тоже не на 750 млн. же.
Или это как в этой истории — владельцы банков накинули сверху немного?)MichaelBorisov
19.11.2015 01:42+4Может, моральный ущерб накинули? Ведь кому-то из акционеров наверняка стало морально плохо от вести об убытке в 250млн. Так плохо, что морально это эквивалентно 750млн.
vorphalack
19.11.2015 03:04+2ну например вычислили транзакций на 250млн — а сколько там на самом деле, поди знай.
saboteur_kiev
19.11.2015 04:24Ну еще затраты на поиск уязвимости, анализ, нанять нормальных программистов, пофиксить, обновить все терминалы и другие расходы…
trikadin
19.11.2015 04:28+2Да не, там что-то другое должно быть. Эти работы не могут стоить 750 000 000 рублей. Даже если вооружиться ручкой, бумажкой и посчитать всё по верхним (очень верхним) границам.
saboteur_kiev
19.11.2015 04:55почему же? Если им пришлось приостановить работу системы, это может и больше занять. Ну и там все-таки мнимые потери а не реальные.
dtestyk
19.11.2015 05:40потенциальный ущерб
Возможно, имеется ввиду недополученная прибыль и выплата неустоек.
merlin-vrn
19.11.2015 09:10Если бы пришлось приостановить работу системы, вряд ли бы оставить банки неназванными. Неработающий процессинг в течение, скажем, часа — это очень заметно.
akirsanov
19.11.2015 06:41+2Эти затраты не должны входить в ущерб — т.к. скорее всего злоумышленники не создали баг, они его нашли и использовали.
Соответственно в уязвимой системе баг был и до них, и затраты по выявлению и фиксу бага лежат на разработчике системы.
Я не защищаю жуликов, однако при пентестах встречаются заказчики, которые реагируют на найденные баги неадекватно — они думают, что проблемы с уязвимостью и них не было до нахождения бага, соотвественно выявив баг пентестер создал заказчику проблему.
mihmig
19.11.2015 10:34Нормальных — нельзя. А то вдруг они напишут/поправят систему так, что окажется что половина обслуживающего персонала (отчёты там, ручная обработка файлов и т.п.) не нужна! А у них дети, кредиты…
grokinn
19.11.2015 06:50+8Интересно, почему когда я возвращаю товар, то деньги приходят через несколько дней, а этим преступникам они приходят мгновенно?
Akela_wolf
19.11.2015 07:14+10Потому что в тексте неточность. Происходил не возврат товара, происходила отмена операции (реверс), а она, как правило, выполнятся мгновенно. Сценарии по легальному реверсу примерно такие:
1. Банкомат послал запрос на снятие наличных, получил добро (банк списал деньги со счета), начал отсчитывать купюры, тут его заело, на экране вылезла ошибка «Извините,мне плохопроизошла ошибка оборудования, попробуйте еще раз», банкомат послал реверс, банк вернул деньги на счет. У меня было что-то подобное в сбере — на телефон падали две смс-ки, первая о снятии денег, вторая об отмене операции (реверсе).
2. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.
andreili
19.11.2015 08:43-12. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.
В китайской гостинице отменяли предоплату номера, проведенную картой Visa — сама отмена отразилась на счету почти через месяц(!!!!), хотя разница по времени между предоплатой и реверсом составляла 2 дня.
Vilgelm
20.11.2015 01:04Скорее всего деньги оказались заблокированными, а из-за отмены запрос на их списание не пришел. Холд как раз отменяется через 30 дней у большинства банков.
Wernisag
19.11.2015 14:31+1Чуть-чуть дополню. В конце суток проходит что-то типа опер дня и закрываются все операции. При снятии денег с карты или оплатой товара картой, деньги не списываются со счета, а блокируются банком. В случае с покупкой товара картой без ввода пин-кода, средства блокируются до момента подтверждения покупки магазином, как правило это 2-3 суток. В случае с вводом пин-кода деньги блокируются ровно до момента проведения опер дня.
Если успеть сделать возврат операции, то деньги возвращаются на счет автоматом. Банк ничего списать со счета не успел, а значит и зачислять ничего не надо. А вот если же возвращать деньги на следующие сутки, то тут уже идут обычные банковские операции на снятие и зачисление денежных средств.
В случае с магазинами, кассиры сами закрывают день на терминале. Если успеть сделать возврат покупки до этого момента (конца рабочего дня) то деньги должны прийти сразу же.
postgree
19.11.2015 07:20Не знаю, но предполагаю — при снятии в банкомате банка не эмитента я вижу не списание денег, а блокировку. По окончании опердня бабло списывается. При этом может происходят взаиморасчеты, кто в итоге кому сколько бабла должен. При этом существует стандартная операция отмены блокировки. Из какой системы пришел механизм не знаю, но на визе при возврате денег один интернет магазин мне возвращал в течение пяти минут (и в это время скорее всего вошло время человеческого запуска операции). Парни автоматизировали операцию и рубанули профит.
Поидее, банки могут отбросив моральные принципы и совесть затребовать деньги с владельцев похаченных терминалов, с которых возвраты шли. При условии реальности терминалов и контор, владеющих этими терминалами.
А вообще тут поработал инженер, который работал с протоколом. Думаю в РФ таких не больше 15 — 20. Поскребут и найдут.tbl
19.11.2015 10:53+4В России находятся 2 компании из крупнейших разработчиков ПО для процессинга (OpenWay, BPC), ещё есть компании, которые разрабатывают POS-терминалы (Inpas), ещё есть в банках персонал, работающий с процессингом. Так что людей, знающих протоколы платежных систем, гораздо больше 20.
tbl
19.11.2015 11:40Есть три типа операций по возврату: Reversal (та, что в статье, предусмотрена для возврата средств на карту в случае, если, например, диспенсер в АТМ по каким-то причинам не смог отдать валюту), Unhold (разморозка средств на счету для транзакций с предавторизацией, обычно применяется в интернет-магазинах в ситуациях, когда, например, клиент ввел реквизиты карты при оплате товаров, а потом ему позвонил менеджер из магазина, и клиент отказался от части товаров) и Refund (полноценная транзакция по возврату денег на счет клиента после того, как они уже были списаны с него).
Reversal — выполняется в онлайне, остальные две — в офлайне.
Flammar
19.11.2015 14:36Про возврат товара мне в «Юлмарте» объясняли, что якобы если вернуть товар сразу после покупки, или, по крайней мере, в те же сутки, что и была покупка, то они могут сделать отмену транзакции и деньги вернутся в тот же день. У меня это получилось один раз из двух. Наверное, сутки должны быть по Гринвичу…
Mixim333
19.11.2015 18:34Пару месяцев назад был случай: расплачивался банковской картой Сбера в магазине, сумма покупки была около 300-500 рублей, ввел пароль, терминал минуты 3 думал, мне пришла SMS: «С Вас списали...», а затем терминал ругнулся, чек не выдал, я продавцу: «Как это понимать?», в ответ: «Да у него это иногда бывает, сейчас Вам SMS придет об отмене» и через пару минут SMS пришла (текст, по-моему, был о том, что на карту зачислено N рублей, а не о том, что транзакция отменена), я расплатился наличкой и ушел.
tbl
19.11.2015 19:17+2То, что в СМС пишут, не всегда реально коррелирует с типом транзакции. Ну то есть коррелирует, но шаблон для текста может не отражать всю реальную суть транзакции. Это на усмотрение банка.
SpiritOfVox
20.11.2015 00:30Все чеки по таким операциям нужно брать. В том числе по возвратам потому как СМС это вообще не документ.
Gorodnya
20.11.2015 00:42Я бы добавил, что все чеки по всем операциям надо брать. Так, на всякий случай)
vlivyur
23.11.2015 16:11Мне терминал ругнулся что нет связи, но чека не напечатал (может и нечем ему было печатать, т.к. потом выяснилось что он у них глючный уже давно). Потом принесли другой терминал, там всё прошло. И сразу пришли обе смски о списании. Банк сказал что если за сутки отмены не будет, то или сразу к ним или в ресторан на разборки, но лучше сначала им позвонить и они скажут как поступить. Отмена операции произошла только ночью.
MASe
19.11.2015 10:43+1Я может глупость спрошу… Но «В описанной схеме преступник получал неименную платёжную карту»…
А как вообще можно получить такую карту в банке РФ??? Вроде сейчас даже и Вебмани и ЯД карты дают только «верифицированным аккаунтам», а уж в банках то всегда паспорт требуют…
Или я что-то не знаю?
dmitriy_novikov
19.11.2015 11:16+2загуглите «unembossed» — такие карты очень широко используются. это самые простые и дешевые карты, которые можно сразу выдать клиенту, т.к. не надо ждать выпуска. другое дело, что для их оформления действительно требуется паспорт, но видимо этот вопрос тоже как-то решили.
Gorodnya
19.11.2015 11:36Не совсем, «unembossed» — это без нанесения на карту имени и фамилии методом «выдавливаниея». Карта может быть неэмбоссированной, но с указанными на ней именем и фамилилей (ФИО будут просто напечатаны, а не выдавлены). Вы, наверное, имели в виду «карты мгновенного выпуска» — неперсонифицированные.
Однако тут идёт речь о полностью неперсонифицированных картах — это предоплаченные или подарочные карты, пополняемые и не пополняемые. Кажется, та же Кукуруза, плюс «Вишня» от Банка Русский Стандарт. Однако нужно смотреть детальнее, так как по некоторым таким картам как закрыта возможность совершать операции зарубежом, так и закрыта возможность снимать наличные в банкоматах вообще или без идентификации:Чтобы иметь возможность снимать с карты наличные и расплачиваться ей за рубежом, необходимо обратиться в Офис Банка, предъявить паспорт гражданина РФ и получить ПИН-код.
dkukushkin
19.11.2015 11:59+1Или я что-то не знаю?
В Украине, к примеру, платежную карту MasterCard можно купить в любом магазине абсолютно анонимно. Стоит 30 грн. Выпускает Фидобанк. Только вот там лимиты…Gorodnya
19.11.2015 12:10+1«Штука» от Фидобанка стоит 40 грн (39, если быть точным), а ещё есть Банк Михайловский, который выпускает аналогичную карту «Электронный кошелёк», на данный момент это 49 грн.
И да, лимиты у нас регламентированы НБУ — 500 грн. в день снятия наличных + карты действуют только на территории Украины.
MaxF
24.11.2015 12:42Если я все правильно понял, лимиты в данном случае роли не играют.
Операций-то не было, они были все отменены )
tbl
19.11.2015 19:20В банке паспорт со всей строгостью проверяют на подлинность?
MASe
19.11.2015 21:36ну это второе дело… в статье то говорится именно о том, что преступник получал неименную платёжную карту
tbl
20.11.2015 00:17Неименная выдаётся практически сразу. У редких банков есть instant issue. Обычно персонализированную карту надо несколько дней ждать. А для целей в статье пойдёт и неименная.
Dywar
19.11.2015 16:01Стянули годовую зарплату банкира, а те сверху еще 750 накинули. Кто в плюсе? :)
Gorodnya
24.11.2015 17:50+1UPDATE, появилась некоторая дополнительная информация на Forbes.com:
— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);
— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;
— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средства из банкомата, тем самым позволяя преступникам продолжать их мошенничество;
— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;
— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество. Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB. «Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»
kraidiky
То есть система на сервере позволяет оформить платёж с одного терминала, а отменить его ЛЮБЫМ другим?
Предполагается, что банк должен своими силами определять есть ли взаимосвязь между этими терминалами?
Предполагается, что присутствия даже не в одном городе, а в одной стране достаточно чтобы такие действия прокатили?
Я, конечно, слышал, что виза с мастеркардом дырявые как друшлак, но, блин…
SpiritOfVox
Допустим в GSM можно заводить трафик от нужных абонентов на свой контроллер и отправлять запросы о местоположении чужих абонентов. Когда строили эти системы люди думали, что 2015 год это далёкое будущее ;-)
DrPass
Система «на сервере» в этом деле не участвует, насколько я помню (конечно, со времен моей банковской молодости уже многое могло поменяться :-). Она просто перебрасывает запрос chargeback с терминала в процессинг банка-эквайра. А что с ним процессинг будет делать — это дело самого процессинга. Небольшие их вообще вручную обрабатывали (в смысле, живым человеческим трудом). В этом случае, видимо, была, так сказать, автоматика. Так что эта дыра не в самой платежной системе.
mihmig
За такие «бабки» (0.1..2% от СУММЫ операции) платёжная система могла бы и позаботиться о безопасности своих клиентов (банков).
DrPass
Ну а как она позаботится? Платежная система ведь не обладает информацией о том, что там за транзакция была, и можно ли/нельзя ли её отменять. Это банк должен решать. Вот он и решил. По-своему :)
tbl
Проблема в том, что транзакции снятия денег и reversal выполняются у эквайера, а эмитент только исполняет, что ему пришло от МПС. В результате он теряет деньги. И если у эквайера криво настроено сопоставление (например, позволяется посылка с POS-терминала reversal транзакции, выполненной на ATM), то имеем такую ситуацию.
mihmig
Хм, в транзакции же есть кроме номера карты и суммы ID точки, где прошла транзакция. И если ID точки производящей возврат не равен ID точки, которая провела предыдущую транзакцию — «давать отлуп».
tbl
Матчинг люди настраивают, они могут ошибиться, а ответственные могут не проверить.
zagayevskiy
О, судя по всему, вы можете быть в курсе. Давно меня интересует вопрос.
Почему почти любой POS-терминал умеет сказать «правильный PIN» сразу после ввода пина, а банкоматы обычно работают по схеме «Введите PIN — выберите операцию — введите сумму — хотите чек? — ой, а у вас PIN неправильный»?
tbl
Есть 2 варианта проверки PIN-а для EMV-чипа: офлайновый и онлайновый. На POS-терминалах до определенной суммы обычно (либо от настроек терминала) проверяют офлайновый пин. На транзакциях с ATM обычно настраивают сразу онлайновую проверку PIN-а.
Кароч, всё зависит от того, что эмитент прошил в данные EMV-карты, настроек POS-терминала/ATM-терминала, настроек эквайера. И все это регулируется хотелками эквайера/эмитента в рамках правил и рекомендаций, навязанных сверху платежной системой.
bankinobi
Да больше удивляет, что можно отменить транзакцию выдачи денег в банкомате?
TedBeer
Если деньги «забыть» забрать, то банкомат их втянет назад и транзакция отменится.
Не?
Dare
Нет. Транзакция не отменится, деньги отправятся в специальный ящичек (не везде), а вернуть их можно будет только по заявлению в банк, после зачастую ручной, сверки транзакций и реального баланса банкомата.
Fuzzyjammer
Нет. Это зависит от контроллера банкомата, но, как правило, автореверс будет сгенерирован в ту же минуту, что банкомат обнаружит забытые деньги, а не по заявлению.
tbl
Диспенсер выдал 10 купюр аккуратной стопочкой, злоумышленник тихонько вытягивает купюру из середины стопки, банкомат ждёт 45 секунд, сжирает назад стопку и отправляет ее в отстойник. Автореверс генерится в ту же минуту. Злоумышленник стал богаче на номинал купюры.
midday
Вы думаете банкомат деньги считать не умеет?
Flammar
Хотел ответить на тот же коммент «Автореверс не пересчитывается?» и понял, что большинство банкоматов, которые не умеют принимать наличные, таки действительно не обязаны уметь считать наличку…
DrPass
Как правило, то, что кидает в диверт-кассету — не умеет. Но у банкомата есть камера, чековая лента, логи. Поэтому данная хитрая схема не слишком хитрая.
mickvav
Банкомат без функции приёма скорее всего не умеет отличать настоящие купюры от фальшивое в этом месте.
Fuzzyjammer
Да и с функцией приема не умеют, т.к. диспенсер и аксептор — разные устройства. Более того, у большинства банкоматов купюры на выдачу и принимаемые купюры никак не пересекаются (есть банкоматы с т.н. ресайклингом, когда принятые купюры могут выдаваться, но они пока довольно редко встречаются).
tbl
В России с ресайклингом точно нет на данный момент. Их использование какие-то ЦБ-шные инструкции нарушает, насколько я слышал.
szubtsovskiy
Вот тут пишут, что уже есть. И ЦБ, дескать, одобрил.
http://www.banki.ru/wikibank/bankomat_s_funktsiey_kesh-resayklinga/
Gorodnya
В Альфе таких банкоматов сейчас около 500, так что да, такие банкоматы есть и они используются.
SpiritOfVox
Банкоматы принимающие деньги стоят существенно дороже чем обычные. С использованием внесённых денег ещё дороже. Вряд ли они станут массовыми.
Gorodnya
Согласен, иногда даже дешевле поставить обычный банкомат для выдачи наличных + платёжный киоск для приёма, чем просто один банкомат с cash-in.
MrTims
Банкоматы с ресайклером выгодны тогда, когда количество вносимых денег соразмерно количеству выдаваемых. При такой схеме увеличивается время работы устройства между инкассациями. А инкассация — это деньги.
Но в странах СНГ, практически везде еще жива традиция снимать нал по максимуму. Поэтому ресайклер будет, опустошен намного раньше, чем примет соразмерную сумму денег.
MrTims
В данном случае — не умеет
kot9pko
Во многих современных (и не очень) банкоматах на диспенсере стоит пъезодатчик, который регистрирует подобные вмешательства. Так что незаметно вынуть/подменить купюру не получится.
MrTims
Гм… можно модели устройств услышать? Пьезо-датчик, это, для меня что-то, новое. Есть датчик наличия\отсутствия купюр в отверстии выдачи. Но так потому и пишут, что не все купюры выдергивают злоумышленники.
tbl
Ну вот такой кейс: клиент хочет снять 3000 рублей, банкомат посылает фронту в банке данные, фронт считает (обычно он сам ведет учет купюр в кассете), что в ней купюр достаточно (а на самом деле по какой-то причине там уже пусто) и говорит банкомату: отдай клиенту столько-то купюр из такой-то кассеты. Диспенсер банкомата обнаружил, что бабло клиенту не выдано. Тогда банкомат говорит фронту: Reversal. А фронт-то уже до этого посчитал, что транзакция успешна, даже смс-ку ему послал. Вот он и проводит откат транзакции с попутной отсылкой новой смс-ки.
bankinobi
Банкомат отправляет флаг «успешная транзакция» процессингу после выдачи денег.
После запроса на получения денег, банкомат пересчитывает купюры, полученные из кассет, если все оК, то деньги выдаются и транзакция успешно завершена.
Mingun
Это только один вариант работы, причем не всегда самый лучший. Представьте, что банкомат вам деньги уже выдал, но по каким-то причинам его сообщение об этом не дошло до процессинга.
tbl
Ну да, банк в первую очередь обезопасивает себя, и только потом — клиента.
Flammar
Мне однажды наличку не выдали, а сумму списали. Через пару дней извинились и деньги вернули. Наверное, технически это была отмена транзакции выдачи денег в банкомате?
bankinobi
Это все результат ошибки и откат ошибочной транзакции, а хакеры делали откат успешно завершенной транзакции выдачи денег.
Вот это вот и смущает, как процессинг делал откат успешной выдачи денег?
Flammar
Ну, неуспешность завершения транзакции в моём случае устанавливали несколько дней. СМС о списании денег тогда пришла сразу, транзакция поначалу со стороны банка не выглядела ошибочной.
Хотя, может быть, в моём случае был и не откат, а новая «корректировочная» транзакция.
Mingun
В вашем случае скорее всего сначала выполняется списание средств, а затем дается инструкция банкомату для их выдачи. Если банкомат деньги не выдал, то он может либо сообщить о сбое, тогда процессинг может отреверсировать транзакцию сразу, если будет уверен, что действительно деньги не выдались, либо может сделать, когда банкомат пришлет следующий запрос на транзакцию. В нем, при нормальной настройке, должна быть информация о предыдущей выполненной транзакции (сколько было выдано и серийный номер, присвоенный ей хостом). Этой информации достаточно, чтобы понять, были выданы деньги и сколько и автоматически сделать реверс. Но только после того, как придет следующий запрос, что для редко используемого банкомата может произойти нескоро.
MrTims
Отменить банкоматную транзакцию можно, в случае, если, например, в процессе набора денег из кассет и транспортировке их к выдаче что-то произойдет с оборудованием. Банкомат известит об этом свой процессинг и будет сформирована отмена.
Но в данном случае очень странно, что выдача проходит на банкомате в одной стране, через какое-то время POS терминал (!) уже в другой стране формирует отмену на данную операцию и она проходит без вопросов. На мой взгляд, мало информации во всех статьях и заметках об этой «краже века». По идее, POS, с которого идет отмена, должен быть настроен именно на выдачу наличных. Такие терминалы стоят в отделениях банков. Как туда попали злоумышленники? Если же используют POS у коммерса, то как вообще операция ВЫДАЧИ, может быть отменена в ритейловом (торговом) POS? Все пишут, что POS заражен вирусом. А что этот вирус делал? Выдавал коммерсовский POS за POS в отделении? Подменял код страны в операции Отмена, чтобы не было вопросов? Почему анти-фрод системы, которые сейчас есть во многих банках, не реагировали на такие странности?..
В общем, по-моему, нужно больше информации. И, почти уверен, что далеко не любой процессинг был подвержен подобной болезни.
tbl
Del