Преступник получал платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек. Далее данные о транзакциях отправлялись сообщнику, который имел доступ к зараженным POS-терминалам. Через терминалы, по коду операции, формировалась отмена снятия наличных. В результате баланс карты мгновенно восстанавливался и у злоумышленника появлялись «отменённые» деньги на счету. Преступники повторяли эти действия многократно, пока в банкоматах не заканчивалась наличка, модифицируя свою схему после исправления банками ошибки. Тогда было открыто несколько судебных дел в отношении виновных, «денежные мулы» были из Лондона, Украины, Латвии и Литвы.
Однако сейчас появилась новость об очень похожей ситуации, включающая и названия пострадавших компаний. Сумма ущерба на этот раз почти в два раза больше — около полумиллиарда рублей.
В августе 2015-го мошенники или их сообщники, используя карты MasterCard, которые были выпущены банком «Кузнецкий», сняли из банкоматов других банков 470 млн руб. Мошенники использовали платежную систему ОРС, в которую тогда входило более 200 банков и которая позволяла снимать наличные по более низким тарифам. UCS же является операционным и платежным клиринговым центром ОРС.
Обычно мошенники делают по 5-10 подходов к банкомату, каждый раз снимая максимально возможную сумму (200 000 руб., 40 купюр номиналом 5000 руб.). Особенность данного случая в том, что за сутки было сделано более 3 000 таких операций, а общая сумма достигла почти 470 млн руб. Судя по сумме и количеству операций, мошенникам пришлось за короткий срок опустошить более 200 банкоматов, принадлежащих разным банкам. Вручную выполнить такое количество операций отмены платежа невозможно даже физически, так что можно уверенно утверждать, что действовал не сотрудник, а хакеры, которые предварительно получили доступ к инфраструктуре банка.
Ситуация очень похожа с описанной ранее, это атака «отмена транзакции»: мошенник, используя карту банка-эмитента, снимает наличные в банкомате. Сразу после этого сообщник мошенника направляет в платежную систему требование об отмене операции. «Из-за отмены операции сумма на карточном счете не изменяется, так что мошенники могут повторять эту двухходовку снова и снова, пока не надоест», – говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов – При этом у эмитента возникнет долг перед эквайером на сумму, равную сумме снятой наличности».
Когда мошенники сняли первую сотню тысяч рублей, остаток, имеющийся на корсчете эмитента, уменьшился на эту сумму, а после отмены операции восстановился, хотя у эмитента возникла фактическая задолженность перед эквайером на сотню тысяч. С каждой следующей мошеннической операцией остаток на корреспондентском счете то уменьшался, то восстанавливался.
Суд указал, что транзакции в платежной системе ОРС осуществляются в соответствии с правилами MasterCard, а, согласно им, право на отмену операции в режиме реального времени имеет только банк-эквайер (т. е. владелец банкомата), а банк-эмитент (в нашем случае «Кузнецкий») мог отменить операцию только по истечении семи календарных дней. Но ответчик UCS, несмотря на это, провел операцию отмены от имени «Кузнецкого».
«По нашим сведениям, по возбужденным уголовным делам проводятся следственные действия, которые еще не завершены», – говорит представитель НКО «ОРС».
По неподтверждённой информации, первые задержания по этому делу прошли еще осенью.
Из материалов следует, что ОРС сразу после инцидента заплатила банкам, из чьих банкоматов украли деньги, 470 млн руб., а иск к UCS был подан 2 ноября 2015 г. По словам человека, близкого к одной из сторон, «Кузнецкий» не мог компенсировать банкам ущерб, поскольку у него не было таких средств, для ОРС это был больше вопрос репутации.
Компенсировать причиненный вред должен преступник. Если хакеров не поймают, то компенсировать вред некому. Если их поймают, то таких денег у них все равно уже нет, — рассуждает Дмитрий Кузнецов — Ущерб возмещает тот, кто по итогам судебных разбирательств оказался «сильнее неправ».
Итого: суд Москвы взыскал с процессинговой компании UCS 470 млн руб., посчитав, что по её вине мошенники похитили у банка «Кузнецкий» данные средства, потому как UCS нарушила условия договора.
По материалам Habrahabr, Ведомости.
Комментарии (22)
tishevich
08.06.2016 08:20+2Интересно было бы узнать подробности этой операции — насколько большая была сеть преступников, как осуществлялась координация, каким образом отмывались деньги. Это же прям ограбление года, и нигде никаких подробностей.
sergof
08.06.2016 10:08+5Все гениальное просто:
1. бабосы скомуниздить (это проклятые хакеры, конечно, кто же еще),
2. виноватыми назначить сферических хакеров (будем их искать, но разумеется, никогда не найдем),
3. сделать целеустремленное лицо.
Ваш Остап.Jesting
08.06.2016 11:25-2Логи операций, в том числе в платежной системе, подделать даже ради профита в 450млн не получиться.
geekmetwice
09.06.2016 08:06Ребят, объясните для ИТ-грамотных, но ничего не шарящих в банкинге: как можно отменить операцию, если она вообще неотменяемая? Выдача кэша — она физическая, значит если банкомат подтвердил банку «я высунул деньги в окошко и их взяли», какие могут быть отмены?
redmanmale
09.06.2016 14:13Очень даже отменяемая.
Во-первых, во многих банкоматах если не забрать деньги из лотка в течение определённого времени, он всосёт их обратно. И операция отменится.
Во-вторых, при выдаче может быть ошибка какая-нибудь в банкомате, и операция опять-таки откатится.
MihiNick
09.06.2016 13:55Там немного по другому процесс проходит — банкомат сначала проверяет наличие денег на счете клиента — в этот момент ты получаешь смс. Потом он проверяет наличие достаточной суммы для выдачи в кассетах, и если не хватает то отменяет списание.
Ну это так — доступным языком.
neko_nya
12.06.2016 18:57Отсюда мораль: нужно вовремя останавливаться.
Gorodnya
12.06.2016 19:02А иногда бывает и так: Преступники, заражавшие банкоматы вирусом, пойманы на горячем
arandomic
Я так понимаю, что теперь в случае ошибки при выдаче наличных, придется ждать 7 календарных дней на отмену транзакции и возвращение денег на счет? Если процессинговые компании сделают для себя какой-то вывод…
Gorodnya
В случае ошибки при выдаче наличных банк может рассматривать заявление около 30 дней. Если бы только 7 дней)
imbasoft
Даже не так :) Банк в течение 30/60 дней будет писать вам ответ о ходе разбирательства (по 161-ФЗ) деньги будут (если будут) возвращены по мере оспаривания транзакции в платежной системе,
Gorodnya
Хорошо, если банк сам будет писать) Чаще приходится самому звонить, спрашивать «как дела?» ) Да, срок, конечно, примерный.
imbasoft
Если «сперли бабки» с карты надо делать так:
1. В течение 23 часов 50 минут звонить в КЦ (контакт центр), при этом желательно разговор записать, предупредив об этом сотрудника КЦ и попросить его назвать дату и время звонка.
2. В ходе разговора с КЦ детально описать суть оспариваемой транзакции.
3. После разговора с КЦ написать письменное заявление обязательно указав, что вы хотите что бы Банк вернул вам денежные средства.
4. Ждать ответа банка в течение 30 дней по Российским транзакциям и 60 по международным.
5. Если Банк не ответил то обращаемся в ЦБ.
6. Хуже не будет если написать заявление в полицию по факту кражи.
a1ien_n3t
del
imbasoft
Смысл?
Оператор по переводу денежных средств — Банк. И только Банк обязан вам вернуть баблос, все остальные участники процесса могут только поохать.
А вообще в случае беды — учить наизусть ст. 9 161-ФЗ
a1ien_n3t
Да я когда написал, понял что был неправ.
DjOnline
Русский стандарт мне пару лет при пополнении банкомата не зачислил 10т.р., после написания претензии и прошествии 30 дней ничего не изменилась, они не признают ошибку, а у меня никаких доказательств больше нет.
mihmig
Есть деньги чтоб пополнить дебетовую карту? Значит есть смартфон?
Снимаем на видео (желательно — ещё начав подходить к банку) каждую засовываемую купюру.
А вообще при большой сумме не ленитесь посидеть в очереди и пополнить счёт через кассира.
DjOnline
Да, все эти мысли приходят в голову уже после того как это произошло.
Надо было хотя бы посветить каждой купюрой перед камерой банкоматом.
А так получилось, что вставлял 11 пятитысячных купюр, в итоге одна выплюнулась, а засчитались только 8. Их СБ в логах якобы видила только 8 и одну неопознанную выплунутую.
valis
В привате был подобный случай (правда с меньшей суммой и через терминал самообслуживания). Позвонил в контакт центр, назвал сумму, ФИО, телефон, время операции, номер терминала. Через мин 10 перезвонили и попросили номер карты куда перечислить, еще через 5 минут деньги были на карте.
Все зависит от «совести» и политики банка. Видимо, Привату важнее удержать клиента чем потратить кучу своих ресурсов на выяснение обстоятельств чтоб «не остаться в дураках»
xiWera
У меня было два подобных случая.
В первом случае, банкомат выдал меньше денег. Деньги вернули в тотже день на счет.
Во втором случае банкомат вообще не выдал деньги, я позвонил по телефону на банкомате, мне сказали, что всё норм, деньги щас вернуться, так как банкомат не завершил транзакцию. И действительно деньги вернулись в течении нескольких минут.
PinGniX
Это называется ведение банковских операций по-русски. В цивилизованных странах первое правило — это незамедлительно вернуть деньги клиенту, а потом уже разбираться. Там даже так, что ты просто можешь снять деньги в банкомате, позвонить, сказать, что тебе банкомат их не выдал и попросить вернуть и они сразу же зачислят. Конечно, в этом случае когда они выяснят, что ты обманом этого добился, то применят все соответствующие меры. Но факт остается фактом.
На всех конференциях платежной системы VISA докладчики призывают именно так поступать в подобных ситуациях, но по всей видимости у российского банковского конгломерата иное видение дела и бизнеса.