Ошибка в настройках сервиса Mastercard обошлась в 9 млн рублей

Теги: MasterCard

Мошенникам удалось похитить 9 млн рублей через банкоматы банка «Москва-сити» с помощью платежного сервиса Mastercard – MoneySend. Об этом пишут Ведомости со ссылкой на вынесенное в марте решение Арбитражного суда по иску кредитной компании. Ответчиками по этому делу выступают АО «Компания объединенных кредитных карточек» (UCS), которая обрабатывает операции в банкоматах «Москва-сити», и Росбанк — спонсор истца для участия в платежных системах.

Как работает схема?

Привести данную схему в действие позволила уязвимость, которая заключалась в нарушении логической последовательности действий в MoneySend при переводе средств с одной банковской карты на другую.

Участники схемы действовали следующим образом: вставляли карты в банкоматы «Москва-сити», активировали опцию перевода денег с карты на карту через платежный сервис, вводили номер карты и сумму, а затем отменяли операцию. Для кражи средств им даже не требовался вредоносный код, отметил эксперт по информационной безопасности банков Николай Пятиизбянцев.

Дело в том, что MoneySend направлял запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств соответственно еще до того, как клиенты получали возможность прервать операцию перевода. При этом, из-за неверно настроенных конфигураций сервиса, банк – владелец банкомата считал, что операцию все еще можно отменить, а банк получателя – что перевод уже отозвать нельзя, рассказывает эксперт.

По правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции. Поэтому, когда мошенники отменяли перевод, сумма перевода не только восстанавливалась на карте отправителя, но и приходила на карту получателя. Ложный перевод во всех случаях осуществлялся с карты Сбербанка на карту «Тинькофф банка».

При чем тут «Москва-сити»?

Банк был вынужден обратиться в суд, поскольку в конечном итоге арбитражный комитет Mastercard принял решение списать деньги по спорным операциям именно с его счета. «Москва-сити» требовал, чтобы UCS и Росбанк компенсировали ему 9 млн, а также 4620 евро комиссии за рассмотрение своей претензии в Mastercard. Однако в марте 2019 года суд отклонил требование, поскольку истец не представил доказательств, что к убыткам привели действия ответчиков. 

Пятиизбянцев пояснил, что по решению суда ни одна из сторон не виновна в причинении ущерба, поскольку не нарушила своих обязательств. Суд указывает, что «Москва-сити» участвовал в настройках сервиса MoneySend в собственных банкоматах и знал о сценариях совершения переводов. Поэтому данный инцидент не мог произойти по вине UCS. 8 мая банк обжаловал решение суда.  

По словам эксперта, для реализации данной схемы мошенники должны были знать в каких именно банкоматах есть эта уязвимость. Кроме того, нужно было подобрать банк получателя, который не разрешал проводить отмену операции. Причастность своих сотрудников к хищению средств «Москва-сити» отрицает.

← Назад Поделиться:

Рекомендации

Mastercard изучит возможности применения смарт-контрактов для выпуска CBDC

Евгения Лиходей2 мин
Gemini и MasterCard запустят кредитную карту с криптовалютным кешбэком

Эмитентом карты выступит WeBank. Летом продукт будет запущен во всех 50 штатах США.

Aртем Галунoв2 мин

Mastercard поможет пользователям сделать потребление экологичнее при помощи NFT

Команда платежной системы будет предоставлять информацию при помощи современных технологий.

Евгения Лиходей2 мин

MasterCard покупает поставщика решений для идентификации пользователей за $850 млн

Поглощение подлежит одобрению регуляторов. MasterCard и Ekata рассчитывают закрыть сделку в течение шести месяцев.

Aртем Галунoв3 мин

Банк России не считает, что страну могут отключить от международных платежных систем

Скоробогатова отметила, что Россия имеет все необходимые инструменты, чтобы обеспечить внутренний обмен финансовыми сообщениями.

Aртем Галунoв2 мин

Mastercard предложил россиянам расплачиваться брелоками

Чтобы проводить операции при помощи устройства, к нему потребуется привязать банковскую карту.

Евгения Лиходей2 мин