Ошибка в настройках сервиса Mastercard обошлась в 9 млн рублей

Теги: MasterCard

Мошенникам удалось похитить 9 млн рублей через банкоматы банка «Москва-сити» с помощью платежного сервиса Mastercard – MoneySend. Об этом пишут Ведомости со ссылкой на вынесенное в марте решение Арбитражного суда по иску кредитной компании. Ответчиками по этому делу выступают АО «Компания объединенных кредитных карточек» (UCS), которая обрабатывает операции в банкоматах «Москва-сити», и Росбанк — спонсор истца для участия в платежных системах.

Как работает схема?

Привести данную схему в действие позволила уязвимость, которая заключалась в нарушении логической последовательности действий в MoneySend при переводе средств с одной банковской карты на другую.

Участники схемы действовали следующим образом: вставляли карты в банкоматы «Москва-сити», активировали опцию перевода денег с карты на карту через платежный сервис, вводили номер карты и сумму, а затем отменяли операцию. Для кражи средств им даже не требовался вредоносный код, отметил эксперт по информационной безопасности банков Николай Пятиизбянцев.

Дело в том, что MoneySend направлял запросы в банк отправителя и банк получателя для разрешения на списание и зачисление средств соответственно еще до того, как клиенты получали возможность прервать операцию перевода. При этом, из-за неверно настроенных конфигураций сервиса, банк – владелец банкомата считал, что операцию все еще можно отменить, а банк получателя – что перевод уже отозвать нельзя, рассказывает эксперт.

По правилам Mastercard для операций MoneySend банк получателя может не согласиться с отменой операции. Поэтому, когда мошенники отменяли перевод, сумма перевода не только восстанавливалась на карте отправителя, но и приходила на карту получателя. Ложный перевод во всех случаях осуществлялся с карты Сбербанка на карту «Тинькофф банка».

При чем тут «Москва-сити»?

Банк был вынужден обратиться в суд, поскольку в конечном итоге арбитражный комитет Mastercard принял решение списать деньги по спорным операциям именно с его счета. «Москва-сити» требовал, чтобы UCS и Росбанк компенсировали ему 9 млн, а также 4620 евро комиссии за рассмотрение своей претензии в Mastercard. Однако в марте 2019 года суд отклонил требование, поскольку истец не представил доказательств, что к убыткам привели действия ответчиков. 

Пятиизбянцев пояснил, что по решению суда ни одна из сторон не виновна в причинении ущерба, поскольку не нарушила своих обязательств. Суд указывает, что «Москва-сити» участвовал в настройках сервиса MoneySend в собственных банкоматах и знал о сценариях совершения переводов. Поэтому данный инцидент не мог произойти по вине UCS. 8 мая банк обжаловал решение суда.  

По словам эксперта, для реализации данной схемы мошенники должны были знать в каких именно банкоматах есть эта уязвимость. Кроме того, нужно было подобрать банк получателя, который не разрешал проводить отмену операции. Причастность своих сотрудников к хищению средств «Москва-сити» отрицает.

← Назад Поделиться:

Рекомендации

Банк Lloyds и Mastercard анонсировали поддержку транзакций без участия процессинговых компаний

Елена Семенова2 мин
СМИ: пользователей «Мира» могут лишить карт Maestro от Mastercard

При помощи пластика его держатели, в том числе, рассчитываются заграницей.

Евгения Лиходей2 мин

Индия запретила Mastercard выпускать новые карты на рынке Южной Азии

По словам регуляторов, платежный гиган нарушает правила хранения пользовательских данных.

Елена Семенова2 мин

Mastercard инвестировал в индийский платежный стартап Instamojo

Сумму сделки стороны не раскрывают.

Елена Семенова2 мин

Mastercard и Goldman Sachs вложились в финтех-компанию Deserve

Компания привлекла $50 млн в раунде финансирования серии D.

Елена Семенова2 мин

«Сколково»: «Мир» обогнал по охвату населения Visa и Mastercard в России

При этом большую часть аудитории проекта по-прежнему составляют бюджетники.

Евгения Лиходей2 мин