ПРАВО.ru
Процесс
13 мая 2019, 8:42

Мошенники вывели из банка 9 млн рублей через сервис MasterCard

Мошенники смогли похитить у банка «Москва-сити» 9 млн руб., но АСГМ отказал компании в иске: она не смогла доказать виновность ответчиков в понесённых убытках.

В марте 2019 года судья Арслан Эльдеев из АСГМ отказал банку «Москва-сити» в иске к АО «Компания объединенных кредитных карточек» и Росбанку на 9 млн руб. (дело № А40-229659/2018). Такое решение было принято из-за того, что «Москва-сити» не представил доказательств, что к убыткам привели действия ответчиков. 8 мая истец обжаловал решение суда.  

В материалах дела говорится, что в мае прошлого года мошенники похитили у банка «Москва-сити» 9 млн руб. через операции, проведённые в привокзальных банкоматах Москвы. Участники схемы выбирали опцию перевода денег с карт Сбербанка на «пластик» Тинькофф Банка через сервис Mastercard – MoneySend, но в последний момент не подтверждали или отменяли операцию. Несмотря на то что операция не завершалась, деньги всё равно зачислялись на одну карту и оставались на другой. В суде «Москва-сити» требовал с АО «Компания объединенных кредитных карточек» и Росбанка 9 млн руб. Первый ответчик работает под брендом UCS и обрабатывает операции в банкоматах «Москва-сити», а Росбанк оказывает истцу спонсорские услуги в платёжных системах.

Мошенники выводят деньги из банков под видом ЦБ

Эксперт по информационной безопасности банков Николай Пятиизбянцев рассказал «Ведомостям», что мошенникам для хищения не требовался даже вредоносный код. Он указывает, что ошибка в настройках заключалась в том, что банк – владелец банкомата – считал, что операцию всё ещё можно отменить, а банк получателя – что перевод уже отозвать нельзя. После мошенники отменяли операцию, но деньги уже зачислились на карту получателя и остались на карте отправителя. Это было возможно, поскольку по правилам MasterСard для операций MoneySend банк получателя может не согласиться с отменой операции. Пятиизбянцев говорит, что для использования такой схемы нужно знать, в каких конкретно банкоматах есть уязвимость, и, более того, нужно было подобрать банк получателя, который не разрешал проводить отмену операции. 

В Тинькофф Банке «Ведомостям» рассказали, что их организация руководствовалась исключительно правилами MasterСard. Логика переводов в MoneySend не подразумевает возможность отмены операции без предварительного согласования с банком получателя, говорит представитель банка. Ведь тот моментально увеличивает остаток средств на карте своего клиента, которому был адресован перевод. 

Представитель истца рассказал изданию, что инцидент произошёл из-за неверно настроенного процессингового сценария UCS. При этом UCS отвечала за настройку софта и сценариев операций, следует из ответа, и эта настройка нарушала логику денежных переводов MoneySend. «Москва-сити» провёл внутреннее расследование, которое не выявило причастность сотрудников банка к инцидентам, подчёркивается в ответе.

Представитель истца не ответил, заводилось ли уголовное дело по факту этого инцидента. Представитель Сбербанка от комментариев отказался, представители MasterСard, Росбанка и UCS на запросы «Ведомостей» не ответили.