Мошенники вывели из банка 9 млн рублей через сервис MasterCard
В марте 2019 года судья Арслан Эльдеев из АСГМ отказал банку «Москва-сити» в иске к АО «Компания объединенных кредитных карточек» и Росбанку на 9 млн руб. (дело № А40-229659/2018). Такое решение было принято из-за того, что «Москва-сити» не представил доказательств, что к убыткам привели действия ответчиков. 8 мая истец обжаловал решение суда.
В материалах дела говорится, что в мае прошлого года мошенники похитили у банка «Москва-сити» 9 млн руб. через операции, проведённые в привокзальных банкоматах Москвы. Участники схемы выбирали опцию перевода денег с карт Сбербанка на «пластик» Тинькофф Банка через сервис Mastercard – MoneySend, но в последний момент не подтверждали или отменяли операцию. Несмотря на то что операция не завершалась, деньги всё равно зачислялись на одну карту и оставались на другой. В суде «Москва-сити» требовал с АО «Компания объединенных кредитных карточек» и Росбанка 9 млн руб. Первый ответчик работает под брендом UCS и обрабатывает операции в банкоматах «Москва-сити», а Росбанк оказывает истцу спонсорские услуги в платёжных системах.
Эксперт по информационной безопасности банков Николай Пятиизбянцев рассказал «Ведомостям», что мошенникам для хищения не требовался даже вредоносный код. Он указывает, что ошибка в настройках заключалась в том, что банк – владелец банкомата – считал, что операцию всё ещё можно отменить, а банк получателя – что перевод уже отозвать нельзя. После мошенники отменяли операцию, но деньги уже зачислились на карту получателя и остались на карте отправителя. Это было возможно, поскольку по правилам MasterСard для операций MoneySend банк получателя может не согласиться с отменой операции. Пятиизбянцев говорит, что для использования такой схемы нужно знать, в каких конкретно банкоматах есть уязвимость, и, более того, нужно было подобрать банк получателя, который не разрешал проводить отмену операции.
В Тинькофф Банке «Ведомостям» рассказали, что их организация руководствовалась исключительно правилами MasterСard. Логика переводов в MoneySend не подразумевает возможность отмены операции без предварительного согласования с банком получателя, говорит представитель банка. Ведь тот моментально увеличивает остаток средств на карте своего клиента, которому был адресован перевод.
Представитель истца рассказал изданию, что инцидент произошёл из-за неверно настроенного процессингового сценария UCS. При этом UCS отвечала за настройку софта и сценариев операций, следует из ответа, и эта настройка нарушала логику денежных переводов MoneySend. «Москва-сити» провёл внутреннее расследование, которое не выявило причастность сотрудников банка к инцидентам, подчёркивается в ответе.
Представитель истца не ответил, заводилось ли уголовное дело по факту этого инцидента. Представитель Сбербанка от комментариев отказался, представители MasterСard, Росбанка и UCS на запросы «Ведомостей» не ответили.