Хакеры изобрели новую схему воровства денег, украв 250 млн. рублей

Information SecurityPayment systems
Group-IB выявила новый вид мошенничества, с помощью которого преступники похищали деньги с банковских счетов.

UPDATE от 24.11.2015появилась некоторая дополнительная информация на Forbes.com

Для совершения основных действий злоумышленники использовали банкоматы, поэтому эта схема получила название «АТМ-реверс», или «обратный реверс». В описанной схеме преступник получал неименную платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек о проведенной операции.

image

Далее данные о проведённых транзакциях отправлялись сообщнику (сообщникам), который имел доступ к зараженным вирусом POS-терминалам, которые зачастую находились вне России. Через терминалы, по коду операции, указанной в чеке, формировалась команда на отмену операции снятия наличных. В результате отмены операции баланс карты мгновенно восстанавливался (в процессинговой системе банка это выглядело аналогично возврату купленного товара) — и у злоумышленника появлялись «отменённые» деньги на счету. Преступники повторяли эти действия многократно, пока в банкоматах не заканчивалась наличка.

По словам Group-IB, в результате данных действий пострадали пять неназванных крупных российских банков. Всего преступники похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб. Предотвратить последующие попытки такого воровства банкам удалось лишь после разработки и внедрения совместно с платежными системами Visa и MasterCard защитных систем.

Наверняка среди мошенников был человек, знакомый с работой процессинга одного из пострадавших банков. По словам представителя одного из крупных банков, в описанной схеме злоумышленники использовали уязвимость в процессинговом центре банка-эмитента, который при операции отмены проверял не все данные. «Дополнительная проверка могла бы обнаружить, что деньги выдаются в одной стране, а операция отменяется в другой», — отметил эксперт.

Update:
Валерий Баулин, руководитель лаборатории компьютерной криминалистики Group-IB:
«Злоумышленники научились использовать некую, если можно так сказать, уязвимость, которая основывалась на особенностях взаимоотношений между банками-эмитентами и эквайерами, а также платёжными системами. Поэтому сказать точно, на чьей стороне была уязвимость, наверное, невозможно и неправильно было бы. Это было сделано для упрощения взаимоотношений, взаиморасчетов, ускорения проведения транзакций. Собственно, злоумышленники об этом знали, о каких-то таких упрощённых схемах проверки, и смогли это использовать».

Информация о том, какие именно банки пострадали, а также были ли задержаны преступники, в интересах следствия пока не раскрывается.

Максим Эмм, эксперт в области информационной безопасности и технологий:
«Речь идёт о том, что в любой платёжной системе, в том числе Visa и MasterCard, есть возможность как снять деньги, так и вернуть деньги. И в данном случае злоумышленники воспользовались тем, что для ряда банков можно было снять деньги в одном терминале, а транзакцию по возврату денег оформить с другого терминала. В данном случае, который контролировался злоумышленниками, в этом и была уязвимость. Найти эти транзакции было достаточно сложно, потому что никто не заявлял о потерях. То есть найти можно было, только сравнив дебет и кредит по счетам карточным, а транзакций очень много, пока там разобрались, наверное, вот и такое количество денег — 250 млн — утекло. Защита, в общем-то, от этой угрозы недорогая, это просто перенастройка правил в процессинге банка. Если информационная система такого рода эти правила поддерживает, а большинство процессингов их поддерживает, достаточно просто это настроить, и эта лазейка будет прикрыта, и все клиенты от такого рода проблемы будут избавлены. На самом деле, теряли деньги не клиенты, терял банк, поэтому, в общем-то, достаточно быстро с этим банки разберутся. Те злоумышленники очень детально себе представляли правила работы платёжной системы, правила формирования транзакции, как списания, так и пополнения, и отмены этого списания. И, скорее всего, детально понимали, как работают процессинги в банках. Возможно, кто-то из злоумышленников раньше работал в компании, которая разрабатывает процессинги, либо в банке. Поэтому это довольно изощренная атака, которую удалось достаточно быстро выявить. Я думаю, что большинство банков сейчас, исходя из этой информации, такого рода проверки введёт, и в будущем такие проблемы с нашими банками будут исключены».

По материалам РБК, Securitylab и BFM.RU.

UPDATE от 24.11.2015, появилась дополнительная информация на Forbes.com:

— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);

— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;

— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средств из банкомата, тем самым позволяя преступникам продолжать их мошенничество;

— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;

— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество.
Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB.
«Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»
Tags:платёжные системыплатежные картыбанкоматpos-терминал
Hubs: Information Security Payment systems
+28
94.3k 118
Comments 94

Popular right now

Billing engineer/ Economist
from 1,600 to 1,600 €SmartTel PlusВаршаваRemote job
Application Security
from 100,000 to 150,000 ₽PleskНовосибирскRemote job
Wireless Systems Engineer
from 100,000 to 200,000 ₽ON SemiconductorСанкт-Петербург
Java developer
to 300,000 ₽Benchmark ExecutiveRemote job
Application Security Engineer
from 3,300 €ExnessЛимассол

Top of the last 24 hours