Comments 94
То есть система на сервере позволяет оформить платёж с одного терминала, а отменить его ЛЮБЫМ другим?
Предполагается, что банк должен своими силами определять есть ли взаимосвязь между этими терминалами?
Предполагается, что присутствия даже не в одном городе, а в одной стране достаточно чтобы такие действия прокатили?
Я, конечно, слышал, что виза с мастеркардом дырявые как друшлак, но, блин…
Предполагается, что банк должен своими силами определять есть ли взаимосвязь между этими терминалами?
Предполагается, что присутствия даже не в одном городе, а в одной стране достаточно чтобы такие действия прокатили?
Я, конечно, слышал, что виза с мастеркардом дырявые как друшлак, но, блин…
Допустим в GSM можно заводить трафик от нужных абонентов на свой контроллер и отправлять запросы о местоположении чужих абонентов. Когда строили эти системы люди думали, что 2015 год это далёкое будущее ;-)
Система «на сервере» в этом деле не участвует, насколько я помню (конечно, со времен моей банковской молодости уже многое могло поменяться :-). Она просто перебрасывает запрос chargeback с терминала в процессинг банка-эквайра. А что с ним процессинг будет делать — это дело самого процессинга. Небольшие их вообще вручную обрабатывали (в смысле, живым человеческим трудом). В этом случае, видимо, была, так сказать, автоматика. Так что эта дыра не в самой платежной системе.
За такие «бабки» (0.1..2% от СУММЫ операции) платёжная система могла бы и позаботиться о безопасности своих клиентов (банков).
Ну а как она позаботится? Платежная система ведь не обладает информацией о том, что там за транзакция была, и можно ли/нельзя ли её отменять. Это банк должен решать. Вот он и решил. По-своему :)
Проблема в том, что транзакции снятия денег и reversal выполняются у эквайера, а эмитент только исполняет, что ему пришло от МПС. В результате он теряет деньги. И если у эквайера криво настроено сопоставление (например, позволяется посылка с POS-терминала reversal транзакции, выполненной на ATM), то имеем такую ситуацию.
Хм, в транзакции же есть кроме номера карты и суммы ID точки, где прошла транзакция. И если ID точки производящей возврат не равен ID точки, которая провела предыдущую транзакцию — «давать отлуп».
О, судя по всему, вы можете быть в курсе. Давно меня интересует вопрос.
Почему почти любой POS-терминал умеет сказать «правильный PIN» сразу после ввода пина, а банкоматы обычно работают по схеме «Введите PIN — выберите операцию — введите сумму — хотите чек? — ой, а у вас PIN неправильный»?
Почему почти любой POS-терминал умеет сказать «правильный PIN» сразу после ввода пина, а банкоматы обычно работают по схеме «Введите PIN — выберите операцию — введите сумму — хотите чек? — ой, а у вас PIN неправильный»?
Есть 2 варианта проверки PIN-а для EMV-чипа: офлайновый и онлайновый. На POS-терминалах до определенной суммы обычно (либо от настроек терминала) проверяют офлайновый пин. На транзакциях с ATM обычно настраивают сразу онлайновую проверку PIN-а.
Кароч, всё зависит от того, что эмитент прошил в данные EMV-карты, настроек POS-терминала/ATM-терминала, настроек эквайера. И все это регулируется хотелками эквайера/эмитента в рамках правил и рекомендаций, навязанных сверху платежной системой.
Кароч, всё зависит от того, что эмитент прошил в данные EMV-карты, настроек POS-терминала/ATM-терминала, настроек эквайера. И все это регулируется хотелками эквайера/эмитента в рамках правил и рекомендаций, навязанных сверху платежной системой.
Да больше удивляет, что можно отменить транзакцию выдачи денег в банкомате?
Если деньги «забыть» забрать, то банкомат их втянет назад и транзакция отменится.
Не?
Не?
Нет. Транзакция не отменится, деньги отправятся в специальный ящичек (не везде), а вернуть их можно будет только по заявлению в банк, после зачастую ручной, сверки транзакций и реального баланса банкомата.
Нет. Это зависит от контроллера банкомата, но, как правило, автореверс будет сгенерирован в ту же минуту, что банкомат обнаружит забытые деньги, а не по заявлению.
Диспенсер выдал 10 купюр аккуратной стопочкой, злоумышленник тихонько вытягивает купюру из середины стопки, банкомат ждёт 45 секунд, сжирает назад стопку и отправляет ее в отстойник. Автореверс генерится в ту же минуту. Злоумышленник стал богаче на номинал купюры.
Вы думаете банкомат деньги считать не умеет?
Хотел ответить на тот же коммент «Автореверс не пересчитывается?» и понял, что большинство банкоматов, которые не умеют принимать наличные, таки действительно не обязаны уметь считать наличку…
Как правило, то, что кидает в диверт-кассету — не умеет. Но у банкомата есть камера, чековая лента, логи. Поэтому данная хитрая схема не слишком хитрая.
Банкомат без функции приёма скорее всего не умеет отличать настоящие купюры от фальшивое в этом месте.
Да и с функцией приема не умеют, т.к. диспенсер и аксептор — разные устройства. Более того, у большинства банкоматов купюры на выдачу и принимаемые купюры никак не пересекаются (есть банкоматы с т.н. ресайклингом, когда принятые купюры могут выдаваться, но они пока довольно редко встречаются).
В России с ресайклингом точно нет на данный момент. Их использование какие-то ЦБ-шные инструкции нарушает, насколько я слышал.
Вот тут пишут, что уже есть. И ЦБ, дескать, одобрил.
http://www.banki.ru/wikibank/bankomat_s_funktsiey_kesh-resayklinga/
http://www.banki.ru/wikibank/bankomat_s_funktsiey_kesh-resayklinga/
В Альфе таких банкоматов сейчас около 500, так что да, такие банкоматы есть и они используются.
Банкоматы принимающие деньги стоят существенно дороже чем обычные. С использованием внесённых денег ещё дороже. Вряд ли они станут массовыми.
Согласен, иногда даже дешевле поставить обычный банкомат для выдачи наличных + платёжный киоск для приёма, чем просто один банкомат с cash-in.
Банкоматы с ресайклером выгодны тогда, когда количество вносимых денег соразмерно количеству выдаваемых. При такой схеме увеличивается время работы устройства между инкассациями. А инкассация — это деньги.
Но в странах СНГ, практически везде еще жива традиция снимать нал по максимуму. Поэтому ресайклер будет, опустошен намного раньше, чем примет соразмерную сумму денег.
Но в странах СНГ, практически везде еще жива традиция снимать нал по максимуму. Поэтому ресайклер будет, опустошен намного раньше, чем примет соразмерную сумму денег.
В данном случае — не умеет
Во многих современных (и не очень) банкоматах на диспенсере стоит пъезодатчик, который регистрирует подобные вмешательства. Так что незаметно вынуть/подменить купюру не получится.
Ну вот такой кейс: клиент хочет снять 3000 рублей, банкомат посылает фронту в банке данные, фронт считает (обычно он сам ведет учет купюр в кассете), что в ней купюр достаточно (а на самом деле по какой-то причине там уже пусто) и говорит банкомату: отдай клиенту столько-то купюр из такой-то кассеты. Диспенсер банкомата обнаружил, что бабло клиенту не выдано. Тогда банкомат говорит фронту: Reversal. А фронт-то уже до этого посчитал, что транзакция успешна, даже смс-ку ему послал. Вот он и проводит откат транзакции с попутной отсылкой новой смс-ки.
Мне однажды наличку не выдали, а сумму списали. Через пару дней извинились и деньги вернули. Наверное, технически это была отмена транзакции выдачи денег в банкомате?
Это все результат ошибки и откат ошибочной транзакции, а хакеры делали откат успешно завершенной транзакции выдачи денег.
Вот это вот и смущает, как процессинг делал откат успешной выдачи денег?
Вот это вот и смущает, как процессинг делал откат успешной выдачи денег?
В вашем случае скорее всего сначала выполняется списание средств, а затем дается инструкция банкомату для их выдачи. Если банкомат деньги не выдал, то он может либо сообщить о сбое, тогда процессинг может отреверсировать транзакцию сразу, если будет уверен, что действительно деньги не выдались, либо может сделать, когда банкомат пришлет следующий запрос на транзакцию. В нем, при нормальной настройке, должна быть информация о предыдущей выполненной транзакции (сколько было выдано и серийный номер, присвоенный ей хостом). Этой информации достаточно, чтобы понять, были выданы деньги и сколько и автоматически сделать реверс. Но только после того, как придет следующий запрос, что для редко используемого банкомата может произойти нескоро.
Отменить банкоматную транзакцию можно, в случае, если, например, в процессе набора денег из кассет и транспортировке их к выдаче что-то произойдет с оборудованием. Банкомат известит об этом свой процессинг и будет сформирована отмена.
Но в данном случае очень странно, что выдача проходит на банкомате в одной стране, через какое-то время POS терминал (!) уже в другой стране формирует отмену на данную операцию и она проходит без вопросов. На мой взгляд, мало информации во всех статьях и заметках об этой «краже века». По идее, POS, с которого идет отмена, должен быть настроен именно на выдачу наличных. Такие терминалы стоят в отделениях банков. Как туда попали злоумышленники? Если же используют POS у коммерса, то как вообще операция ВЫДАЧИ, может быть отменена в ритейловом (торговом) POS? Все пишут, что POS заражен вирусом. А что этот вирус делал? Выдавал коммерсовский POS за POS в отделении? Подменял код страны в операции Отмена, чтобы не было вопросов? Почему анти-фрод системы, которые сейчас есть во многих банках, не реагировали на такие странности?..
В общем, по-моему, нужно больше информации. И, почти уверен, что далеко не любой процессинг был подвержен подобной болезни.
Но в данном случае очень странно, что выдача проходит на банкомате в одной стране, через какое-то время POS терминал (!) уже в другой стране формирует отмену на данную операцию и она проходит без вопросов. На мой взгляд, мало информации во всех статьях и заметках об этой «краже века». По идее, POS, с которого идет отмена, должен быть настроен именно на выдачу наличных. Такие терминалы стоят в отделениях банков. Как туда попали злоумышленники? Если же используют POS у коммерса, то как вообще операция ВЫДАЧИ, может быть отменена в ритейловом (торговом) POS? Все пишут, что POS заражен вирусом. А что этот вирус делал? Выдавал коммерсовский POS за POS в отделении? Подменял код страны в операции Отмена, чтобы не было вопросов? Почему анти-фрод системы, которые сейчас есть во многих банках, не реагировали на такие странности?..
В общем, по-моему, нужно больше информации. И, почти уверен, что далеко не любой процессинг был подвержен подобной болезни.
Del
Быстро, но 3 500 000 долларов кто-то сделал быстрее. Мелочь, но сколько конфет можно купить — страсть.
Я подозреваю у сбера это дневной, если не 2-3часовой оборот. А вот злоумышленники вкусно покушают да. Сделай себе сам оплату поиска уязвимостей.
Возможно, сценарий был такой: банки почти сразу (в конце банковского дня) увидели расхождение между суммой всех денег по операциям и фактическим оборотом, а потом начали реагировать ночью.
Честно говоря, не очень понял, почему «похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб.». Жертв и разрушений нету, исправление этой ошибки, если верить статье, весьма простое (не потребовались крупные траты на переразработку и перенакатку ПО), расследование… Ну блин, ну тоже не на 750 млн. же.
Или это как в этой истории — владельцы банков накинули сверху немного?)
Или это как в этой истории — владельцы банков накинули сверху немного?)
Может, моральный ущерб накинули? Ведь кому-то из акционеров наверняка стало морально плохо от вести об убытке в 250млн. Так плохо, что морально это эквивалентно 750млн.
ну например вычислили транзакций на 250млн — а сколько там на самом деле, поди знай.
Ну еще затраты на поиск уязвимости, анализ, нанять нормальных программистов, пофиксить, обновить все терминалы и другие расходы…
Да не, там что-то другое должно быть. Эти работы не могут стоить 750 000 000 рублей. Даже если вооружиться ручкой, бумажкой и посчитать всё по верхним (очень верхним) границам.
Эти затраты не должны входить в ущерб — т.к. скорее всего злоумышленники не создали баг, они его нашли и использовали.
Соответственно в уязвимой системе баг был и до них, и затраты по выявлению и фиксу бага лежат на разработчике системы.
Я не защищаю жуликов, однако при пентестах встречаются заказчики, которые реагируют на найденные баги неадекватно — они думают, что проблемы с уязвимостью и них не было до нахождения бага, соотвественно выявив баг пентестер создал заказчику проблему.
Соответственно в уязвимой системе баг был и до них, и затраты по выявлению и фиксу бага лежат на разработчике системы.
Я не защищаю жуликов, однако при пентестах встречаются заказчики, которые реагируют на найденные баги неадекватно — они думают, что проблемы с уязвимостью и них не было до нахождения бага, соотвественно выявив баг пентестер создал заказчику проблему.
Нормальных — нельзя. А то вдруг они напишут/поправят систему так, что окажется что половина обслуживающего персонала (отчёты там, ручная обработка файлов и т.п.) не нужна! А у них дети, кредиты…
Разница между похищенным и потенциальным ущербом — оплата услуг GroupIB.
Я думаю, это значит «мы долго читали логи, нашли левых транзакций на 250 млн, а еще на 750 млн — не нашли, но боимся, что они были совершены»,
Интересно, почему когда я возвращаю товар, то деньги приходят через несколько дней, а этим преступникам они приходят мгновенно?
Потому что в тексте неточность. Происходил не возврат товара, происходила отмена операции (реверс), а она, как правило, выполнятся мгновенно. Сценарии по легальному реверсу примерно такие:
1. Банкомат послал запрос на снятие наличных, получил добро (банк списал деньги со счета), начал отсчитывать купюры, тут его заело, на экране вылезла ошибка «Извините,мне плохо произошла ошибка оборудования, попробуйте еще раз», банкомат послал реверс, банк вернул деньги на счет. У меня было что-то подобное в сбере — на телефон падали две смс-ки, первая о снятии денег, вторая об отмене операции (реверсе).
2. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.
1. Банкомат послал запрос на снятие наличных, получил добро (банк списал деньги со счета), начал отсчитывать купюры, тут его заело, на экране вылезла ошибка «Извините,
2. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.
2. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.
В китайской гостинице отменяли предоплату номера, проведенную картой Visa — сама отмена отразилась на счету почти через месяц(!!!!), хотя разница по времени между предоплатой и реверсом составляла 2 дня.
Чуть-чуть дополню. В конце суток проходит что-то типа опер дня и закрываются все операции. При снятии денег с карты или оплатой товара картой, деньги не списываются со счета, а блокируются банком. В случае с покупкой товара картой без ввода пин-кода, средства блокируются до момента подтверждения покупки магазином, как правило это 2-3 суток. В случае с вводом пин-кода деньги блокируются ровно до момента проведения опер дня.
Если успеть сделать возврат операции, то деньги возвращаются на счет автоматом. Банк ничего списать со счета не успел, а значит и зачислять ничего не надо. А вот если же возвращать деньги на следующие сутки, то тут уже идут обычные банковские операции на снятие и зачисление денежных средств.
В случае с магазинами, кассиры сами закрывают день на терминале. Если успеть сделать возврат покупки до этого момента (конца рабочего дня) то деньги должны прийти сразу же.
Если успеть сделать возврат операции, то деньги возвращаются на счет автоматом. Банк ничего списать со счета не успел, а значит и зачислять ничего не надо. А вот если же возвращать деньги на следующие сутки, то тут уже идут обычные банковские операции на снятие и зачисление денежных средств.
В случае с магазинами, кассиры сами закрывают день на терминале. Если успеть сделать возврат покупки до этого момента (конца рабочего дня) то деньги должны прийти сразу же.
Не знаю, но предполагаю — при снятии в банкомате банка не эмитента я вижу не списание денег, а блокировку. По окончании опердня бабло списывается. При этом может происходят взаиморасчеты, кто в итоге кому сколько бабла должен. При этом существует стандартная операция отмены блокировки. Из какой системы пришел механизм не знаю, но на визе при возврате денег один интернет магазин мне возвращал в течение пяти минут (и в это время скорее всего вошло время человеческого запуска операции). Парни автоматизировали операцию и рубанули профит.
Поидее, банки могут отбросив моральные принципы и совесть затребовать деньги с владельцев похаченных терминалов, с которых возвраты шли. При условии реальности терминалов и контор, владеющих этими терминалами.
А вообще тут поработал инженер, который работал с протоколом. Думаю в РФ таких не больше 15 — 20. Поскребут и найдут.
Поидее, банки могут отбросив моральные принципы и совесть затребовать деньги с владельцев похаченных терминалов, с которых возвраты шли. При условии реальности терминалов и контор, владеющих этими терминалами.
А вообще тут поработал инженер, который работал с протоколом. Думаю в РФ таких не больше 15 — 20. Поскребут и найдут.
Вряд ли он еще в России)
В России находятся 2 компании из крупнейших разработчиков ПО для процессинга (OpenWay, BPC), ещё есть компании, которые разрабатывают POS-терминалы (Inpas), ещё есть в банках персонал, работающий с процессингом. Так что людей, знающих протоколы платежных систем, гораздо больше 20.
Есть три типа операций по возврату: Reversal (та, что в статье, предусмотрена для возврата средств на карту в случае, если, например, диспенсер в АТМ по каким-то причинам не смог отдать валюту), Unhold (разморозка средств на счету для транзакций с предавторизацией, обычно применяется в интернет-магазинах в ситуациях, когда, например, клиент ввел реквизиты карты при оплате товаров, а потом ему позвонил менеджер из магазина, и клиент отказался от части товаров) и Refund (полноценная транзакция по возврату денег на счет клиента после того, как они уже были списаны с него).
Reversal — выполняется в онлайне, остальные две — в офлайне.
Reversal — выполняется в онлайне, остальные две — в офлайне.
Сказано же: «они нашли уязвимость»!
Про возврат товара мне в «Юлмарте» объясняли, что якобы если вернуть товар сразу после покупки, или, по крайней мере, в те же сутки, что и была покупка, то они могут сделать отмену транзакции и деньги вернутся в тот же день. У меня это получилось один раз из двух. Наверное, сутки должны быть по Гринвичу…
UFO just landed and posted this here
То, что в СМС пишут, не всегда реально коррелирует с типом транзакции. Ну то есть коррелирует, но шаблон для текста может не отражать всю реальную суть транзакции. Это на усмотрение банка.
Все чеки по таким операциям нужно брать. В том числе по возвратам потому как СМС это вообще не документ.
Я бы добавил, что все чеки по всем операциям надо брать. Так, на всякий случай)
Мне терминал ругнулся что нет связи, но чека не напечатал (может и нечем ему было печатать, т.к. потом выяснилось что он у них глючный уже давно). Потом принесли другой терминал, там всё прошло. И сразу пришли обе смски о списании. Банк сказал что если за сутки отмены не будет, то или сразу к ним или в ресторан на разборки, но лучше сначала им позвонить и они скажут как поступить. Отмена операции произошла только ночью.
Когда вы что-либо оплачиваете, мерчант (продавец), может сделать либо авторизацию (authorization) платежа, а затем, когда нужно — списание (capture), либо сразу покупку (purchase), которая является одновременно авторизацией платежа и списанием в одном флаконе.
Авторизация — это блокировка денежных средств. В выписке такие операции отмечена как hold. Авторизация — «дешёвая» операция, деньги просто блокируются, но никаких движений с ними не происходит. Соответственно, отмена авторизации (unhold или void authorization) происходит мгновенно — банк просто деньги разблокирует и всё. Схему авторизация -> списание, используют в случаях, когда которых сумма может измениться, например в интернет-магазинах: вы заказали на 1000 рублей (произошла авторизация — блокировка денег), а товаров у них только на 600 — вы либо отменяете весь заказ, либо соглашаетесь на часть — 400 вам отменяют, а 600 — списывают.
Списание денег — это уже реальное движение средств из банка продавцу. Здесь время исчисляется днями — обычно делается в эти же сутки, но может и затянуться. Прям как обновление DNS :) Покупку (авторизация + списание) делают в случаях, когда точно уверены в конечной сумме, например оплата услуг. Ну и в реализации с точки зрения программинга оно чуть проще, чем auth -> capture.
Возврат денег (refund) после списания аналогичен самому списанию — затратен по времени. Плюс могут проходить дополнительные проверки на движение средств — вплоть до ручных.
Таким образом, описанный вами случай — это списание и возврат, что всегда не быстро.
Авторизация — это блокировка денежных средств. В выписке такие операции отмечена как hold. Авторизация — «дешёвая» операция, деньги просто блокируются, но никаких движений с ними не происходит. Соответственно, отмена авторизации (unhold или void authorization) происходит мгновенно — банк просто деньги разблокирует и всё. Схему авторизация -> списание, используют в случаях, когда которых сумма может измениться, например в интернет-магазинах: вы заказали на 1000 рублей (произошла авторизация — блокировка денег), а товаров у них только на 600 — вы либо отменяете весь заказ, либо соглашаетесь на часть — 400 вам отменяют, а 600 — списывают.
Списание денег — это уже реальное движение средств из банка продавцу. Здесь время исчисляется днями — обычно делается в эти же сутки, но может и затянуться. Прям как обновление DNS :) Покупку (авторизация + списание) делают в случаях, когда точно уверены в конечной сумме, например оплата услуг. Ну и в реализации с точки зрения программинга оно чуть проще, чем auth -> capture.
Возврат денег (refund) после списания аналогичен самому списанию — затратен по времени. Плюс могут проходить дополнительные проверки на движение средств — вплоть до ручных.
Таким образом, описанный вами случай — это списание и возврат, что всегда не быстро.
Я может глупость спрошу… Но «В описанной схеме преступник получал неименную платёжную карту»…
А как вообще можно получить такую карту в банке РФ??? Вроде сейчас даже и Вебмани и ЯД карты дают только «верифицированным аккаунтам», а уж в банках то всегда паспорт требуют…
Или я что-то не знаю?
А как вообще можно получить такую карту в банке РФ??? Вроде сейчас даже и Вебмани и ЯД карты дают только «верифицированным аккаунтам», а уж в банках то всегда паспорт требуют…
Или я что-то не знаю?
загуглите «unembossed» — такие карты очень широко используются. это самые простые и дешевые карты, которые можно сразу выдать клиенту, т.к. не надо ждать выпуска. другое дело, что для их оформления действительно требуется паспорт, но видимо этот вопрос тоже как-то решили.
Не совсем, «unembossed» — это без нанесения на карту имени и фамилии методом «выдавливаниея». Карта может быть неэмбоссированной, но с указанными на ней именем и фамилилей (ФИО будут просто напечатаны, а не выдавлены). Вы, наверное, имели в виду «карты мгновенного выпуска» — неперсонифицированные.
Однако тут идёт речь о полностью неперсонифицированных картах — это предоплаченные или подарочные карты, пополняемые и не пополняемые. Кажется, та же Кукуруза, плюс «Вишня» от Банка Русский Стандарт. Однако нужно смотреть детальнее, так как по некоторым таким картам как закрыта возможность совершать операции зарубежом, так и закрыта возможность снимать наличные в банкоматах вообще или без идентификации:
Однако тут идёт речь о полностью неперсонифицированных картах — это предоплаченные или подарочные карты, пополняемые и не пополняемые. Кажется, та же Кукуруза, плюс «Вишня» от Банка Русский Стандарт. Однако нужно смотреть детальнее, так как по некоторым таким картам как закрыта возможность совершать операции зарубежом, так и закрыта возможность снимать наличные в банкоматах вообще или без идентификации:
Чтобы иметь возможность снимать с карты наличные и расплачиваться ей за рубежом, необходимо обратиться в Офис Банка, предъявить паспорт гражданина РФ и получить ПИН-код.
На дропа или вне РФ
Скорее всего это что-то типа Евросетевой Кукурузы или от Связного.
Или я что-то не знаю?
В Украине, к примеру, платежную карту MasterCard можно купить в любом магазине абсолютно анонимно. Стоит 30 грн. Выпускает Фидобанк. Только вот там лимиты…
«Штука» от Фидобанка стоит 40 грн (39, если быть точным), а ещё есть Банк Михайловский, который выпускает аналогичную карту «Электронный кошелёк», на данный момент это 49 грн.
И да, лимиты у нас регламентированы НБУ — 500 грн. в день снятия наличных + карты действуют только на территории Украины.
И да, лимиты у нас регламентированы НБУ — 500 грн. в день снятия наличных + карты действуют только на территории Украины.
Если я все правильно понял, лимиты в данном случае роли не играют.
Операций-то не было, они были все отменены )
Операций-то не было, они были все отменены )
В банке паспорт со всей строгостью проверяют на подлинность?
Вовсе не глупость.
Неплохо. Есть нюансы. Карта видимо неименная и неперсонифицированная, попросту говоря гифта. Иначе поименованный и с документами держатель карты берется за яйки на раз-два. А много ли вы знаете гифт, по которым разрешено снятие наличных? Я вот так сразу вспомнил только один единственный банк С такой возможностью. Но там, вот незадача-то, лимит на кеш 5000 в сутки. Один раз снял. Ревертнул. А дальше что? лИмит-то исчерпан на сегодня.
Хотя, если честно, не проверял их реверсалами ;) Может лимит и восстанавливается ;)
Стянули годовую зарплату банкира, а те сверху еще 750 накинули. Кто в плюсе? :)
UPDATE, появилась некоторая дополнительная информация на Forbes.com:
— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);
— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;
— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средства из банкомата, тем самым позволяя преступникам продолжать их мошенничество;
— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;
— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество. Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB. «Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»
— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);
— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;
— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средства из банкомата, тем самым позволяя преступникам продолжать их мошенничество;
— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;
— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество. Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB. «Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»
делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата»Если речь про card2card, то разве такие переводы не являются безотзывными? Или возвратная операция может быть оформлена и на деталях той, что является невозвратной, по этой части тоже проверок нет или их обошли?
Sign up to leave a comment.
Хакеры изобрели новую схему воровства денег, украв 250 млн. рублей