Твитнуть
В деле о хищении у банка «Кузнецкий» 470 млн рублей Арбитражный суд Москвы признал виновной процессинговую компанию UCS, взыскав с нее эту сумму. Суд счел, что мошенники похитили деньги потому, что компания не выполнила правила договора, пишут «Ведомости» со ссылкой на материалы картотеки арбитражных дел.
В августе 2015 года мошенники, используя платежные карты MasterCard, выпущенные банком «Кузнецкий», сняли из банкоматов других банков 470 млн рублей. Мошенники использовали платежную систему ОРС, в которую тогда входило более 200 банков и которая позволяла снимать наличные по картам международных платежных систем по более низким ставкам. UCS же является операционным и платежным клиринговым центром ОРС.
Это типичный случай мошеннической атаки «отмена трансакции», рассказывает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. По его словам, схема атаки очень проста: мошенник, используя карту банка-эмитента, снимает наличные в банкомате — эти деньги принадлежат банку, обслуживающему банкомат (эквайеру). Сразу после этого, продолжает Кузнецов, сообщник мошенника направляет в платежную систему требование об отмене операции. «Из-за отмены операции сумма на карточном счете не изменяется, так что мошенники могут повторять эту двухходовку снова и снова, пока не надоест», — говорит он. При этом у эмитента возникнет долг перед эквайером на сумму, равную сумме снятой наличности.
Суд указал, что трансакции в платежной системе ОРС осуществляются в соответствии с правилами MasterCard, а согласно им право на отмену операции в режиме реального времени имеет только банк-эквайер (т. е. владелец банкомата), а банк-эмитент (в данном случае — «Кузнецкий») мог отменить операцию только по истечении семи календарных дней, но ответчик UCS, несмотря на это, провел операцию отмены от имени «Кузнецкого». Суд также указывает, что ОРС, в которую входил «Кузнецкий», направила незадолго до атаки на него уведомление UCS, что расходный лимит для банка составляет 3,4 млн рублей (та сумма, которой банк был готов рискнуть в случае массового проведения операций).
Когда мошенники сняли первую сотню тысяч рублей, остаток, имеющийся на корсчете эмитента, уменьшился на эту сумму, а после отмены операции восстановился, хотя у эмитента возникла фактическая задолженность перед эквайером на сотню тысяч, говорит эксперт по информационной безопасности. С каждой следующей мошеннической операцией остаток на корреспондентском счете то уменьшался, то восстанавливался, объясняет он. С точки зрения UCS то же самое происходило с расходным лимитом, в то время как на самом деле задолженность эмитента постоянно росла и могла расти неограниченно, считает он. Ответчик «не обеспечил должного контроля за расходными лимитами», резюмирует суд.
Обычно мошенники делают по 5−10 подходов к банкомату, каждый раз снимая максимально возможную сумму (200 тыс. рублей, 40 купюр номиналом 5 тыс. рублей — больше просто не помещается в диспенсер банкомата), рассказывает Кузнецов. По его мнению, особенность данного случая в том, что за сутки было сделано более 3 тыс. таких операций, а общая сумма достигла почти 470 млн рублей. Судя по сумме и количеству операций, продолжает он, мошенникам пришлось за короткий срок опустошить более 200 банкоматов, принадлежащих разным банкам. Это тоже типичный способ вывода средств, когда к мошеннической операции привлекается большое количество рядовых исполнителей (так называемые дропы), указывает он. И добавляет, что вручную выполнить такое количество операций отмены платежа невозможно даже физически, так что можно уверенно утверждать, что действовал не сотрудник, а хакеры, которые предварительно получили доступ к инфраструктуре банка.
С решением суда ОРС полностью согласна, говорит ее представитель: «Поскольку именно неправомерные действия UCS привели к возникновению такого значительного ущерба». В случае обжалования решения суда первой инстанции ОРС готова и далее защищать и аргументировать в суде свою позицию, предупредил он.
В августе 2015 года мошенники, используя платежные карты MasterCard, выпущенные банком «Кузнецкий», сняли из банкоматов других банков 470 млн рублей. Мошенники использовали платежную систему ОРС, в которую тогда входило более 200 банков и которая позволяла снимать наличные по картам международных платежных систем по более низким ставкам. UCS же является операционным и платежным клиринговым центром ОРС.
Это типичный случай мошеннической атаки «отмена трансакции», рассказывает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. По его словам, схема атаки очень проста: мошенник, используя карту банка-эмитента, снимает наличные в банкомате — эти деньги принадлежат банку, обслуживающему банкомат (эквайеру). Сразу после этого, продолжает Кузнецов, сообщник мошенника направляет в платежную систему требование об отмене операции. «Из-за отмены операции сумма на карточном счете не изменяется, так что мошенники могут повторять эту двухходовку снова и снова, пока не надоест», — говорит он. При этом у эмитента возникнет долг перед эквайером на сумму, равную сумме снятой наличности.
Суд указал, что трансакции в платежной системе ОРС осуществляются в соответствии с правилами MasterCard, а согласно им право на отмену операции в режиме реального времени имеет только банк-эквайер (т. е. владелец банкомата), а банк-эмитент (в данном случае — «Кузнецкий») мог отменить операцию только по истечении семи календарных дней, но ответчик UCS, несмотря на это, провел операцию отмены от имени «Кузнецкого». Суд также указывает, что ОРС, в которую входил «Кузнецкий», направила незадолго до атаки на него уведомление UCS, что расходный лимит для банка составляет 3,4 млн рублей (та сумма, которой банк был готов рискнуть в случае массового проведения операций).
Когда мошенники сняли первую сотню тысяч рублей, остаток, имеющийся на корсчете эмитента, уменьшился на эту сумму, а после отмены операции восстановился, хотя у эмитента возникла фактическая задолженность перед эквайером на сотню тысяч, говорит эксперт по информационной безопасности. С каждой следующей мошеннической операцией остаток на корреспондентском счете то уменьшался, то восстанавливался, объясняет он. С точки зрения UCS то же самое происходило с расходным лимитом, в то время как на самом деле задолженность эмитента постоянно росла и могла расти неограниченно, считает он. Ответчик «не обеспечил должного контроля за расходными лимитами», резюмирует суд.
Обычно мошенники делают по 5−10 подходов к банкомату, каждый раз снимая максимально возможную сумму (200 тыс. рублей, 40 купюр номиналом 5 тыс. рублей — больше просто не помещается в диспенсер банкомата), рассказывает Кузнецов. По его мнению, особенность данного случая в том, что за сутки было сделано более 3 тыс. таких операций, а общая сумма достигла почти 470 млн рублей. Судя по сумме и количеству операций, продолжает он, мошенникам пришлось за короткий срок опустошить более 200 банкоматов, принадлежащих разным банкам. Это тоже типичный способ вывода средств, когда к мошеннической операции привлекается большое количество рядовых исполнителей (так называемые дропы), указывает он. И добавляет, что вручную выполнить такое количество операций отмены платежа невозможно даже физически, так что можно уверенно утверждать, что действовал не сотрудник, а хакеры, которые предварительно получили доступ к инфраструктуре банка.
С решением суда ОРС полностью согласна, говорит ее представитель: «Поскольку именно неправомерные действия UCS привели к возникновению такого значительного ущерба». В случае обжалования решения суда первой инстанции ОРС готова и далее защищать и аргументировать в суде свою позицию, предупредил он.
Комментарий