В Индии мошенники некоторое время могли снимать деньги из банкоматов банка SBI с помощью бага при отработке ошибки Timeout Error (клиент не забрал деньги из выдачи спустя выделенное время, система забирает их обратно). Причём они делали эти операции скрытно и без списывания со счетов клиентов, что позволило мошенникам использовать этот метод до тех пор, пока в ходе ревизии банка и последующего за ней расследования кражи денег не выявилась проблема в работе банкоматов.
Согласно пояснению банка, двое мошенников смогли в общем получить наличными 2,52 лакха рупий (252 тыс. рупий) из банкомата SBI. Они использовали несколько украденных или утерянных карт банкомата, чтобы неоднократно снимать деньги. Снятие денег проходило небольшими суммами и продолжалось в период с июня 2022 года по июль 2023 года.
После снятия наличных мошенники обычно оставляли одну купюру в отсеке выдачи наличных в банкомате. Это действие заставило банкомат зарегистрировать транзакцию как незавершённую. Вот только из-за этой ситуации в алгоритме работы банкомата возникала ошибка Timeout Error, система забирала деньги обратно, но не проверяла, что там есть все купюры. Поскольку банкомат помечал транзакцию как незавёршенную, то деньги не списывались с балансов владельцев счетов. Этот трюк гарантировал отсутствие жалоб со стороны клиентов, и мошенничество оставалось скрытым в течение нескольких месяцев.
Афера раскрылась, когда в банке обнаружили незначительные расхождения между общей суммой наличных, внесённых в банкоматы, и снятыми суммами. Первоначально банковский комитет финансовой организации расследовал нарушения, но не смог выявить проблему. При отсутствии зацепок или доказательств даже сотрудники банка попали под подозрение.
Прорыв в расследовании произошёл в тот момент, когда специалисты банка просматривали записи видеонаблюдения с банкоматов. Они обнаружили, что одни и те же лица часто посещали определённые банкоматы, используя различные украденные карты клиентов. На кадрах были запечатлены действия подозреваемых, включая оставление одной купюры в ячейке для приёма и выдачи денег. В SBI передали материалы по этому мошенничеству в полицию, где возбудили дело по разделам 406 (уголовное злоупотребление доверием) и 420 (мошенничество) Уголовного кодекса Индии. Полиция продолжает искать мошенников. Пока что никому обвинения по этому инциденту не предъявлены.
После этого случая в SBI усилили защиту банкоматов и переписали алгоритм работы системы для предотвращения подобных мошенничеств в будущем.