Group-IB выявила новый вид мошенничества, с помощью которого преступники похищали деньги с банковских счетов.

UPDATE от 24.11.2015 — появилась некоторая дополнительная информация на Forbes.com

Для совершения основных действий злоумышленники использовали банкоматы, поэтому эта схема получила название «АТМ-реверс», или «обратный реверс». В описанной схеме преступник получал неименную платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек о проведенной операции.

Интересуюсь платёжными сервисами, банками, пластиковыми картами, да и вообще слежу за электронной коммерцией. А ещё я люблю находить ошибки и уязвимости в системах интернет-банкингов, платёжных терминалов или в системах онлайн-переводов.

Не так давно один украинский сервис онлайн-оплаты — Plategka.com — запустил функцию: создание ссылки с уникальным адресом и QR-кодом для получения перевода на карту.

Как только я захотел проверить, как работает новый сервис, я увидел ту же ошибку, которую допустили Portmone: по ссылке указывается полный номер карты. Перебирая ссылки, можно собрать номера карт. "Изначально мы думали над сокрытием номера карты, но в этом вопросе есть свои за и против, поэтому на первом этапе, дабы у Плательщика была возможность убедиться в верности уже введенных данных, решили его оставить", — пишут они пользователю.

Идентичная проблема подбора ссылки, описанная тут "Утечка пользовательских данных в QIWI" в июле и тут "Тинькофф банк скомпрометировал выписки по счетам клиентов?" в августе, была найдена мной у украинских компаний Portmone.com и «Фидобанк» ещё раньше.
Сразу скажу, что эти проблемы уже закрыты. Однако есть другие. Я напишу и о тех, и о других.

Не так давно я попробовал воспользоваться платёжным терминалом одного украинского банка.
Всего лишь 5 безобидных нажатий на сенсорный экран открыли мне доступ к Windows Explorer этого терминала.