Очередное крупное мошенничество с использованием платежных карт

    В статье ноября 2015-го была описана ситуация с относительно новым видом мошенничества, с помощью которого преступники похищали деньги с банковских счетов: Хакеры изобрели новую схему воровства денег, украв 250 млн. рублей. Как именно происходило мошенничество, кратко:

    Преступник получал платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек. Далее данные о транзакциях отправлялись сообщнику, который имел доступ к зараженным POS-терминалам. Через терминалы, по коду операции, формировалась отмена снятия наличных. В результате баланс карты мгновенно восстанавливался и у злоумышленника появлялись «отменённые» деньги на счету. Преступники повторяли эти действия многократно, пока в банкоматах не заканчивалась наличка, модифицируя свою схему после исправления банками ошибки. Тогда было открыто несколько судебных дел в отношении виновных, «денежные мулы» были из Лондона, Украины, Латвии и Литвы.

    Однако сейчас появилась новость об очень похожей ситуации, включающая и названия пострадавших компаний. Сумма ущерба на этот раз почти в два раза больше — около полумиллиарда рублей.

    image


    ПАО «Банк «Кузнецкий»
    ПАО «Банк «Кузнецкий» — небольшой по размеру активов региональный банк, единственная кредитная организация, зарегистрированная в Пензенской области. Ключевые направления деятельности — обслуживание и кредитование корпоративных клиентов, привлечение средств населения во вклады и кредитование частных лиц. Основной источник финансирования деятельности банка — вклады физических лиц (55,7%). Сеть банка представлена головным офисом в Пензе, 20 дополнительными офисами, четырьмя операционными кассами вне кассового узла и тремя операционными офисами. Вся сеть банка, кроме двух операционных офисов в Самаре и Республике Чувашия, расположена и действует в Пензенской области. Численность персонала банка на 1 апреля 2016 года составляла 350 человек. Сеть собственных устройств насчитывает 45 банкоматов и 114 терминалов. Информация с Banki.ru.


    В августе 2015-го мошенники или их сообщники, используя карты MasterCard, которые были выпущены банком «Кузнецкий», сняли из банкоматов других банков 470 млн руб. Мошенники использовали платежную систему ОРС, в которую тогда входило более 200 банков и которая позволяла снимать наличные по более низким тарифам. UCS же является операционным и платежным клиринговым центром ОРС.

    Обычно мошенники делают по 5-10 подходов к банкомату, каждый раз снимая максимально возможную сумму (200 000 руб., 40 купюр номиналом 5000 руб.). Особенность данного случая в том, что за сутки было сделано более 3 000 таких операций, а общая сумма достигла почти 470 млн руб. Судя по сумме и количеству операций, мошенникам пришлось за короткий срок опустошить более 200 банкоматов, принадлежащих разным банкам. Вручную выполнить такое количество операций отмены платежа невозможно даже физически, так что можно уверенно утверждать, что действовал не сотрудник, а хакеры, которые предварительно получили доступ к инфраструктуре банка.

    Ситуация очень похожа с описанной ранее, это атака «отмена транзакции»: мошенник, используя карту банка-эмитента, снимает наличные в банкомате. Сразу после этого сообщник мошенника направляет в платежную систему требование об отмене операции. «Из-за отмены операции сумма на карточном счете не изменяется, так что мошенники могут повторять эту двухходовку снова и снова, пока не надоест», – говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов – При этом у эмитента возникнет долг перед эквайером на сумму, равную сумме снятой наличности».

    Когда мошенники сняли первую сотню тысяч рублей, остаток, имеющийся на корсчете эмитента, уменьшился на эту сумму, а после отмены операции восстановился, хотя у эмитента возникла фактическая задолженность перед эквайером на сотню тысяч. С каждой следующей мошеннической операцией остаток на корреспондентском счете то уменьшался, то восстанавливался.

    Суд указал, что транзакции в платежной системе ОРС осуществляются в соответствии с правилами MasterCard, а, согласно им, право на отмену операции в режиме реального времени имеет только банк-эквайер (т. е. владелец банкомата), а банк-эмитент (в нашем случае «Кузнецкий») мог отменить операцию только по истечении семи календарных дней. Но ответчик UCS, несмотря на это, провел операцию отмены от имени «Кузнецкого».

    «По нашим сведениям, по возбужденным уголовным делам проводятся следственные действия, которые еще не завершены», – говорит представитель НКО «ОРС».
    По неподтверждённой информации, первые задержания по этому делу прошли еще осенью.

    Из материалов следует, что ОРС сразу после инцидента заплатила банкам, из чьих банкоматов украли деньги, 470 млн руб., а иск к UCS был подан 2 ноября 2015 г. По словам человека, близкого к одной из сторон, «Кузнецкий» не мог компенсировать банкам ущерб, поскольку у него не было таких средств, для ОРС это был больше вопрос репутации.

    Компенсировать причиненный вред должен преступник. Если хакеров не поймают, то компенсировать вред некому. Если их поймают, то таких денег у них все равно уже нет, — рассуждает Дмитрий Кузнецов — Ущерб возмещает тот, кто по итогам судебных разбирательств оказался «сильнее неправ».

    Итого: суд Москвы взыскал с процессинговой компании UCS 470 млн руб., посчитав, что по её вине мошенники похитили у банка «Кузнецкий» данные средства, потому как UCS нарушила условия договора.

    По материалам Habrahabr, Ведомости.
    Поделиться публикацией

    Комментарии 23

      0
      Я так понимаю, что теперь в случае ошибки при выдаче наличных, придется ждать 7 календарных дней на отмену транзакции и возвращение денег на счет? Если процессинговые компании сделают для себя какой-то вывод…
        +1
        В случае ошибки при выдаче наличных банк может рассматривать заявление около 30 дней. Если бы только 7 дней)
          0
          Даже не так :) Банк в течение 30/60 дней будет писать вам ответ о ходе разбирательства (по 161-ФЗ) деньги будут (если будут) возвращены по мере оспаривания транзакции в платежной системе,
            0
            Хорошо, если банк сам будет писать) Чаще приходится самому звонить, спрашивать «как дела?» ) Да, срок, конечно, примерный.
              +2
              Если «сперли бабки» с карты надо делать так:
              1. В течение 23 часов 50 минут звонить в КЦ (контакт центр), при этом желательно разговор записать, предупредив об этом сотрудника КЦ и попросить его назвать дату и время звонка.
              2. В ходе разговора с КЦ детально описать суть оспариваемой транзакции.
              3. После разговора с КЦ написать письменное заявление обязательно указав, что вы хотите что бы Банк вернул вам денежные средства.
              4. Ждать ответа банка в течение 30 дней по Российским транзакциям и 60 по международным.
              5. Если Банк не ответил то обращаемся в ЦБ.
              6. Хуже не будет если написать заявление в полицию по факту кражи.
                0
                del
                  +2
                  Смысл?
                  Оператор по переводу денежных средств — Банк. И только Банк обязан вам вернуть баблос, все остальные участники процесса могут только поохать.

                  А вообще в случае беды — учить наизусть ст. 9 161-ФЗ
                    0
                    Да я когда написал, понял что был неправ.
          +1
          Русский стандарт мне пару лет при пополнении банкомата не зачислил 10т.р., после написания претензии и прошествии 30 дней ничего не изменилась, они не признают ошибку, а у меня никаких доказательств больше нет.
            –1
            Есть деньги чтоб пополнить дебетовую карту? Значит есть смартфон?
            Снимаем на видео (желательно — ещё начав подходить к банку) каждую засовываемую купюру.
            А вообще при большой сумме не ленитесь посидеть в очереди и пополнить счёт через кассира.
              0
              Да, все эти мысли приходят в голову уже после того как это произошло.
              Надо было хотя бы посветить каждой купюрой перед камерой банкоматом.
              А так получилось, что вставлял 11 пятитысячных купюр, в итоге одна выплюнулась, а засчитались только 8. Их СБ в логах якобы видила только 8 и одну неопознанную выплунутую.
              0
              В привате был подобный случай (правда с меньшей суммой и через терминал самообслуживания). Позвонил в контакт центр, назвал сумму, ФИО, телефон, время операции, номер терминала. Через мин 10 перезвонили и попросили номер карты куда перечислить, еще через 5 минут деньги были на карте.
              Все зависит от «совести» и политики банка. Видимо, Привату важнее удержать клиента чем потратить кучу своих ресурсов на выяснение обстоятельств чтоб «не остаться в дураках»
              0
              У меня было два подобных случая.
              В первом случае, банкомат выдал меньше денег. Деньги вернули в тотже день на счет.

              Во втором случае банкомат вообще не выдал деньги, я позвонил по телефону на банкомате, мне сказали, что всё норм, деньги щас вернуться, так как банкомат не завершил транзакцию. И действительно деньги вернулись в течении нескольких минут.
                0
                Это называется ведение банковских операций по-русски. В цивилизованных странах первое правило — это незамедлительно вернуть деньги клиенту, а потом уже разбираться. Там даже так, что ты просто можешь снять деньги в банкомате, позвонить, сказать, что тебе банкомат их не выдал и попросить вернуть и они сразу же зачислят. Конечно, в этом случае когда они выяснят, что ты обманом этого добился, то применят все соответствующие меры. Но факт остается фактом.

                На всех конференциях платежной системы VISA докладчики призывают именно так поступать в подобных ситуациях, но по всей видимости у российского банковского конгломерата иное видение дела и бизнеса.
                +2
                Интересно было бы узнать подробности этой операции — насколько большая была сеть преступников, как осуществлялась координация, каким образом отмывались деньги. Это же прям ограбление года, и нигде никаких подробностей.
                  +5
                  Все гениальное просто:
                  1. бабосы скомуниздить (это проклятые хакеры, конечно, кто же еще),
                  2. виноватыми назначить сферических хакеров (будем их искать, но разумеется, никогда не найдем),
                  3. сделать целеустремленное лицо.
                  Ваш Остап.
                    –2
                    Логи операций, в том числе в платежной системе, подделать даже ради профита в 450млн не получиться.
                    0
                    Ребят, объясните для ИТ-грамотных, но ничего не шарящих в банкинге: как можно отменить операцию, если она вообще неотменяемая? Выдача кэша — она физическая, значит если банкомат подтвердил банку «я высунул деньги в окошко и их взяли», какие могут быть отмены?
                      0

                      Очень даже отменяемая.
                      Во-первых, во многих банкоматах если не забрать деньги из лотка в течение определённого времени, он всосёт их обратно. И операция отменится.
                      Во-вторых, при выдаче может быть ошибка какая-нибудь в банкомате, и операция опять-таки откатится.

                        0
                        В условиях же ясно сказано: «тут же снимал внесённые деньги в банкомате», т.е. факт выдачи денег свершился. Каким магическим образом в банковском ПО существует возможность откатить выдачу наличных, когда сама операция уже помечена как успешная?? Вот что меня удивляет!
                      0
                      Там немного по другому процесс проходит — банкомат сначала проверяет наличие денег на счете клиента — в этот момент ты получаешь смс. Потом он проверяет наличие достаточной суммы для выдачи в кассетах, и если не хватает то отменяет списание.
                      Ну это так — доступным языком.
                        0
                        Отсюда мораль: нужно вовремя останавливаться.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое