Мошенники с помощью обнаруженной уязвимости смогли вывести со счетов россиян девять миллионов рублей. Об этом сообщает принадлежащая семье Демьяна Кудрявцева газета «Ведомости».
Все кражи произошли с 15 по 19 мая 2018 года. Мошенники использовали для этого банкоматы банка «Москва-Сити» на Киевском, Ярославском, Казанском, Ленинградском и Павелецком вокзалах. Они выбирали опцию перевода денег с карты на карту через сервис Mastercard — MoneySend и в последний момент отменяли операцию или не подтверждали ее. Несмотря на это, деньги все равно зачислялись на одни карты и восстанавливались на других. Во всех случаях деньги переводились с карт Сбербанка или банка «Тинькофф».
Уязвимость, обнаруженная мошенниками, заключалась в том, что кредитное учреждение, владеющее банкоматом, считало, что операцию по переводу средств еще можно отменить, а банк получателя считал, что отозвать ее уже нельзя. Затем мошенники отменяли операцию, сумма перевода восстанавливалась на карте отправителя, однако в этот же момент она поступала на карту получателя. Как пояснил эксперт по информационной безопасности банков Николай Пятиизбянцев, это оказалось возможным благодаря правилам Mastercard, согласно которым для операций MoneySend банк получателя может не согласиться с отменой операции.
В результате деньги по этим операциям были списаны со счета «Москва-Сити» по решению арбитражного комитета Mastercard. Банк «Москва-Сити» через суд потребовал с АО «Компания объединенных кредитных карточек» и Росбанка девять миллионов рублей. Первая компания работает под брендом UCS и обрабатывает операции в банкоматах кредитного учреждения, а вторая оказывает спонсорские услуги в платежных системах.