В мае мошенники похитили девять миллионов рублей, воспользовавшись ошибкой в настройках банкоматов банка «Москва-сити». Они использовали сервис переводов Mastercard — MoneySend, пишут «Ведомости» со ссылкой на решение Арбитражного суда Москвы по иску банка.
Мошенники использовали банкоматы на Киевском, Ярославском, Казанском, Ленинградском и Павелецком вокзалах. Они выбирали операцию по переводу денег с карты Сбербанка на карту «Тинькофф банка» через MoneySend. В последний момент они не подтверждали или отменяли операцию. Как установил суд, несмотря на отмену операции, деньги восстанавливались на счете в Сбербанке и зачислялись на счет в «Тинькофф банке».
Ошибка в настройках банкомата сводилась к тому, что банк-владелец банкомата считал, что операцию все еще можно отменить, а банк получателя — что перевод уже отозвать нельзя, объяснил «Ведомостям» эксперт по информационной безопасности банков Николай Пятиизбянцев. По правилам Mastercard для операций MoneySend, банк получателя может не согласиться с отменой операции. Мошенникам нужно было знать, в каких банкоматах есть эта уязвимость, и подобрать банк получателя, который не разрешал проводить отмену операции.
Банк «Москва-сити» подал иск в арбитражный суд на девять миллионов рублей к АО «Компания объединенных кредитных карточек» (UCS) и Росбанку. UCS обрабатывает операции в банкоматах «Москва-сити», Росбанк оказывает истцу спонсорские услуги в платежных системах. Суд иск отклонил, так как не нашел доказательств, что «Москва-сити» понес ущерб из-за действий ответчиков. Суд также указал, что сотрудники банка участвовали в настройках сервиса MoneySend в собственных банкоматах. В банке же считают, что сотрудники UCS неправильно настроили процессинговый сценарий.
«Тинькофф банк» ориентировался на правила Mastercard, которая не разрешает отменить операцию без предварительного согласования с банком получателя, сказал представитель кредитной организации.
После кражи Mastercard рекомендовала всем банкам проверить настройки банкоматов и направлять запросы в банки после того, как клиент подтвердит проведение операции, рассказал Пятиизбянцев.