Как сообщили в компании Group-IB, мошенникам, применившим новую схему кибератаки на банкоматы, удалось завладеть суммой в размере 250 млн рублей. При этом, как считают криминалисты, потенциальный ущерб значительно больше, и оценивается в 1,12 млрд рублей. А в основе аферы лежит стандартная функция банкомата «ATM-реверс», используемая в ряде случаев для возврата клиенту списанных с его счёта денег. Злоумышленники действовали по достаточно простому сценарию. Один из них оформлял в банке неименную карту, а затем пополнял ее через выбранный банкомат-мишень на сумму от 5 000 до 30 000 рублей. Подтверждающий операцию чек банкомата фотографировался и через интернет поступал к сообщнику, который с помощью внедренного ранее в сеть вредоноса удаленно контролировал находящийся за пределами России POS-терминал. По указанному в чеке коду операции хакер оперативно формировал команду отмены транзакции по приему банкоматом наличных, предписывая полный возврат денег клиенту.
Таким образом, баланс у вставленной в банкомат карты восстанавливался, а наличные оставались в кармане мошенника. Многократное повторение операции «внесения – снятия» с постоянным требованием по сети обеспечить возврат внесенных средств зачастую приводило к полному опустошению изъятию из банкомата наличных. Но для продолжения «экспроприации» по той же схеме можно было выбирать любой банкомат. Комментируя инцидент, представитель одного крупного банка пояснил: «Описанная схема, скорее всего, использовала уязвимость в карточном процессинговом центре банка-эмитента, который при операции отмены проверял не все данные.
Дополнительная проверка могла бы обнаружить, что деньги выдаются в одной стране, а операция отменяется в другой. Преступники могли обнаружить эту уязвимость и воспользоваться ею». Однако, как полагают ИБ-эксперты, пострадавшие банки, вероятней всего, просто не соблюдали установленный регламент. Руководитель лаборатории компьютерной криминалистики компании Group-IB Валерий Баулин обозначил суть проблемы так: «Мы стараемся, чтобы клиенту было удобно, чтобы быстрее проходили транзакции, чтобы взаиморасчёты между участниками проводились тоже быстро и корректно. Для упрощения некоторые поля просто не проверялись. Это и позволило провести операции отмены и возобновления баланса на карте».
Обобщая результаты расследования, ИБ-эксперт и разработчик ИБ-решений для смарт-карт Максим Эмм отметил: «На самом деле, теряли деньги не клиенты, терял банк, поэтому, в общем-то, достаточно быстро с этим банки разберутся. Те злоумышленники очень детально себе представляли правила работы платёжной системы, правила формирования транзакции, как списания, так и пополнения, и отмены этого списания. И, скорее всего, детально понимали, как работают процессинги в банках. Возможно, кто-то из злоумышленников раньше работал в компании, которая разрабатывает процессинги, либо в банке».
При этом он выразил надежду, что большинство банков учтет информацию об этом мошенничестве, и проведет проверку ИБ банкоматов, а это значит, что «в будущем такие проблемы с нашими банками будут исключены». Хотя расследование этого громкого дела пока не привело к поимке злоумышленников, однако при участии платежных систем Visa и MasterCard безопасники разработали и внедрили дополнительные механизмы защиты и контроля пользовательских операций банкоматов и выражают уверенность, что такое преступление больше невозможно.
.jpg)