Преступники похищают средства из POS-терминалов по новой схеме


Group-IBИсследователями из Group-IB был выявлен новый вид мошенничества, с помощью которого злоумышленники на протяжении 2015 года похищали деньги с банковских счетов. Поскольку преступники использовали банкоматы, то специалисты назвали схему "АТМ-реверс", или "обратный реверс".

Мошенник получал в банке неименную карту. Через банкомат вносил на нее от 5 тыс. до 30 тыс. руб., после чего в том же банкомате их снимал и получал чек о проведенной операции. Затем преступник отправлял чек своему сообщнику, который имел удаленный доступ к инфицированным вредоносным ПО POS-терминалам. При этом подельник чаще всего находился за пределами России.

Через терминалы по коду операции, указанной в чеке, сообщник формировал команду на отмену операции по снятию наличных (на терминале это выглядело, как возврат товара). В результате отмены операции баланс карты восстанавливался мгновенно, и у злоумышленника оказывались на руках выданные наличные и прежний баланс карты. Такие действия проводились до тех пор, пока в банкоматах не заканчивались деньги.

В результате этих действий пострадали пять крупных банков РФ. Преступниками в общей сложности было похищено 250 млн. руб., однако потенциальный ущерб оценивается в 1,12 млрд. руб. Чтобы предотвратить последующие попытки хищений банкам пришлось внедрять защитные инструменты совместно с платежными системами Visa и MasterCard.

В банках отмечают, что в описанной схеме, скорее всего, злоумышленники эксплуатировали уязвимость в карточном процессинговом центре банка-эмитента, который при операции отмены проверял не все данные. Используя дополнительную проверку можно было бы обнаружить, что деньги выдаются в одной стране, а операция отменяется в другой. Скорее всего, преступники обнаружили эту уязвимость, и воспользоваться ею.


Обновлено (19.11.2015 12:36)