Тестировщик
25,6
рейтинг
18 ноября 2015 в 23:16

Разработка → Хакеры изобрели новую схему воровства денег, украв 250 млн. рублей

Group-IB выявила новый вид мошенничества, с помощью которого преступники похищали деньги с банковских счетов.

UPDATE от 24.11.2015появилась некоторая дополнительная информация на Forbes.com

Для совершения основных действий злоумышленники использовали банкоматы, поэтому эта схема получила название «АТМ-реверс», или «обратный реверс». В описанной схеме преступник получал неименную платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек о проведенной операции.

image

Далее данные о проведённых транзакциях отправлялись сообщнику (сообщникам), который имел доступ к зараженным вирусом POS-терминалам, которые зачастую находились вне России. Через терминалы, по коду операции, указанной в чеке, формировалась команда на отмену операции снятия наличных. В результате отмены операции баланс карты мгновенно восстанавливался (в процессинговой системе банка это выглядело аналогично возврату купленного товара) — и у злоумышленника появлялись «отменённые» деньги на счету. Преступники повторяли эти действия многократно, пока в банкоматах не заканчивалась наличка.

По словам Group-IB, в результате данных действий пострадали пять неназванных крупных российских банков. Всего преступники похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб. Предотвратить последующие попытки такого воровства банкам удалось лишь после разработки и внедрения совместно с платежными системами Visa и MasterCard защитных систем.

Наверняка среди мошенников был человек, знакомый с работой процессинга одного из пострадавших банков. По словам представителя одного из крупных банков, в описанной схеме злоумышленники использовали уязвимость в процессинговом центре банка-эмитента, который при операции отмены проверял не все данные. «Дополнительная проверка могла бы обнаружить, что деньги выдаются в одной стране, а операция отменяется в другой», — отметил эксперт.

Update:
Валерий Баулин, руководитель лаборатории компьютерной криминалистики Group-IB:
«Злоумышленники научились использовать некую, если можно так сказать, уязвимость, которая основывалась на особенностях взаимоотношений между банками-эмитентами и эквайерами, а также платёжными системами. Поэтому сказать точно, на чьей стороне была уязвимость, наверное, невозможно и неправильно было бы. Это было сделано для упрощения взаимоотношений, взаиморасчетов, ускорения проведения транзакций. Собственно, злоумышленники об этом знали, о каких-то таких упрощённых схемах проверки, и смогли это использовать».

Информация о том, какие именно банки пострадали, а также были ли задержаны преступники, в интересах следствия пока не раскрывается.

Максим Эмм, эксперт в области информационной безопасности и технологий:
«Речь идёт о том, что в любой платёжной системе, в том числе Visa и MasterCard, есть возможность как снять деньги, так и вернуть деньги. И в данном случае злоумышленники воспользовались тем, что для ряда банков можно было снять деньги в одном терминале, а транзакцию по возврату денег оформить с другого терминала. В данном случае, который контролировался злоумышленниками, в этом и была уязвимость. Найти эти транзакции было достаточно сложно, потому что никто не заявлял о потерях. То есть найти можно было, только сравнив дебет и кредит по счетам карточным, а транзакций очень много, пока там разобрались, наверное, вот и такое количество денег — 250 млн — утекло. Защита, в общем-то, от этой угрозы недорогая, это просто перенастройка правил в процессинге банка. Если информационная система такого рода эти правила поддерживает, а большинство процессингов их поддерживает, достаточно просто это настроить, и эта лазейка будет прикрыта, и все клиенты от такого рода проблемы будут избавлены. На самом деле, теряли деньги не клиенты, терял банк, поэтому, в общем-то, достаточно быстро с этим банки разберутся. Те злоумышленники очень детально себе представляли правила работы платёжной системы, правила формирования транзакции, как списания, так и пополнения, и отмены этого списания. И, скорее всего, детально понимали, как работают процессинги в банках. Возможно, кто-то из злоумышленников раньше работал в компании, которая разрабатывает процессинги, либо в банке. Поэтому это довольно изощренная атака, которую удалось достаточно быстро выявить. Я думаю, что большинство банков сейчас, исходя из этой информации, такого рода проверки введёт, и в будущем такие проблемы с нашими банками будут исключены».

По материалам РБК, Securitylab и BFM.RU.

UPDATE от 24.11.2015, появилась дополнительная информация на Forbes.com:

— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);

— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;

— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средств из банкомата, тем самым позволяя преступникам продолжать их мошенничество;

— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;

— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество.
Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB.
«Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»
@Gorodnya
карма
28,0
рейтинг 25,6
Тестировщик
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (94)

  • +15
    То есть система на сервере позволяет оформить платёж с одного терминала, а отменить его ЛЮБЫМ другим?
    Предполагается, что банк должен своими силами определять есть ли взаимосвязь между этими терминалами?
    Предполагается, что присутствия даже не в одном городе, а в одной стране достаточно чтобы такие действия прокатили?

    Я, конечно, слышал, что виза с мастеркардом дырявые как друшлак, но, блин…
    • +2
      Допустим в GSM можно заводить трафик от нужных абонентов на свой контроллер и отправлять запросы о местоположении чужих абонентов. Когда строили эти системы люди думали, что 2015 год это далёкое будущее ;-)
    • 0
      Система «на сервере» в этом деле не участвует, насколько я помню (конечно, со времен моей банковской молодости уже многое могло поменяться :-). Она просто перебрасывает запрос chargeback с терминала в процессинг банка-эквайра. А что с ним процессинг будет делать — это дело самого процессинга. Небольшие их вообще вручную обрабатывали (в смысле, живым человеческим трудом). В этом случае, видимо, была, так сказать, автоматика. Так что эта дыра не в самой платежной системе.
      • +4
        За такие «бабки» (0.1..2% от СУММЫ операции) платёжная система могла бы и позаботиться о безопасности своих клиентов (банков).
        • +1
          Ну а как она позаботится? Платежная система ведь не обладает информацией о том, что там за транзакция была, и можно ли/нельзя ли её отменять. Это банк должен решать. Вот он и решил. По-своему :)
          • +3
            Проблема в том, что транзакции снятия денег и reversal выполняются у эквайера, а эмитент только исполняет, что ему пришло от МПС. В результате он теряет деньги. И если у эквайера криво настроено сопоставление (например, позволяется посылка с POS-терминала reversal транзакции, выполненной на ATM), то имеем такую ситуацию.
          • +1
            Хм, в транзакции же есть кроме номера карты и суммы ID точки, где прошла транзакция. И если ID точки производящей возврат не равен ID точки, которая провела предыдущую транзакцию — «давать отлуп».
            • 0
              Матчинг люди настраивают, они могут ошибиться, а ответственные могут не проверить.
      • 0
        О, судя по всему, вы можете быть в курсе. Давно меня интересует вопрос.
        Почему почти любой POS-терминал умеет сказать «правильный PIN» сразу после ввода пина, а банкоматы обычно работают по схеме «Введите PIN — выберите операцию — введите сумму — хотите чек? — ой, а у вас PIN неправильный»?
        • +3
          Есть 2 варианта проверки PIN-а для EMV-чипа: офлайновый и онлайновый. На POS-терминалах до определенной суммы обычно (либо от настроек терминала) проверяют офлайновый пин. На транзакциях с ATM обычно настраивают сразу онлайновую проверку PIN-а.
          Кароч, всё зависит от того, что эмитент прошил в данные EMV-карты, настроек POS-терминала/ATM-терминала, настроек эквайера. И все это регулируется хотелками эквайера/эмитента в рамках правил и рекомендаций, навязанных сверху платежной системой.
    • +13
      Да больше удивляет, что можно отменить транзакцию выдачи денег в банкомате?
      • +1
        Если деньги «забыть» забрать, то банкомат их втянет назад и транзакция отменится.
        Не?
        • +3
          Нет. Транзакция не отменится, деньги отправятся в специальный ящичек (не везде), а вернуть их можно будет только по заявлению в банк, после зачастую ручной, сверки транзакций и реального баланса банкомата.
          • 0
            Нет. Это зависит от контроллера банкомата, но, как правило, автореверс будет сгенерирован в ту же минуту, что банкомат обнаружит забытые деньги, а не по заявлению.
            • +3
              Диспенсер выдал 10 купюр аккуратной стопочкой, злоумышленник тихонько вытягивает купюру из середины стопки, банкомат ждёт 45 секунд, сжирает назад стопку и отправляет ее в отстойник. Автореверс генерится в ту же минуту. Злоумышленник стал богаче на номинал купюры.
              • +1
                Вы думаете банкомат деньги считать не умеет?
                • +5
                  Хотел ответить на тот же коммент «Автореверс не пересчитывается?» и понял, что большинство банкоматов, которые не умеют принимать наличные, таки действительно не обязаны уметь считать наличку…
                • +1
                  Как правило, то, что кидает в диверт-кассету — не умеет. Но у банкомата есть камера, чековая лента, логи. Поэтому данная хитрая схема не слишком хитрая.
                • +1
                  Банкомат без функции приёма скорее всего не умеет отличать настоящие купюры от фальшивое в этом месте.
                  • +2
                    Да и с функцией приема не умеют, т.к. диспенсер и аксептор — разные устройства. Более того, у большинства банкоматов купюры на выдачу и принимаемые купюры никак не пересекаются (есть банкоматы с т.н. ресайклингом, когда принятые купюры могут выдаваться, но они пока довольно редко встречаются).
                    • 0
                      В России с ресайклингом точно нет на данный момент. Их использование какие-то ЦБ-шные инструкции нарушает, насколько я слышал.
                      • +1
                        Вот тут пишут, что уже есть. И ЦБ, дескать, одобрил.

                        http://www.banki.ru/wikibank/bankomat_s_funktsiey_kesh-resayklinga/
                        • +1
                          В Альфе таких банкоматов сейчас около 500, так что да, такие банкоматы есть и они используются.
                          • 0
                            Банкоматы принимающие деньги стоят существенно дороже чем обычные. С использованием внесённых денег ещё дороже. Вряд ли они станут массовыми.
                            • 0
                              Согласен, иногда даже дешевле поставить обычный банкомат для выдачи наличных + платёжный киоск для приёма, чем просто один банкомат с cash-in.
                            • 0
                              Банкоматы с ресайклером выгодны тогда, когда количество вносимых денег соразмерно количеству выдаваемых. При такой схеме увеличивается время работы устройства между инкассациями. А инкассация — это деньги.
                              Но в странах СНГ, практически везде еще жива традиция снимать нал по максимуму. Поэтому ресайклер будет, опустошен намного раньше, чем примет соразмерную сумму денег.
                • 0
                  В данном случае — не умеет
              • 0
                Во многих современных (и не очень) банкоматах на диспенсере стоит пъезодатчик, который регистрирует подобные вмешательства. Так что незаметно вынуть/подменить купюру не получится.
                • 0
                  Гм… можно модели устройств услышать? Пьезо-датчик, это, для меня что-то, новое. Есть датчик наличия\отсутствия купюр в отверстии выдачи. Но так потому и пишут, что не все купюры выдергивают злоумышленники.
      • +4
        Ну вот такой кейс: клиент хочет снять 3000 рублей, банкомат посылает фронту в банке данные, фронт считает (обычно он сам ведет учет купюр в кассете), что в ней купюр достаточно (а на самом деле по какой-то причине там уже пусто) и говорит банкомату: отдай клиенту столько-то купюр из такой-то кассеты. Диспенсер банкомата обнаружил, что бабло клиенту не выдано. Тогда банкомат говорит фронту: Reversal. А фронт-то уже до этого посчитал, что транзакция успешна, даже смс-ку ему послал. Вот он и проводит откат транзакции с попутной отсылкой новой смс-ки.
        • 0
          Банкомат отправляет флаг «успешная транзакция» процессингу после выдачи денег.
          После запроса на получения денег, банкомат пересчитывает купюры, полученные из кассет, если все оК, то деньги выдаются и транзакция успешно завершена.
          • 0
            Это только один вариант работы, причем не всегда самый лучший. Представьте, что банкомат вам деньги уже выдал, но по каким-то причинам его сообщение об этом не дошло до процессинга.
            • 0
              Ну да, банк в первую очередь обезопасивает себя, и только потом — клиента.
      • +2
        Мне однажды наличку не выдали, а сумму списали. Через пару дней извинились и деньги вернули. Наверное, технически это была отмена транзакции выдачи денег в банкомате?
        • 0
          Это все результат ошибки и откат ошибочной транзакции, а хакеры делали откат успешно завершенной транзакции выдачи денег.

          Вот это вот и смущает, как процессинг делал откат успешной выдачи денег?
          • 0
            Ну, неуспешность завершения транзакции в моём случае устанавливали несколько дней. СМС о списании денег тогда пришла сразу, транзакция поначалу со стороны банка не выглядела ошибочной.

            Хотя, может быть, в моём случае был и не откат, а новая «корректировочная» транзакция.
        • 0
          В вашем случае скорее всего сначала выполняется списание средств, а затем дается инструкция банкомату для их выдачи. Если банкомат деньги не выдал, то он может либо сообщить о сбое, тогда процессинг может отреверсировать транзакцию сразу, если будет уверен, что действительно деньги не выдались, либо может сделать, когда банкомат пришлет следующий запрос на транзакцию. В нем, при нормальной настройке, должна быть информация о предыдущей выполненной транзакции (сколько было выдано и серийный номер, присвоенный ей хостом). Этой информации достаточно, чтобы понять, были выданы деньги и сколько и автоматически сделать реверс. Но только после того, как придет следующий запрос, что для редко используемого банкомата может произойти нескоро.
      • +1
        Отменить банкоматную транзакцию можно, в случае, если, например, в процессе набора денег из кассет и транспортировке их к выдаче что-то произойдет с оборудованием. Банкомат известит об этом свой процессинг и будет сформирована отмена.
        Но в данном случае очень странно, что выдача проходит на банкомате в одной стране, через какое-то время POS терминал (!) уже в другой стране формирует отмену на данную операцию и она проходит без вопросов. На мой взгляд, мало информации во всех статьях и заметках об этой «краже века». По идее, POS, с которого идет отмена, должен быть настроен именно на выдачу наличных. Такие терминалы стоят в отделениях банков. Как туда попали злоумышленники? Если же используют POS у коммерса, то как вообще операция ВЫДАЧИ, может быть отменена в ритейловом (торговом) POS? Все пишут, что POS заражен вирусом. А что этот вирус делал? Выдавал коммерсовский POS за POS в отделении? Подменял код страны в операции Отмена, чтобы не было вопросов? Почему анти-фрод системы, которые сейчас есть во многих банках, не реагировали на такие странности?..
        В общем, по-моему, нужно больше информации. И, почти уверен, что далеко не любой процессинг был подвержен подобной болезни.
    • 0
      Del
  • 0
    Быстро, но 3 500 000 долларов кто-то сделал быстрее. Мелочь, но сколько конфет можно купить — страсть.
    • 0
      Я подозреваю у сбера это дневной, если не 2-3часовой оборот. А вот злоумышленники вкусно покушают да. Сделай себе сам оплату поиска уязвимостей.
      • 0
        Возможно, сценарий был такой: банки почти сразу (в конце банковского дня) увидели расхождение между суммой всех денег по операциям и фактическим оборотом, а потом начали реагировать ночью.
        • +1
          Банки не среагируют до инкассации (пока не сравнят количество оставшихся купюр в кассетах с тем, сколько у них должно быть по учетной системе). Тогда уже поднимаются логи, начинаются разборки: где и кто накосячил.
          • 0
            Банкоматы же сообщают, сколько денег выдано, чтобы как раз эту инкассацию вовремя делать. Этого показателя отмена операции не касается, важно только сколько купюр по факту отдано.
  • +8
    Честно говоря, не очень понял, почему «похитили около 250 млн руб., но потенциальный ущерб оценивается более чем в 1 млрд руб.». Жертв и разрушений нету, исправление этой ошибки, если верить статье, весьма простое (не потребовались крупные траты на переразработку и перенакатку ПО), расследование… Ну блин, ну тоже не на 750 млн. же.

    Или это как в этой истории — владельцы банков накинули сверху немного?)
    • +4
      Может, моральный ущерб накинули? Ведь кому-то из акционеров наверняка стало морально плохо от вести об убытке в 250млн. Так плохо, что морально это эквивалентно 750млн.
    • +2
      ну например вычислили транзакций на 250млн — а сколько там на самом деле, поди знай.
    • 0
      Ну еще затраты на поиск уязвимости, анализ, нанять нормальных программистов, пофиксить, обновить все терминалы и другие расходы…
      • +2
        Да не, там что-то другое должно быть. Эти работы не могут стоить 750 000 000 рублей. Даже если вооружиться ручкой, бумажкой и посчитать всё по верхним (очень верхним) границам.
        • 0
          почему же? Если им пришлось приостановить работу системы, это может и больше занять. Ну и там все-таки мнимые потери а не реальные.
          • 0
            потенциальный ущерб
            Возможно, имеется ввиду недополученная прибыль и выплата неустоек.
          • 0
            Если бы пришлось приостановить работу системы, вряд ли бы оставить банки неназванными. Неработающий процессинг в течение, скажем, часа — это очень заметно.
      • +2
        Эти затраты не должны входить в ущерб — т.к. скорее всего злоумышленники не создали баг, они его нашли и использовали.
        Соответственно в уязвимой системе баг был и до них, и затраты по выявлению и фиксу бага лежат на разработчике системы.
        Я не защищаю жуликов, однако при пентестах встречаются заказчики, которые реагируют на найденные баги неадекватно — они думают, что проблемы с уязвимостью и них не было до нахождения бага, соотвественно выявив баг пентестер создал заказчику проблему.
      • 0
        Нормальных — нельзя. А то вдруг они напишут/поправят систему так, что окажется что половина обслуживающего персонала (отчёты там, ручная обработка файлов и т.п.) не нужна! А у них дети, кредиты…
    • +1
      Разница между похищенным и потенциальным ущербом — оплата услуг GroupIB.
    • +2
      Я думаю, это значит «мы долго читали логи, нашли левых транзакций на 250 млн, а еще на 750 млн — не нашли, но боимся, что они были совершены»,
      • 0
        В общем-то да, я тоже так думаю.
      • 0
        на 750 не сошлись контрольные суммы
  • +8
    Интересно, почему когда я возвращаю товар, то деньги приходят через несколько дней, а этим преступникам они приходят мгновенно?
    • +10
      Потому что в тексте неточность. Происходил не возврат товара, происходила отмена операции (реверс), а она, как правило, выполнятся мгновенно. Сценарии по легальному реверсу примерно такие:
      1. Банкомат послал запрос на снятие наличных, получил добро (банк списал деньги со счета), начал отсчитывать купюры, тут его заело, на экране вылезла ошибка «Извините, мне плохо произошла ошибка оборудования, попробуйте еще раз», банкомат послал реверс, банк вернул деньги на счет. У меня было что-то подобное в сбере — на телефон падали две смс-ки, первая о снятии денег, вторая об отмене операции (реверсе).
      2. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.
      • –1
        2. Вы расплатились картой, продавец по невнимательности ввел неверную сумму, вы не заметили. Увидев чек спохватились. Продавец тут же послал реверс на эту операцию и провел вторую на правильную сумму.

        В китайской гостинице отменяли предоплату номера, проведенную картой Visa — сама отмена отразилась на счету почти через месяц(!!!!), хотя разница по времени между предоплатой и реверсом составляла 2 дня.
        • 0
          Там скорее всего chargeback был, возврат денег за неоказанную услугу.
        • 0
          Скорее всего деньги оказались заблокированными, а из-за отмены запрос на их списание не пришел. Холд как раз отменяется через 30 дней у большинства банков.
      • +1
        Чуть-чуть дополню. В конце суток проходит что-то типа опер дня и закрываются все операции. При снятии денег с карты или оплатой товара картой, деньги не списываются со счета, а блокируются банком. В случае с покупкой товара картой без ввода пин-кода, средства блокируются до момента подтверждения покупки магазином, как правило это 2-3 суток. В случае с вводом пин-кода деньги блокируются ровно до момента проведения опер дня.
        Если успеть сделать возврат операции, то деньги возвращаются на счет автоматом. Банк ничего списать со счета не успел, а значит и зачислять ничего не надо. А вот если же возвращать деньги на следующие сутки, то тут уже идут обычные банковские операции на снятие и зачисление денежных средств.

        В случае с магазинами, кассиры сами закрывают день на терминале. Если успеть сделать возврат покупки до этого момента (конца рабочего дня) то деньги должны прийти сразу же.
    • 0
      Не знаю, но предполагаю — при снятии в банкомате банка не эмитента я вижу не списание денег, а блокировку. По окончании опердня бабло списывается. При этом может происходят взаиморасчеты, кто в итоге кому сколько бабла должен. При этом существует стандартная операция отмены блокировки. Из какой системы пришел механизм не знаю, но на визе при возврате денег один интернет магазин мне возвращал в течение пяти минут (и в это время скорее всего вошло время человеческого запуска операции). Парни автоматизировали операцию и рубанули профит.
      Поидее, банки могут отбросив моральные принципы и совесть затребовать деньги с владельцев похаченных терминалов, с которых возвраты шли. При условии реальности терминалов и контор, владеющих этими терминалами.
      А вообще тут поработал инженер, который работал с протоколом. Думаю в РФ таких не больше 15 — 20. Поскребут и найдут.
      • +4
        Вряд ли он еще в России)
      • +4
        В России находятся 2 компании из крупнейших разработчиков ПО для процессинга (OpenWay, BPC), ещё есть компании, которые разрабатывают POS-терминалы (Inpas), ещё есть в банках персонал, работающий с процессингом. Так что людей, знающих протоколы платежных систем, гораздо больше 20.
        • +1
          Вернее 3 вендора: Compass Plus ещё забыл
    • 0
      Есть три типа операций по возврату: Reversal (та, что в статье, предусмотрена для возврата средств на карту в случае, если, например, диспенсер в АТМ по каким-то причинам не смог отдать валюту), Unhold (разморозка средств на счету для транзакций с предавторизацией, обычно применяется в интернет-магазинах в ситуациях, когда, например, клиент ввел реквизиты карты при оплате товаров, а потом ему позвонил менеджер из магазина, и клиент отказался от части товаров) и Refund (полноценная транзакция по возврату денег на счет клиента после того, как они уже были списаны с него).

      Reversal — выполняется в онлайне, остальные две — в офлайне.
    • 0
      Сказано же: «они нашли уязвимость»!
    • 0
      Про возврат товара мне в «Юлмарте» объясняли, что якобы если вернуть товар сразу после покупки, или, по крайней мере, в те же сутки, что и была покупка, то они могут сделать отмену транзакции и деньги вернутся в тот же день. У меня это получилось один раз из двух. Наверное, сутки должны быть по Гринвичу…
    • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        То, что в СМС пишут, не всегда реально коррелирует с типом транзакции. Ну то есть коррелирует, но шаблон для текста может не отражать всю реальную суть транзакции. Это на усмотрение банка.
      • 0
        Все чеки по таким операциям нужно брать. В том числе по возвратам потому как СМС это вообще не документ.
        • 0
          Я бы добавил, что все чеки по всем операциям надо брать. Так, на всякий случай)
        • 0
          Мне терминал ругнулся что нет связи, но чека не напечатал (может и нечем ему было печатать, т.к. потом выяснилось что он у них глючный уже давно). Потом принесли другой терминал, там всё прошло. И сразу пришли обе смски о списании. Банк сказал что если за сутки отмены не будет, то или сразу к ним или в ресторан на разборки, но лучше сначала им позвонить и они скажут как поступить. Отмена операции произошла только ночью.
    • +1
      Когда вы что-либо оплачиваете, мерчант (продавец), может сделать либо авторизацию (authorization) платежа, а затем, когда нужно — списание (capture), либо сразу покупку (purchase), которая является одновременно авторизацией платежа и списанием в одном флаконе.
      Авторизация — это блокировка денежных средств. В выписке такие операции отмечена как hold. Авторизация — «дешёвая» операция, деньги просто блокируются, но никаких движений с ними не происходит. Соответственно, отмена авторизации (unhold или void authorization) происходит мгновенно — банк просто деньги разблокирует и всё. Схему авторизация -> списание, используют в случаях, когда которых сумма может измениться, например в интернет-магазинах: вы заказали на 1000 рублей (произошла авторизация — блокировка денег), а товаров у них только на 600 — вы либо отменяете весь заказ, либо соглашаетесь на часть — 400 вам отменяют, а 600 — списывают.
      Списание денег — это уже реальное движение средств из банка продавцу. Здесь время исчисляется днями — обычно делается в эти же сутки, но может и затянуться. Прям как обновление DNS :) Покупку (авторизация + списание) делают в случаях, когда точно уверены в конечной сумме, например оплата услуг. Ну и в реализации с точки зрения программинга оно чуть проще, чем auth -> capture.
      Возврат денег (refund) после списания аналогичен самому списанию — затратен по времени. Плюс могут проходить дополнительные проверки на движение средств — вплоть до ручных.
      Таким образом, описанный вами случай — это списание и возврат, что всегда не быстро.
  • +1
    Я может глупость спрошу… Но «В описанной схеме преступник получал неименную платёжную карту»
    А как вообще можно получить такую карту в банке РФ??? Вроде сейчас даже и Вебмани и ЯД карты дают только «верифицированным аккаунтам», а уж в банках то всегда паспорт требуют…
    Или я что-то не знаю?
    • +2
      загуглите «unembossed» — такие карты очень широко используются. это самые простые и дешевые карты, которые можно сразу выдать клиенту, т.к. не надо ждать выпуска. другое дело, что для их оформления действительно требуется паспорт, но видимо этот вопрос тоже как-то решили.
      • 0
        Не совсем, «unembossed» — это без нанесения на карту имени и фамилии методом «выдавливаниея». Карта может быть неэмбоссированной, но с указанными на ней именем и фамилилей (ФИО будут просто напечатаны, а не выдавлены). Вы, наверное, имели в виду «карты мгновенного выпуска» — неперсонифицированные.
        Однако тут идёт речь о полностью неперсонифицированных картах — это предоплаченные или подарочные карты, пополняемые и не пополняемые. Кажется, та же Кукуруза, плюс «Вишня» от Банка Русский Стандарт. Однако нужно смотреть детальнее, так как по некоторым таким картам как закрыта возможность совершать операции зарубежом, так и закрыта возможность снимать наличные в банкоматах вообще или без идентификации:
        Чтобы иметь возможность снимать с карты наличные и расплачиваться ей за рубежом, необходимо обратиться в Офис Банка, предъявить паспорт гражданина РФ и получить ПИН-код.
        • 0
          Кукуруза открывается с идентификацией, но не персонифицированная.
        • 0
          Кстати, некоторые банки в своих названиях карточных продуктов действительно используют слово unembossed как обозначение instant-карт.
    • +1
      На дропа или вне РФ
    • +1
      Скорее всего это что-то типа Евросетевой Кукурузы или от Связного.
    • +1
      Или я что-то не знаю?

      В Украине, к примеру, платежную карту MasterCard можно купить в любом магазине абсолютно анонимно. Стоит 30 грн. Выпускает Фидобанк. Только вот там лимиты…
      • +1
        «Штука» от Фидобанка стоит 40 грн (39, если быть точным), а ещё есть Банк Михайловский, который выпускает аналогичную карту «Электронный кошелёк», на данный момент это 49 грн.
        И да, лимиты у нас регламентированы НБУ — 500 грн. в день снятия наличных + карты действуют только на территории Украины.
      • 0
        Если я все правильно понял, лимиты в данном случае роли не играют.
        Операций-то не было, они были все отменены )
    • 0
      В банке паспорт со всей строгостью проверяют на подлинность?
      • 0
        ну это второе дело… в статье то говорится именно о том, что преступник получал неименную платёжную карту
        • 0
          Неименная выдаётся практически сразу. У редких банков есть instant issue. Обычно персонализированную карту надо несколько дней ждать. А для целей в статье пойдёт и неименная.
    • –1
      Вовсе не глупость.
      Неплохо. Есть нюансы. Карта видимо неименная и неперсонифицированная, попросту говоря гифта. Иначе поименованный и с документами держатель карты берется за яйки на раз-два. А много ли вы знаете гифт, по которым разрешено снятие наличных? Я вот так сразу вспомнил только один единственный банк С такой возможностью. Но там, вот незадача-то, лимит на кеш 5000 в сутки. Один раз снял. Ревертнул. А дальше что? лИмит-то исчерпан на сегодня.
      Хотя, если честно, не проверял их реверсалами ;) Может лимит и восстанавливается ;)
  • 0
    Стянули годовую зарплату банкира, а те сверху еще 750 накинули. Кто в плюсе? :)
  • +2
    UPDATE, появилась некоторая дополнительная информация на Forbes.com:

    — POS-терминалы были преимущественно из США и Чехии (Чешской Республики);

    — криминальная активность началась летом 2014 и закончилась в первом квартале 2015;

    — Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средства из банкомата, тем самым позволяя преступникам продолжать их мошенничество;

    — было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;

    — «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество. Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB. «Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»
    • 0
      делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата»
      Если речь про card2card, то разве такие переводы не являются безотзывными? Или возвратная операция может быть оформлена и на деталях той, что является невозвратной, по этой части тоже проверок нет или их обошли?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.