06.02.2019
Схема на миллиард
Как хакеры, воспользовавшись уязвимостью в крупнейших платежных системах мира, почти год успешно грабили банки... но все же попали за решетку
6 февраля Мещанский суд Москвы вынес приговор участникам преступной группы хакеров, так называемой «ОПГ Лысенко», которых обвиняли в хищении около 1 млрд руб у российских банков с помощью схемы «АТМ-реверс». За две недели до оглашения финального приговора в СМИ была развернута активная кампания в поддержку "несуществующего хакера" 32-летнего Юрия Лысенко и его сообщников. Процесс вынесения приговора длился почти неделю, но, несмотря на все усилия защитников, пытавшихся развалить дело, 12 киберпреступников в итоге получили реальные сроки — от 5 до 13 лет лишения свободы, еще двое — условные сроки.
Впервые криминалисты Group-IB зафиксировали успешные атаки по схеме «АТМ-реверс» в 2014 году и описали их в своем отчете «Тенденции развития преступности в области высоких технологий 2015», рассказал руководитель лаборатории компьютерной криминалистики Group-IB Валерия Баулин. Мошенники пользовались доступом к скомпрометированным POS-терминалам в магазинах и кафе за пределами России — фальшивые запросы на отмену операций отправлялись через эти терминалы, и это выглядело как возврат товара или отказ от услуги. В итоге, по данным прокуратуры, киберпреступники похитили около 883,7 млн руб. у банка «Зенит», 106,3 млн руб. у банка «Траст», 45,1 млн руб. у банка «Уралсиб» и 39,5 млн руб. у Промсвязьбанка.
Сотрудники Лаборатории компьютерной криминалистики Group-IB участвовали в оперативно-следственных действиях, связанных с расследованием преступной деятельности «ОПГ Лысенко», в частности, привлекались профильными подразделениями МВД к обыскам, задержаниям, анализу изъятых объектов, а также к подготовке криминалистической экспертизы, имеющей отношение к этому делу.
В то время подготовкой криминалистической экспертизы занимался Максим Антипов, киберкриминалист Group-IB, имеющий профильный опыт и соответствующие компетенции: он в сжатые сроки проанализировал и составил заключение относительно предоставленных ему объектов.
Сотрудники Лаборатории компьютерной криминалистики Group-IB участвовали в оперативно-следственных действиях, связанных с расследованием преступной деятельности «ОПГ Лысенко», в частности, привлекались профильными подразделениями МВД к обыскам, задержаниям, анализу изъятых объектов, а также к подготовке криминалистической экспертизы, имеющей отношение к этому делу.
В то время подготовкой криминалистической экспертизы занимался Максим Антипов, киберкриминалист Group-IB, имеющий профильный опыт и соответствующие компетенции: он в сжатые сроки проанализировал и составил заключение относительно предоставленных ему объектов.
Защитники 32-летнего Юрия Лысенко развернули мощную кампания в поддержку подсудимого, но суд доказал его вину
Как работала схема "АТМ-реверс"
1. На этапе подготовки киберпреступники получали дебетовые карты (в промежутке с мая по июль 2015 года), подключали их к онлайн-сервисам и заказывали дополнительные «моментальные – не именные» карты.
2. В назначенную дату злоумышленники подходили к банкоматам и пополняли баланс карты через купюроприемник на различные суммы: 5000, 10000, 30000 рублей – деньги моментально поступали на счет карты.
Сразу после зачисления денег на счета специальные лица снимали эти деньги в тех же банкоматах – таким образом, операции являлись внутрибанковскими (on-us). Это важно, поскольку внутрибанковские операции обрабатываются иначе и не учитывают некоторую информацию, которая заполняется конкретной платежной системой при формировании операции из-за рубежа.
4. Банкомат печатал чеки об успешной выдаче денежных средств. Данные по чекам (RNN – референс и сумма операции) моментально отправлялись удаленному подельнику, который и управлял всем процессом.
5. Удаленный подельник имел доступ к тысячам скомпрометированных POS-терминалов. Имея доступ к таким терминалам и данные с чеков, он формировал команду на отмену (операция «reversal») снятия наличных. POS-терминалы находились за пределами России (обычно — США и Чехия). На терминале это выглядело как возврат товара или отказ от услуги.
6. Далее операции отмены приходили через конкретную платежную систему обратно в банк-эквайер.
7. Банк-эквайер проверял совпадение поля RNN и еще некоторых полей. Поскольку операция считалась внутрибанковской, то это исключало проверку дополнительных полей, заполняемых платежной системой. В результате операция выдачи денег успешно отменялась и баланс карты восстанавливался. Все это проходило мгновенно. В результате у злоумышленника на руках были только что выданные наличные деньги и прежний баланс на карте.
8. Дальше злоумышленники повторяли эти шаги до тех пор, пока в банкоматах не заканчивались наличные, что и приводило к миллионным ущербам.
2. В назначенную дату злоумышленники подходили к банкоматам и пополняли баланс карты через купюроприемник на различные суммы: 5000, 10000, 30000 рублей – деньги моментально поступали на счет карты.
Сразу после зачисления денег на счета специальные лица снимали эти деньги в тех же банкоматах – таким образом, операции являлись внутрибанковскими (on-us). Это важно, поскольку внутрибанковские операции обрабатываются иначе и не учитывают некоторую информацию, которая заполняется конкретной платежной системой при формировании операции из-за рубежа.
4. Банкомат печатал чеки об успешной выдаче денежных средств. Данные по чекам (RNN – референс и сумма операции) моментально отправлялись удаленному подельнику, который и управлял всем процессом.
5. Удаленный подельник имел доступ к тысячам скомпрометированных POS-терминалов. Имея доступ к таким терминалам и данные с чеков, он формировал команду на отмену (операция «reversal») снятия наличных. POS-терминалы находились за пределами России (обычно — США и Чехия). На терминале это выглядело как возврат товара или отказ от услуги.
6. Далее операции отмены приходили через конкретную платежную систему обратно в банк-эквайер.
7. Банк-эквайер проверял совпадение поля RNN и еще некоторых полей. Поскольку операция считалась внутрибанковской, то это исключало проверку дополнительных полей, заполняемых платежной системой. В результате операция выдачи денег успешно отменялась и баланс карты восстанавливался. Все это проходило мгновенно. В результате у злоумышленника на руках были только что выданные наличные деньги и прежний баланс на карте.
8. Дальше злоумышленники повторяли эти шаги до тех пор, пока в банкоматах не заканчивались наличные, что и приводило к миллионным ущербам.
Эта схема "работала" благодаря тому, что платежными системами не проводилась достаточная проверка отменяемых операций. Безусловно, дополнительная проверка полей позволила бы избежать ситуации, когда деньги выдаются в одной стране, а отмена этой операции приходит из другой страны.
Именно поэтому в конце лета 2014 года после нескольких случаев мошенничества платежная система выпустила «hotfix», который позволил блокировать операции «reversal» при выдаче денежных средств в банкомате одного банка и отмене с терминала другого. Однако злоумышленникам удалось адаптировать свою схему под новые изменения проверок и продолжить работу.
Именно поэтому в конце лета 2014 года после нескольких случаев мошенничества платежная система выпустила «hotfix», который позволил блокировать операции «reversal» при выдаче денежных средств в банкомате одного банка и отмене с терминала другого. Однако злоумышленникам удалось адаптировать свою схему под новые изменения проверок и продолжить работу.
"АТМ-реверс": адаптация
Измененная процедура мошенничества похожа на описанную выше. Так как операция снятия через банкомат отслеживалась и блокировалась, пришлось осуществлять перевод с карты одного банка на карту другого банка. В итоге схема получилась такая:
1. Пополнялись балансы карты и вместо снятия наличных, как прежде, деньги переводились на счет карты в другом банке.
2. Полученные в результате перевода денежные средства снимались через банкомат стороннего банка.
3. В то же время через POS-терминал злоумышленники проводили отмену операции перевода денег с карты на карту.
4. В результате успешной отмены баланс, как и в первой схеме, восстанавливался, затем операция повторялась.
Злоумышленники использовали уязвимости системы проведения и обработки операций по снятию и переводу денежных средств. Работа по двум схемам (одна из которых стала дополнением другой в обход «hotfix») осуществлялась с терминалами сразу двух платежных систем. Для участия в операции были задействованы специально нанятые люди — дропы, которые специально прилетали из Лондона, Украины, Латвии, Литвы.
До проведения самих мошеннических операций злоумышленники проводили ряд апробаций и тестов на банкоматах различных платформ, банков и в различных процессинговых системах. Тестирование проводилось в Англии, Болгарии, Румынии и странах Прибалтики.
В настоящее время данная уязвимость закрыта процессинговыми системами, разработаны и внедрены рекомендации для банков-эквайеров и эмитентов в рамках взаимодействия с платежными системами. В алгоритм авторизации транзакций встроена проверка совпадения в операциях ID банка-эквайера. Это позволяет понять, что точка, с которой прислали запрос на отмену операции, процессится там же, где и точка, с которой была совершена оригинальная операция.
1. Пополнялись балансы карты и вместо снятия наличных, как прежде, деньги переводились на счет карты в другом банке.
2. Полученные в результате перевода денежные средства снимались через банкомат стороннего банка.
3. В то же время через POS-терминал злоумышленники проводили отмену операции перевода денег с карты на карту.
4. В результате успешной отмены баланс, как и в первой схеме, восстанавливался, затем операция повторялась.
Злоумышленники использовали уязвимости системы проведения и обработки операций по снятию и переводу денежных средств. Работа по двум схемам (одна из которых стала дополнением другой в обход «hotfix») осуществлялась с терминалами сразу двух платежных систем. Для участия в операции были задействованы специально нанятые люди — дропы, которые специально прилетали из Лондона, Украины, Латвии, Литвы.
До проведения самих мошеннических операций злоумышленники проводили ряд апробаций и тестов на банкоматах различных платформ, банков и в различных процессинговых системах. Тестирование проводилось в Англии, Болгарии, Румынии и странах Прибалтики.
В настоящее время данная уязвимость закрыта процессинговыми системами, разработаны и внедрены рекомендации для банков-эквайеров и эмитентов в рамках взаимодействия с платежными системами. В алгоритм авторизации транзакций встроена проверка совпадения в операциях ID банка-эквайера. Это позволяет понять, что точка, с которой прислали запрос на отмену операции, процессится там же, где и точка, с которой была совершена оригинальная операция.
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
