Как хакеры, воспользовавшись уязвимостью в крупнейших платежных системах мира, почти год успешно грабили банки... но все же попали за решетку
Сегодня Мещанский суд Москвы вынес приговор участникам преступной группы хакеров, так называемой «ОПГ Лысенко», которых обвиняли в хищении около 1 млрд руб у российских банков с помощью схемы «АТМ-реверс». За две недели до оглашения финального приговора в СМИ была развернута активная кампания в поддержку "несуществующего хакера" 32-летнего Юрия Лысенко и его сообщников. Процесс вынесения приговора длился почти неделю, но, несмотря на все усилия защитников, пытавшихся развалить дело, 12 киберпреступников в итоге получили реальные сроки — от 5 до 13 лет лишения свободы, еще двое — условные сроки.
Впервые криминалисты Group-IB зафиксировали успешные атаки по схеме «АТМ-реверс» в 2014 году и описали их в своем отчете «Тенденции развития преступности в области высоких технологий 2015», рассказал руководитель лаборатории компьютерной криминалистики Group-IB Валерия Баулин. Мошенники пользовались доступом к скомпрометированным POS-терминалам в магазинах и кафе за пределами России — фальшивые запросы на отмену операций отправлялись через эти терминалы, и это выглядело как возврат товара или отказ от услуги. В итоге, по данным прокуратуры, киберпреступники похитили около 883,7 млн руб. у банка «Зенит», 106,3 млн руб. у банка «Траст», 45,1 млн руб. у банка «Уралсиб» и 39,5 млн руб. у Промсвязьбанка.
Сотрудники Лаборатории компьютерной криминалистики Group-IB участвовали в оперативно-следственных действиях, связанных с расследованием преступной деятельности «ОПГ Лысенко», в частности, привлекались профильными подразделениями МВД к обыскам, задержаниям, анализу изъятых объектов, а также к подготовке криминалистической экспертизы, имеющей отношение к этому делу.
В то время подготовкой криминалистической экспертизы занимался Максим Антипов, киберкриминалист Group-IB, имеющий профильный опыт и соответствующие компетенции: он в сжатые сроки проанализировал и составил заключение относительно предоставленных ему объектов.
Как работала схема "АТМ-реверс"
1. На этапе подготовки киберпреступники получали дебетовые карты (в промежутке с мая по июль 2015 года), подключали их к онлайн-сервисам и заказывали дополнительные «моментальные – не именные» карты.
2. В назначенную дату злоумышленники подходили к банкоматам и пополняли баланс карты через купюроприемник на различные суммы: 5000, 10000, 30000 рублей – деньги моментально поступали на счет карты.
Сразу после зачисления денег на счета специальные лица снимали эти деньги в тех же банкоматах – таким образом, операции являлись внутрибанковскими (on-us). Это важно, поскольку внутрибанковские операции обрабатываются иначе и не учитывают некоторую информацию, которая заполняется конкретной платежной системой при формировании операции из-за рубежа.
4. Банкомат печатал чеки об успешной выдаче денежных средств. Данные по чекам (RNN – референс и сумма операции) моментально отправлялись удаленному подельнику, который и управлял всем процессом.
5. Удаленный подельник имел доступ к тысячам скомпрометированных POS-терминалов. Имея доступ к таким терминалам и данные с чеков, он формировал команду на отмену (операция «reversal») снятия наличных. POS-терминалы находились за пределами России (обычно — США и Чехия). На терминале это выглядело как возврат товара или отказ от услуги.
6. Далее операции отмены приходили через конкретную платежную систему обратно в банк-эквайер.
7. Банк-эквайер проверял совпадение поля RNN и еще некоторых полей. Поскольку операция считалась внутрибанковской, то это исключало проверку дополнительных полей, заполняемых платежной системой. В результате операция выдачи денег успешно отменялась и баланс карты восстанавливался. Все это проходило мгновенно. В результате у злоумышленника на руках были только что выданные наличные деньги и прежний баланс на карте.
8. Дальше злоумышленники повторяли эти шаги до тех пор, пока в банкоматах не заканчивались наличные, что и приводило к миллионным ущербам.
Эта схема "работала" благодаря тому, что платежными системами не проводилась достаточная проверка отменяемых операций. Безусловно, дополнительная проверка полей позволила бы избежать ситуации, когда деньги выдаются в одной стране, а отмена этой операции приходит из другой страны.
Именно поэтому в конце лета 2014 года после нескольких случаев мошенничества платежная система выпустила «hotfix», который позволил блокировать операции «reversal» при выдаче денежных средств в банкомате одного банка и отмене с терминала другого. Однако злоумышленникам удалось адаптировать свою схему под новые изменения проверок и продолжить работу.
"АТМ-реверс": адаптация
Измененная процедура мошенничества похожа на описанную выше. Так как операция снятия через банкомат отслеживалась и блокировалась, пришлось осуществлять перевод с карты одного банка на карту другого банка. В итоге схема получилась такая:
1. Пополнялись балансы карты и вместо снятия наличных, как прежде, деньги переводились на счет карты в другом банке.
2. Полученные в результате перевода денежные средства снимались через банкомат стороннего банка.
3. В то же время через POS-терминал злоумышленники проводили отмену операции перевода денег с карты на карту.
4. В результате успешной отмены баланс, как и в первой схеме, восстанавливался, затем операция повторялась.
Злоумышленники использовали уязвимости системы проведения и обработки операций по снятию и переводу денежных средств. Работа по двум схемам (одна из которых стала дополнением другой в обход «hotfix») осуществлялась с терминалами сразу двух платежных систем. Для участия в операции были задействованы специально нанятые люди — дропы, которые специально прилетали из Лондона, Украины, Латвии, Литвы.
До проведения самих мошеннических операций злоумышленники проводили ряд апробаций и тестов на банкоматах различных платформ, банков и в различных процессинговых системах. Тестирование проводилось в Англии, Болгарии, Румынии и странах Прибалтики.
В настоящее время данная уязвимость закрыта процессинговыми системами, разработаны и внедрены рекомендации для банков-эквайеров и эмитентов в рамках взаимодействия с платежными системами. В алгоритм авторизации транзакций встроена проверка совпадения в операциях ID банка-эквайера. Это позволяет понять, что точка, с которой прислали запрос на отмену операции, процессится там же, где и точка, с которой была совершена оригинальная операция.