Фото: Александр Рюмин/ТАСС
Данный вид атаки с отменой транзакций был представлен Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (финЦЕРТ) в "Обзоре основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году", опубликованном в рамках Международного финансового конгресса.
"Ожидавшийся ранее всплеск TRF-атак (transaction reversal fraud – мошенничество с отменой транзакций) не произошел, однако был зафиксирован новый способ такой атаки, основанный на несовершенстве сценариев обработки переводов с карты на карту с использованием банкоматов.
Упрощенно данный вид TRF-атаки выглядит следующим образом:
∎ в банкомате выбирается тип операции – перевод Р2Р (от клиента к клиенту), указывается номер карты получателя;
∎ банк-инициатор (Банк, инициировавший операцию, в контексте: банк – владелец устройства самообслуживания) одновременно направляет два авторизационных сообщения: банку-получателю и банку-отправителю;
∎ инициатору практически одновременно приходит одобрение от обоих банков (в случае, если операция возможна – имеется необходимое количество денежных средств на балансе карты отправителя и так далее);
∎ выполняется фактический перевод: увеличивается сумма на карте получателя, одновременно с этим холдируется такая же сумма у отправителя. Сценарий Р2Р-перевода в банкомате при этом еще не закончен.
∎ банкомат "спрашивает" у отправителя о согласии на списание комиссионных за операцию;
∎ отправитель не соглашается, поэтому банк-инициатор отправляет сообщение о возврате в банк-отправитель и банк-получатель;
∎ холд со счета отправителя снимается, вместе с тем средства уже выведены получателем".
В ЦБ отметили, что основным способом минимизации рисков подобного вида мошенничества является проверка банками корректности сценария работы банкомата, с отслеживанием операций типа Reversal, а также выполнения отправки сообщения 0400 "Возврат" в банк отправителя строго после успешного завершения операции
0400 "Возврат" в сторону банка получателя.Упрощенно данный вид TRF-атаки выглядит следующим образом:
∎ в банкомате выбирается тип операции – перевод Р2Р (от клиента к клиенту), указывается номер карты получателя;
∎ банк-инициатор (Банк, инициировавший операцию, в контексте: банк – владелец устройства самообслуживания) одновременно направляет два авторизационных сообщения: банку-получателю и банку-отправителю;
∎ инициатору практически одновременно приходит одобрение от обоих банков (в случае, если операция возможна – имеется необходимое количество денежных средств на балансе карты отправителя и так далее);
∎ выполняется фактический перевод: увеличивается сумма на карте получателя, одновременно с этим холдируется такая же сумма у отправителя. Сценарий Р2Р-перевода в банкомате при этом еще не закончен.
∎ банкомат "спрашивает" у отправителя о согласии на списание комиссионных за операцию;
∎ отправитель не соглашается, поэтому банк-инициатор отправляет сообщение о возврате в банк-отправитель и банк-получатель;
∎ холд со счета отправителя снимается, вместе с тем средства уже выведены получателем".
