11.24.2015からの更新-Forbes.comに いくつかの追加情報が掲載されました
主なアクションを実行するために、攻撃者はATMを使用したため、このスキームは「ATMリバース」または「リバースリバース」と呼ばれていました。 記載されたスキームでは、犯罪者は名前のない支払いカードを受け取り、それを補充し、すぐにATMで預け入れたお金を引き出し、取引の小切手を要求しました。
さらに、トランザクションに関するデータは、ロシアの外部にあることが多いウイルスに感染したPOS端末にアクセスできる共犯者に送信されました。 端末を通じて、小切手に示された操作コードに従って、現金引き出し操作をキャンセルするコマンドが作成されました。 操作がキャンセルされた結果、カードの残高が即座に復元されました(銀行の処理システムでは、購入した商品の返品に似ていました)-攻撃者は口座のお金を「キャンセル」しました。 犯罪者は、ATMで現金がなくなるまでこれらのアクションを何度も繰り返しました。
Group-IBによると、これらの行動の結果、ロシアの名前のない大手5行が被害を受けました。 犯罪者は合計で約2億5000万ルーブルを盗みましたが、潜在的な損害は10億ルーブル以上と推定されています。 銀行は、VisaおよびMasterCard決済システムと一緒にセキュリティシステムを開発および実装した後にのみ、このような盗難のさらなる試行を防止することに成功しました。
確かに、影響を受けた銀行の1つの処理に精通した詐欺師の中に男がいました。 大手銀行の1社の代表者によると、上記のスキームでは、攻撃者は発行銀行の処理センターの脆弱性を使用しましたが、キャンセル操作中にすべてのデータをチェックしませんでした。 「追加のチェックにより、ある国でお金が発行され、別の国で操作がキャンセルされたことがわかります」と専門家は指摘しました。
更新:
コンピュータフォレンジック研究所グループIB部長Valery Baulin:
「 攻撃者は、特定の脆弱性を使用することを学びました。これは、発行銀行とアクワイアラーの関係、支払いシステムの特性に基づいていました。 したがって、どちら側に脆弱性があったかを確実に言うことは、おそらく不可能であり、間違っています。 これは、関係、相互決済を簡素化し、トランザクションを加速するために行われました。 実際、攻撃者はこれを知っていて、そのような単純化された検証スキームについて知っていて、それを使用することができました。
どの銀行が襲撃され、犯罪者が拘留されたかについての情報は、調査の利益のためにまだ公開されていません。
マキシムEmm、情報セキュリティと技術の分野の専門家:
「 私たちは、VisaやMasterCardを含むすべての支払いシステムで、お金を引き出すこととお金を返す機会の両方があるという事実について話している。 そして、この場合、攻撃者は、多くの銀行が1つの端末でお金を引き出し、別の端末から返金取引を発行できるという事実を利用しました。 攻撃者によって制御されたこのケースでは、これが脆弱性でした。 誰も損失を主張していないため、これらの取引を見つけることは十分に困難でした。 つまり、カード口座の借方と貸方を比較するだけで見つけることが可能であり、それが判明するまでは多くのトランザクションがあり、おそらくそのような金額-2億5000万人が流出しました。 一般的に、この脅威からの保護は安価であり、銀行の処理におけるルールの再構成にすぎません。 この種の情報システムがこれらのルールをサポートし、ほとんどの処理がそれらをサポートしている場合、それを構成するのは十分簡単であり、この抜け穴がカバーされ、すべてのクライアントはこの種の問題を免れます。 実際、お金を失ったのは顧客ではなく、銀行を失いました。したがって、一般に、銀行はそれを十分に迅速に把握します。 これらのサイバー犯罪者は、支払いシステムのルール、取引の形成ルール(借方記入と補充の両方)、およびこの借方記入のキャンセルを非常に詳細に想像していました。 そして、おそらく、彼らは銀行の処理がどのように機能するかを詳細に理解しました。 おそらく、攻撃者の一部は、処理サービスを開発している会社や銀行で働いていました。 したがって、これはかなり高度な攻撃であり、迅速に特定することができました。 現在、ほとんどの銀行はこの情報に基づいてこのようなチェックを導入し、将来的には銀行とのこのような問題は排除されると思います 。」
RBC 、 Securitylab 、 BFM.RUの資料に基づいています。
2015年11月24日の更新、Forbes.comに追加情報が掲載されました。
-POS端末は、主に米国およびチェコ共和国(チェコ共和国)からのものでした。
-犯罪行為は2014年の夏に始まり、2015年の第1四半期に終わりました。
-犯罪者は、ATMでカードを補充する代わりに、ある銀行で発行されたカードから別の銀行で発行されたカードに資金を移動するのではなく、スキームを調整することができました。 取引の詳細は「返品」に使用され、最後のカードはATMからの資金の引き出しに使用され、犯罪者が詐欺を継続できるようにしました。
-加害者に対していくつかの訴訟が開かれた。 「お金のラバ」は、ロンドン、ウクライナ、ラトビア、リトアニアからのものでした。
「最初の修正後、詐欺師はスキームを少し変更し、不正行為を繰り返しました。
その後、エラーは最終的に修正されましたが、回路を再び変更できないことは誰にもわかりません」と、グループIBのDmitry Volkov氏は述べています。
「このスキームはロシア以外の銀行に影響を与える可能性がありますが、ロシアの被害者についてのみ知っています。」