Два года лишения свободы получил безработный хакер, который вместе со знакомым сотрудником колл-центра «Ощадбанка» придумал, как воровать деньги с банковских карт. Схема лишила одно из клиентов государственного банка суммы в 224 тысячи гривен.
Об этом пишет InternetUA со ссылкой на приговор Винницкого городского суда.
Приговор в Едином реестре судебных решений
Версия следствия
По версии следствия, уроженец Винницкой области, будучи студентом одного из местных техникумов по специальности обслуживание компьютерных систем и сетей, в период с сентября 2015 по февраль 2016 года создал вредоносную программу для несанкционированного вмешательства в работу автоматизированной системы AT «Ощадбанк» и платежной системы «Portmone.com» для перевода чужих средств через электронные системы. Данная программа предназначена для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, и позволяет, зная номер и срок действия платежной карты, установить действующий CVV2 — код для платежной карты, что дает возможность обходить механизм проверки подлинности банковской карты по коду CVV2/CVC2.
В феврале 2016-го парень от своего товарища, сотрудника колл-центра ООО «Датакол», обслуживающего «Ощадбанк», узнал номера и срок действия 15 карт клиентов «Ощадбанка». Узнав необходимую информацию, хакер несанкционированно вмешался в работу автоматизированной системы AT «Ощадбанк» и платежной системы «Portmone.com», в которой выбрал известные ему номера платежных карт и использовал собственное вредоносное ПО. В результате ему удалось установить действующие CVV2-коды защиты платежных карт в обход механизма проверки подлинности банковской карты, и получить доступ к полной информации клиентов банка, а также возможность осуществлять управление чужими счетами от имени клиентов в системе расчетов финучреждения.
Вакансия на сайте Ощадбанка
Потом, имея полный контроль над счетами, парень осуществил электронные расчеты путем перевода средств со счетов клиентов AT «Ощадбанк» на Интернет-ресурсы PayPal, Robokassa, Rozetka, Яндекс.Деньги, Paymaster, Floristic.com.ua, Softkey, Vkontakte, mail.ru и Microsoft Store. В общем он перевел 91 851,23 грн. и 386 757,27 руб. (по состоянию на момент совершения преступления — 132 762,17 грн.) – на общую сумму 224613,60 грн.
Версия подсудимого
Версия подсудимого немного отличается от версии следствия. В суде он рассказал, что учился в техникуме вместе с товарищем, который после второго курса забросил учебу и, как оказалось, устроился работать в колл-центр «Ощадбанка». Когда обвиняемый учился на четвертом курсе, товарищ «всплыл» в соцсетях и рассказал, что работает в кол-центре «Ощадбанка» и имеет доступ к системе банка. Товарищ поделился соображениями, что есть возможность, зная номера карт и срок действия, подбирать CVV2-код карты, так как банк не имеет защиты от этого подбора, то есть система банка никак не ограничивает подбор CVV2-кода и не будет блокировать карточку.
Вечером хакер уже встретился со старым знакомым и тот предложил ему написать программу для подбора CVV2-кода.
– Обвиняемому лично было интересно проверить свои возможности, а также для саморазвития, поскольку он интересуется защитой программного обеспечения, поэтому он согласился, – цитирует с его слов мотивацию хакера суд.
В этот же вечер хакер написал соответствующую программу.
Обвиняемый рассказал, что лично в сеть банка не входил, а просто создал вредоносное ПО. В сеть банка, по его словам, входил товарищ – сотрудник колл-центра «Ощалбанка». За свою работу на вредоносным ПО хакер получил 100 тысяч гривен.
Как работала схема
В суде обвиняемый рассказал принцип работы написанного им программного обеспечения.
Программа работала через систему Portmone.com: блокировалась одна гривна по карте с CVV2-кодами от 000 до 999 путем простого перебора. Когда блокировка удавалась, это означало, что CVV2-код верный. Чтобы знать, что одна гривна заблокирована, необязательно получать смс-сообщение, ведь благодаря Portmone.com в программе возвращался ответ.
Главная страница сервиса portmone.com
Обвиняемый программу испытывал на данных, которые предоставлял ему товарищ, находящийся в колл-центре – он имел доступ к системе, видел номер карты и её срок действия. Сначала обвиняемый протестировал программу на своей карте «Ощадбанка», затем знакомый сбросил данные карты Mastercard. С картами Visa, уверяет хакер, он не работал, денежные средства свидетель не снимал.
В итоге
Суд посчитал, что вина обвиняемого в совершении инкриминируемого ему уголовного правонарушения полностью нашла свое подтверждение в ходе судебного разбирательства, и квалифицировал его действия по ч. 2 ст. 361-1 УК Украины, то есть создание с целью использования вредоносного программного средства, предназначенного для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, причинивших значительный ущерб.
В итоге парень получил наказание в виде двух лет лишения свободы. Также его ожидает иск от «Ощадбанка» в рамках гражданского судопроизводства.
Отметим, что это довольно редкий случай, когда обвиняемый по такому преступлению не пошел на сделку со следствием и получил реальный, а не «условный» срок.