В Индии мошенники некоторое время с помощью ошибки Timeout Error снимали деньги из банкомата без списывания их со счетов

В Индии мошенники некоторое время могли снимать деньги из банкоматов банка SBI с помощью бага при отработке ошибки Timeout Error (клиент не забрал деньги из выдачи спустя выделенное время, система забирает их обратно). Причём они делали эти операции скрытно и без списывания со счетов клиентов, что позволило мошенникам использовать этот метод до тех пор, пока в ходе ревизии банка и последующего за ней расследования кражи денег не выявилась проблема в работе банкоматов.

Согласно пояснению банка, двое мошенников смогли в общем получить наличными 2,52 лакха рупий (252 тыс. рупий) из банкомата SBI. Они использовали несколько украденных или утерянных карт банкомата, чтобы неоднократно снимать деньги. Снятие денег проходило небольшими суммами и продолжалось в период с июня 2022 года по июль 2023 года.

После снятия наличных мошенники обычно оставляли одну купюру в отсеке выдачи наличных в банкомате. Это действие заставило банкомат зарегистрировать транзакцию как незавершённую. Вот только из-за этой ситуации в алгоритме работы банкомата возникала ошибка Timeout Error, система забирала деньги обратно, но не проверяла, что там есть все купюры. Поскольку банкомат помечал транзакцию как незавёршенную, то деньги не списывались с балансов владельцев счетов. Этот трюк гарантировал отсутствие жалоб со стороны клиентов, и мошенничество оставалось скрытым в течение нескольких месяцев.

Афера раскрылась, когда в банке обнаружили незначительные расхождения между общей суммой наличных, внесённых в банкоматы, и снятыми суммами. Первоначально банковский комитет финансовой организации расследовал нарушения, но не смог выявить проблему. При отсутствии зацепок или доказательств даже сотрудники банка попали под подозрение.

Прорыв в расследовании