23502

Жулик с крайнего сервера

Сотрудник казахстанского “Альфа-Банка”обнаружил уязвимость в работе программного обеспечения и украл у работодателя почти 20 миллионов тенге!

Жулик с крайнего сервера

Это уже второй программист АО ДБ “Альфа-Банк”, который нашел способ, как облегчить кассу родной конторы на пару десятков миллионов. Летом 2019 года был осужден экс-сотрудник того же банка Кенес ЖАЙЛЫБАЕВ. Он обнаружил ошибку в системе переводов Card2Any, с помощью которой сумел украсть более 23 миллионов тенге, за что получил 5 лет условного срока (см. “Совместный труд для своей пользы”, “Время” от 13.8.2019 г.). И хотя Жайлыбаев уже не работает в этой организации, дело его живет и процветает: другой программист Аян КАЙСАБЕКОВ придумал, как вывести из “Альфа-Банка” почти 20 миллионов тенге. Он тоже воспользовался особенностями программного обеспечения банка.

26-летнему Аяну Кайсабекову, судя по резюме, удалось поработать аж в трех банках. В “Альфа-Банк” парень пришел в июне 2018 года на должность ведущего программиста направления интеграции управления развития бэк-офисных систем департамента по развитию IT-блока информационных технологий. Если говорить простым языком, Кайсабеков разрабатывал и улучшал компьютерные сервисы своего работодателя. В частности, программист отвечал за работу сервера, связывающего между собой “Альфа-Банк” и сотового оператора “Билайн”.

Дело в том, что у банка налажено тесное сотрудничество с мобильным оператором, и любой желающий может открыть платежную карту, привязанную к номеру сотового телефона. Соответственно, и переводы на счет можно делать через банкоматы, введя лишь номер телефона.

И вот, ковыряясь в этой системе, Аян Кайсабеков заметил, что сервер позволяет начислять средства на карту, даже если они физически не попали в банкомат! Проще говоря, он со своего рабочего места, пользуясь логином и паролем для входа в систему, мог закидывать любые средства на абсолютно любые карты “Альфа-Банка”, привязанные к номерам “Билайна”.

По идее, программист обязан был сообщить об открытии своему руководству, чтобы систему доработали и дырку в ней закрыли. Но Аян решил поступить иначе.

Уже через два месяца после приема на работу он начал открывать карты на своих родственников - две на младшего брата, одну на маму и одну на себя, забрав их себе. Все они, разумеется, были привязаны к номерам “Билайна”. И вот 1 сентября прошлого года Кайсабеков перекинул первую сумму на карточный счет. Транзакция прошла успешно, и Аян сделал еще один перевод, потом еще и еще. Деньги программист выводил небольшими суммами - по 30 тысяч тенге, но успевал сделать в минуту по несколько переводов.

И вот результат: на карту мамы работник “Альфа-Банка” закинул свыше двух миллионов тенге, на свою личную - 1,6 миллиона, а на две карты брата более 14 миллионов! Деньги Кайсабеков спокойно снял в банкоматах и потратил на себя. Следы в системе программист попытался удалить.

Видимо, в какой-то момент парень понял, что может привлечь к себе внимание, поэтому решил выводить деньги не только через родственников. В Нур-Султане проживала его бывшая однокурсница, у которой тоже была карта “Альфа-Банка”, привязанная к номеру мобильного. Кайсабеков созвонился со своей знакомой, объяснил, что ему надо передать деньги в столицу, и попросил разрешение сделать это через ее счет. Девушка согласилась, и на ее карту упало почти 1,4 миллиона тенге. Деньги она сняла и отдала людям, приехавшим от Аяна.

Еще одну однокурсницу Кайсабеков как-то пригласил вечером в кинотеатр, правда, предупредив, что ему понадобится ее карта “Альфа-Банка”: дескать, нужно снять деньги для мамы, а беспокоить ее не хочется. Ничего не подозревающая девушка согласилась, и через ее счет программист вывел еще около 400 тысяч тенге.

Наконец, третья подружка Аяна пришла на помощь сама. Она позвонила ему с просьбой занять денег, и он сразу же перевел ей 390 тысяч на карту “Альфа-Банка”. Спустя некоторое время девушка вернула деньги, но наличными.

Вот так и набежала приличная сумма - 19 миллионов 995 тысяч 43 тенге. И в какой-то момент в отделе по развитию карточных проектов обратили внимание, что возникла существенная разница по проведенным платежам. То есть деньги из банка уходили, а в банк не поступали! При проведении служебного расследования удалось выявить номера телефонов, к которым привязаны карты, получившие те самые 20 миллионов. Выяснилось, что некоторые карточки оформлены на работника “Альфа-Банка” и его родню, и банк обратился с заявлением в правоохранительные органы.

На днях в Медеуском райсуде по уголовным делам был оглашен приговор по делу Аяна Кайсабекова. Программиста признали виновным в краже в особо крупном размере, но поскольку он погасил нанесенный ущерб, судья Фаррух ОМАРОВ назначил ему условный срок. Следующие пять лет осужденный должен будет отмечаться у участкового и вести примерный образ жизни. Кстати, судя по соцсетям, сейчас Кайсабеков трудится в АО “Центр развития города Алматы” - это предприятие относится к городскому акимату. Интересно, а там знают, насколько продвинутого пользователя они взяли на работу?

Приговор суда не вступил в законную силу.

Михаил КОЗАЧКОВ, фото со страницы Аяна КАЙСАБЕКОВА в Facebook, Алматы

Поделиться
Класснуть