Уязвимость заключается в несовершенстве сценариев обработки переводов средств при денежных переводах между физлицами.

Атака выглядит так: в банкомате выбирается операция перевода между физлицами и указывается номер карты получателя. Банк, которому принадлежит банкомат, инициирует операцию и одновременно направляет два авторизационных сообщения — банку-получателю и банку-отправителю. Подтверждение приходит почти одновременно от обоих банков и выполняется фактический перевод. То есть сумма на карте получателя увеличивается, а у отправителя, соответственно, удерживается.

Тут и кроется ошибка. Сценарий перевода в банкомате при этом не закончен. Банкомат запрашивает подтверждение отправителя на списание комиссии за совершение операции, но он не даёт согласия, и банк-инициатор отправляет сообщение о возврате в банк-отправитель и банк-получатель. «Заморозка» средств снимается, а средства уже выведены получателем.

Российские банки призывают клиентов быть бдительными при работе с банкоматами и использовании банковских карт.