Как похищают деньги через интернет-магазины и как их вернуть. Инструкция
Не все онлайн-магазины в России защищают платежи с помощью технологии 3D Secure, которая предусматривает подтверждение операции с помощью кода из СМС, отправленного на телефонный номер, привязанный к карте покупателя. Этой уязвимостью могут воспользоваться мошенники и оплатить товары чужой картой. Однако для этого им надо найти платежные данные скомпрометированных карт. Как такое может происходить и можно ли защитить свои деньги от мошеннических платежей, разбирался РБК.
Когда на телефон не приходит подтверждение платежа
На сегодняшний день более 50% интернет-магазинов, работающих на российском рынке, не проводят платежи с использованием 3D Secure, говорит эксперт направления развития продуктов электронной коммерции международного платежного провайдера Ecommpay Артур Заремба. По данным компании по безопасности BI.ZONE («дочка» Сбербанка), порядка 74% операций в интернет-магазинах подтверждаются с помощью 3D Secure. Для иностранных магазинов же доля операций с подтверждением через 3DS не превышает 7%, сказал представитель компании, напомнив, что крупнейшим иностранным маркетплейсом, работающим в России, является AliExpress, за ним следуют eBay и Amazon.
По словам трех источников РБК на платежном рынке, 3D Secure не всегда использует крупнейший маркетплейс — AliExpress. Об этом же говорит и Заремба.
«С помощью современных технологий, построенных в том числе на базе методов машинного обучения, торговые и кредитные организации самостоятельно анализируют все транзакции и в ряде случаев не требуют подтверждения оплаты через 3DS — это практикуется практически повсеместно на Западе и уже широко распространено в России», — заявил РБК представитель AliExpress.
«Даже если с какой-то ситуацией алгоритм сталкивается впервые и пропускает потенциально рисковую операцию, покупатель защищен на других этапах: AliExpress может отменить еще не отправленный заказ и вернуть деньги самостоятельно либо, если заказ отправлен, поможет вернуть деньги по правилам платежных систем в рамках процедуры чарджбэка», — утверждает представитель маркетплейса. По его словам, вся сумма все равно вернется на счет владельца карты.
Отказ от 3DS объясняется желанием продавца увеличить проходимость платежей и количество успешных покупок, так как очень часто пользователь может получить ошибку в проведении платежа именно при попытке его проверки, объясняет Заремба: «Например, у пользователя может не открыться страница ввода 3DS пароля или, банально, не оказаться под рукой телефона, чтобы подтвердить платеж». Также, по его словам, использование 3DS увеличивает для магазинов комиссию за прием карт к оплате, которую он платит банку-эквайеру. При проведении платежей без проверки магазин берет на себя более высокие риски, например ему могут грозить штрафы от платежных систем, если он в назначенный срок не сможет показать снижение мошеннических операций и чарджбэков, говорит Заремба. «Мерчанты, особенно крупные маркетплейсы, пытаются придерживаться номинального показателя в 1% мошеннических операций», — оценивает эксперт.
Примеры краж денег через онлайн-покупки
Мошенники в дни распродажи 11 ноября смогли через платежи на AliExpress украсть с карты клиента Тинькофф Банка около 600 тыс. руб., сообщал он на портале vc.ru. Деньги с карты жертвы списались ночью 12 ноября несколькими платежами. При этом СМС с проверочным кодом для подтверждения транзакции пришло только один раз при проведении платежа на сумму около 80 тыс. руб., указывает пострадавший.
«Закон не устанавливает конкретных критериев, по которым мы обязательно должны отклонять подозрительные операции. Поэтому именно система мониторинга банка решает, подозрительная операция или нет», — ответили ему в банке. Деньги, по состоянию на 29 ноября, удалось вернуть по большинству операций, по остальным вопрос обещали закрыть до 17 января.
О еще об одном подобном случае известно корреспонденту РБК — мошенники смогли украсть деньги с карты ВТБ, совершив платежи на AliExpress ночью 11 ноября. В этом случае держатель карты не получил ни одного СМС. Деньги удалось вернуть с помощью процедуры чарджбэка в течение месяца.
ВТБ и Росбанк не зафиксировали роста жалоб от клиентов на подобное мошенничество в дни больших распродаж, сообщили они в ответ на запросы РБК. «Объем подозрительных операций в интернете, связанный с банковскими картами, стабильно высокий», — сказал заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков. По его словам, во втором полугодии 2021 года стабильно высокое число попыток мошенничества в целом по рынку связано не только с компрометацией реквизитов банковских карт, но и с обманом клиентов с помощью методов социальной инженерии.
Что делать, чтобы снизить ущерб и вернуть деньги
Чтобы провести подобные платежи через интернет-магазины, мошенники должны получить платежные данные карты: ее номер, имя владельца, срок годности и трехзначный номер с обратной стороны. Так как интернет-магазин не проводит проверку с помощью 3DS, то номер телефона, привязанный к карте, не нужен. Получить данные карты злоумышленники могут в слитых базах из интернет-магазинов, банков и так далее либо с помощью фишинговых сайтов. Такие сайты создаются мошенниками для получения данных карт: клиент думает, что вводит их для оплаты покупки, а на самом деле они попадают в руки злоумышленников.
- Чтобы снизить риск крупных потерь при получении доступа мошенников к данным карты, основные средства лучше хранить на отдельном счете в банке, не привязанном к карте. Сейчас большинство банков позволяют открыть в мобильном приложении или в интернет-банке накопительный счет и оперативно переводить деньги с карты на счет и обратно. С такого счета можно периодически пополнять карту на небольшие суммы для ежедневных расходов.
- Для онлайн-покупок также можно завести отдельную карту.
- Если мошенники все-таки украли деньги путем проведения платежей в онлайн-магазинах без 3D Secure, то клиент сможет вернуть средства. «В рамках правил, установленных платежными системами, по несанкционированным транзакциям, проведенным без использования 3D Secure, ответственность возлагается на того участника в цепочке расчетов, кто не использует данный сервис», — объясняет представитель Промсвязьбанка.
- Если торгово-сервисное предприятие не поддерживает 3D Secure, то у банк-эмитента есть право запустить процедуру возврата оспариваемых средств — чарджбэк, добавляет директор департамента информационной безопасности Росбанка Михаил Иванов. Для этого пользователь должен подать заявление в свой банк на оспаривание мошеннической операции, заявив, что он не распознает покупку и что он ее не совершал, главное — сделать это не позднее чем через 120 дней с даты совершения транзакции, рассказал Заремба. В некоторых случаях срок может быть даже больше.
- Если злоумышленник использовал карту в интернете по сценариям, не требующим двухфакторной авторизации, ее владелец сможет опротестовать такие транзакции и вернуть средства, а в некоторых случаях торговые площадки сами пойдут навстречу и вернут платеж, если заказ не был отправлен, добавляет источник РБК на рынке онлайн-торговли.
- «Но если вместе с картой злоумышленник получил доступ к телефону и смог подтвердить платеж с помощью двухфакторной авторизации, опротестовать такие операции и вернуть средства практически невозможно — это можно сделать только по решению суда при содействии правоохранительных органов», — предупреждает он.
Дайджест актуальных трендов. Электрокары, открытый банкинг и осознанное потребление
От стратегии к тактике. Как избежать рисков во время цифровой трансформации
Лёгкие на подъём. Какие возможности есть у российского рынка индустриальной недвижимости
