Group-IB обнаружила новую схему кражи денег при покупке товаров онлайн

Фото: Tomohiro Ohsumi / Getty Images

Мошенники разработали новый способ хищения денег у интернет-покупателей в России, с помощью которого за полгода смогли украсть более 400 млн руб. Об этом говорится в поступившем в РБК сообщении международной компании Group-IB, которая специализируется на предотвращении кибератак и расследовании высокотехнологичных преступлений.

Впервые такой тип мошенничества Group-IB зафиксировала в конце 2020 года. По данным компании, ежемесячно происходит около 3,7 млн случаев мошенничества с использованием подложных 3-D Secure страниц, с которых деньги покупателей уходят напрямую мошенникам через легальную транзакцию в банке.

Сначала жертва заходит на страницу фальшивого интернет-магазина, такие уже давно существуют в арсенале мошенников. Для убедительности злоумышленники теперь научились создавать и поддельные страницы подтверждения платежей, которые проводятся с помощью технологии 3-D Secure. Легитимные страницы 3-D Secure используются для ввода данных карт и проверочного кода из СМС-сообщения. «Мошенники научились имитировать страницы оплаты, якобы защищенные 3-D Secure — технологией, ранее считавшаяся одной из наиболее эффективных для обеспечения защиты платежных данных пользователей при оплате покупок онлайн во всем мире», — объясняют специалисты Group-IB.

При оплате товара жертва перенаправляется с фейкового интернет-магазина на поддельную страницу 3-D Secure для подтверждения оплаты, где покупателю показывается фейковая информация о магазине. На мошенническом ресурсе жертва вводит данные своей карты, а также код из СМС-сообщения, после чего деньги уходят на карту мошенника.

Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства через сервис банка для переводов с карты на карту. В результате банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь следом вводит на фишинговой 3-D Secure странице, после чего его получают мошенники и вводят на легитимной странице 3-D Secure для подтверждения мошеннического перевода. «Таким образом злоумышленники обходят фактически все проверки, реализованные сегодня на стороне банков для борьбы с такого рода мошенничеством», — говорит руководитель направления Group-IB по противодействию онлайн-мошенничеству Павел Крылов.

Поддельные 3-D Secure страницы сложно распознать пользователю, так как они часто содержат логотипы платежных систем Visa, Mastercard, «Мир» и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн, предупреждают специалисты. При этом для банка-эмитента платеж его клиента выглядит легально, и он может отказать в возврате средств клиенту, поскольку это «добровольный» платеж, подтвержденный СМС-кодом.

В Group-IB подчеркивают, что круг пострадавших в данной схеме достаточно широк: это и клиенты банка, и банк-эмитент, одобривший транзакцию, и онлайн-сервис или магазин, сайт которого подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме. По оценке компании, лишь единицы крупнейших российских банков сегодня способны защитить своих клиентов от потери денег при реализации такой схемы.

Раньше мошенники выводили деньги с поддельных интернет-магазинов с помощью банковских сервисов для перевода денежных средств между картами. В этой схеме мошенники подменяли P2P-сервис на фейковый интернет-магазин, чтобы обмануть жертву, затем перенаправляли «покупателя» на легитимную 3-D Secure страницу банка, где он вводил все платежные данные, думая, что оплачивает покупку, а на самом деле выполняя перевод мошеннику. Однако банки начали вводить дополнительные проверки таких платежей, и эффективность этого способа обмана начала падать, поэтому преступники модифицировали ее, объясняется в сообщении.

«Лаборатория Касперского» также зафиксировала такие подделки несколько недель назад, рассказал главный эксперт компании Сергей Голованов. Данный вид атаки нельзя назвать новым, так как это лишь дополнительный этап все той же атаки с использованием поддельного веб-ресурса, считает глава отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин: «Для кражи данных карты преступникам достаточно было подделать одну страницу, а теперь, уже для вывода денег, преступники добавили еще одну поддельную страницу».

Снизить вероятность реализации подобных инцидентов позволит использование банками новой версии 3DS 2.0, в которые заложены не только технологии аутентификации по коду из СМС, но и биометрическая аутентификация, например проверки по отпечатку пальца или FaceID, говорит руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев. Но речь идет именно о снижении вероятности, так как биометрические данные тоже можно перехватить.

Ключевым моментом здесь является попадание потенциальной жертвы на фишинговые ресурсы, предупреждает Мальнев: «Нужно понимать, что как только это происходит, жертва уже находится в большой опасности и у злоумышленника всегда будет масса возможностей использовать конфиденциальные и банковские данные жертвы».

По данным ЦБ, за 2020 год мошенники украли у банковских клиентов 9,7 млрд руб. Регулятор подчеркивал, что из-за пандемии и изоляции основными каналами хищений стали интернет и телефонные звонки. При этом основной объем средств — 4,2 млрд руб. — был украден при оплате товаров и услуг на фишинговых ресурсах.