Group-IB предупредила о появлении нового типа мошенничества с использованием подложных страниц подтверждения платежей 3-D Secure при покупках товаров и услуг в интернете.
По данным компании, ежемесячно происходит около 3 700 000 случаев мошенничества с использованием подложных 3-D Secure страниц, с которых деньги покупателей уходят напрямую мошенникам через легальную транзакцию в банке. Эксперты оценивают ущерб от данной схемы на сумму свыше 400 млн рублей за первые шесть месяцев 2021 года.
Создавая фишинговые сайты, маскирующиеся под популярные сервисы и онлайн-магазины, мошенники научились имитировать страницы оплаты, якобы защищенные 3-D Secure. Ранее эта технология считалась одной из наиболее эффективных для обеспечения защиты платежных данных пользователей при оплате покупок онлайн во всем мире.
Впервые атаки были замечены в конце 2020 года. Они относятся к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия). Опасность использования подложных 3-D Secure страниц состоит в том, что их достаточно сложно выявить, они часто содержат логотипы международных платежных систем Visa, MasterCard или российской МИР и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн. При этом для банка-эмитента платеж его клиента выглядит легально, и в случае недовольства — клиенту будет крайне сложно вернуть свои деньги, которые он отправил мошенникам через якобы «настоящую» страницу 3-D Secure, подтвердив транзакцию проверочным кодом из SMS.
В Group-IB подчеркивают, что круг пострадавших в данной схеме достаточно широк — это и клиент банка, скорее всего, безвозвратно потерявший свои деньги и не получивший покупку, это банк-эмитент, одобривший транзакцию, это онлайн-сервис или магазин, сайт которого подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме.
Лишь единицы крупнейших российских банков сегодня способны защитить своих клиентов от потери денежных средств при реализации сложной, технологически продуманной и многоступенчатой схемы мошенничества с подложными 3-D Secure страницами.
«Распознавать фейковых “сотрудников банка” научились многие, в совершении покупок онлайн нужно быть столь же внимательными. Прежде всего, надо обращать внимание на источник платежа в SMS-сообщении от банка с кодом подтверждения транзакции. Если там указаны слова Card2Card или P2P, а при этом платеж был инициирован не с указанных ресурсов, не стоит вводить полученный код для подтверждения платежа. Банкам необходимо усилить защиту от модифицированной схемы мошенничества, блокируя саму возможность обращения фейковых мерчантов к легитимному серверу 3-D Secure. Как правило, это делается с помощью прямых запросов, генерируемых мошенниками, или автоматизированным способом, то есть ботами. На данный момент защита от такого типа фрода есть у единиц крупнейших банков страны. Эта ситуация должна меняться, иначе ущерб — финансовый и репутационный — будет расти. По нашим оценкам до конца года он может составить порядка 1 млрд руб», — говорит Павел Крылов, Руководитель направления по противодействию онлайн-мошенничеству Group-IB.
Описанная антифрод-командой Group-IB схема мошенничества с P2P-платежами выглядела следующим образом. Привлеченный мошеннической рекламой, спам-рассылкой, продажей товара или услуги на досках объявлений или иным способом, покупатель посещал фишинговую страницу интернет-магазина («мерчанта»). Стремясь оплатить выбранный товар или услугу (билет на поезд, бытовую технику, доставку и так далее) он вводил на мошенническом ресурсе реквизиты своей банковской карты в форму приема платежа, по аналогии с тем, как это обычно делается на привычных легитимных ресурсах.
Далее его данные попадали на сервер мошенника, откуда происходило обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника. В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса. Чтобы скрыть от «жертвы» факт использования P2P-сервиса банка на сервере мошенника производится подмена реальной информации на подложные данные об онлайн-магазине. Затем мошенники перенаправляют покупателя на легитимную 3-D Secure страницу банка, но уже с подмененными данными, которые он и видит на этой странице.
Как ни в чем не бывало, жертва вводит платежные данные, оплачивая выбранный товар. Для подтверждения транзакции ей на телефонный номер приходит SMS-код. Она вводит код в ту же форму на легитимной 3-D Secure странице, после чего ее «перебрасывает» обратно на фишинговый ресурс, а деньги уходят на карту мошенника.
Столкнувшись с этой многоступенчатой схемой мошенничества в прошлом году, банки начали вводить в своих системах дополнительные проверки платежей с сайтов мерчантов. Эффективность и доход от P2P-схемы стали падать.
В ответ на это мошенники модифицировали ее. Прежними остались следующие этапы: привлечение жертвы, создание фишинговой страницы мерчанта, использование P2P-сервисов банков. Далее схема меняется: данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми. Вместо легитимной 3-D Secure страницы жертву перенаправляют на подложную, где ему показывается фейковая информация о магазине.
Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка.
В результате банк отправляет держателю карты SMS-код для подтверждения платежа, который пользователь следом вводит на фишинговой 3-D Secure странице. В результате, SMS-код, полученный сервером мошенников с подложной 3-D Secure страницы, используется для обращения к легитимному серверу для подтверждения мошеннического платежа.
«Таким образом злоумышленники обходят фактически все проверки, реализованные сегодня на стороне банков для борьбы с такого рода мошенничеством. Большинство банков даже не подозревают о том, как именно мошенники обкрадывают их клиентов, поскольку классические системы анти-фрода расценивают данные транзакции, как легитимные. Как результат банк отказывает клиентам в возврате потерянных денежных средств, поскольку это „добровольный“ платеж, подтвержденный SMS-кодом», — комментирует Крылов.
