Мошенники похитили у россиян более 3 млрд рублей за год через имитацию страниц оплаты

Мошенники похитили у клиентов российских банков 3,15 млрд руб. через схему с использованием подложных платежных систем во втором полугодии 2020 г. и первом полугодии 2021 г., подсчитали аналитики Group-IB.

Ежедневно в России россияне совершали 11 767 платежей на счета злоумышленников на сумму 8,6 млн руб., говорится в отчете компании Hi-Tech Crime Trends 2021/2022 «Большой куш. Угрозы для финсектора». Впервые на мошенничество с имитацией страниц подтверждения платежа специалисты Group-IB обратили внимание в конце прошлого года. 

Безопасность онлайн-платежей и двухфакторной аутентификации пользователя уже более 10 лет обеспечивает протокол 3-D Secure. Его поддерживают все платежные системы — Visa, JCB International, AmEx и «Мир» (НСПК). До сих пор он была синонимом безопасности, однако мошенники научились подделывать страницы платежей, защищенные этой технологией, и похищать деньги клиентов интернет-магазинов.

Схемы с подложными платежными системами сложны в реализации и их сложно выявить для большинства классических решений, направленных на борьбу с мошенничеством, поскольку мошеннические интернет-ресурсы часто содержат логотипы платежных систем и не вызывают подозрений у пользователей, говорится в докладе. Для банка платеж выглядит как легальный, и обманутому клиенту будет сложно вернуть отправленные мошенникам деньги. 

Механизм действия мошенников выглядит следующим образом: покупатель, привлеченный мошеннической рекламой, спам-рассылкой или объявлением на досках объявлений, заходит на фишинговую страницу интернет-магазина, маркетплейса или онлайн-сервиса, где выбирает товар или услугу. Затем он вводит в форму приема платежа реквизиты своей банковской карты по аналогии с тем, как это делается на привычных ресурсах. Эти данные попадают на сервер мошенника, откуда происходит обращение к P2P-сервисам различных банков, где в качестве получателя указана одна из карт мошенника. В ответ от P2P-сервиса банка сервер мошенника получает служебное сообщение, в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса.

Чтобы скрыть от пользователя факт использования P2P-сервиса банка, на сервере мошенника в полученной от банка странице 3-D Secure реальная информация заменяется подложными данными об онлайн-магазине. Затем злоумышленники перенаправляют жертву на эту 3-D Secure страницу банка, но уже с подмененными данными, которые он и видит на этой странице. После этого пользователь вводит свои платежные данные и оплачивает выбранный товар, вводя пришедший на номер телефона СМС-код в ту же форму. Мошенники используют этот код, чтобы от имени жертвы ввести его на сервисе перевода денежных средств с карты на карту, после чего деньги жертвы переводятся на карту мошенников.

Эксперты Group-IB считают, что эта схема опасна и очень быстро модифицируется, а также может получить широкое распространение и в других регионах. «Мы неоднократно предупреждали банки о необходимости усилить защиту от схемы с подложной 3-D Secure страницей, блокируя саму возможность обращения фейковых мерчантов к легитимному серверу 3-D Secure. Как правило, это делается с помощью прямых запросов, генерируемых мошенниками, или автоматизированно, то есть ботами», — отметил руководитель направления Group-IB по противодействию онлайн-мошенничеству Павел Крылов.

По его словам, на данный момент защита от такого вида мошенничества есть только у нескольких крупнейших банков России и СНГ. Она основана на поведенческом анализе и умении отслеживать каждую сессию и поведение пользователя как на интернет-ресурсе, так и в мобильном приложении в режиме реального времени, оповещая банк о любых подозрительных попытках совершения платежных операций.