25 ноября 2019, 18:50

Ссылка с подвохом. Мошенники крадут деньги, притворяясь банками, Avito и Youla

В Рунете прошла новая волна мошенничества. В дни рождения, больших распродаж, релизов долгожданных игр и других важных событий злоумышленники пишут людям в соцсетях и предлагают купить желанный товар со скидкой. Называются обманщики при этом официальными представителями той или иной компании: Avito, Xiaomi и не только. Ничего не подозревая, пользователи делают покупки. Но ничего не получают, ведь им подсовывают фейковые онлайн-магазины. Лайф рассказывает о потерпевших и о том, как не попасть на удочку.

Коллаж © LIFE. Фото © Shutterstock, © Public Domain 

Читать на сайте Life.ru

Что за кипеж? Объясните

Вскоре после релиза нашумевшей видеоигры Death Stranding пользовательница "Твиттера" с ником Сэйлор Драккарис поведала подписчикам грустную историю. Собралась было купить коллекционное издание шедевра Хидэо Кодзимы и пошла на Avito. Нашла — 12 тысяч рублей. Списалась с продавцом. Тот сразу же начал юлить. Дескать, извините, я сейчас не в Москве, но могу выслать из Великого Новгорода. Следом просит перейти в WhatsApp, справедливо отмечая, что на сайте переписываться не очень удобно.

В мессенджере продавец первым делом скинул ссылку на Avito, где можно оформить покупку, а предварительно нажать на кнопку "Как работает Авито-доставка", в которой перечислены все нюансы услуги. Продавец даже настаивает, чтобы клиент ознакомился с условиями. Так мошенник усыпил бдительность клиентки, которая, разумеется, перешла по ссылке из WhatsApp, увидела страницу товара, на которой и познакомилась с продавцом. Точнее — ей так показалась. На самом деле жертве подсунули подделку Avito. Что интересно, инструкция по доставке при этом была подлинной. В общем, мошенник сделал всё, чтобы возникло минимум подозрений.

Фото © LIFE

Фото © LIFE

Фото © LIFE

Фото © LIFE

Фото © LIFE

Постфактум, когда в контексте, конечно же, разницу между оригиналом и фейком увидеть можно. Но в процессе, когда покупаешь желанное, заметить подвох очень непросто. Во-первых, доменное имя ложной страницы — avitodelivered.ru. Вроде всё сходится: Avito — название платформы, а delivered с английского переводится как "доставлено". Во-вторых, на подсунутой странице, как и на настоящей, есть кнопка "Купить с доставкой", которая переводит на платёжную форму с графами под данные банковской карты.

Пользовательница "Твиттера", полагая, что всё идёт как надо, ввела данные и подтвердила оплату. С неё списали 12 тысяч рублей. Спустя час продавец пишет, что, мол, так и так, не могу отправить, но вот ссылка на возврат денег: введите данные карточки ещё раз — и платёж отменится. Сэйлор Драккарис покорно выполняет просьбу и вместо денег получает ещё одно оповещение о повторном списании 12 тысяч рублей.

Ужас. Кто-нибудь помог?

Слёзы, боль, истерика. Денег нет. Кто поможет? "Быть может, банк?" — понадеялась девушка. Ага, бегут и спотыкаются. Кредитная организация только и сделала, что развела руками: ведь по факту платёж оказался не совсем платежом, а переводом. А тут уж только через полицию можно решить вопрос. В Avito тоже спасения не нашлось. В ответ на жалобу, по словам Сэйлор, сервис объявлений просто забанил аккаунт мошенника. После чего он наверняка начал посыпать голову пеплом, ведь зарегистрировать новую учётную запись — проблема проблем.

Фото © LIFE

Фото © LIFE

Меж тем Лайфу рассказали, что Avito в курсе проблемы. И они используют некоторые меры предосторожности, чтобы сократить количество мошеннических акций, которые начинаются на их сайте.

Так выглядит болванка мошеннического сайта — клона Avito. Найдите 10 отличий от оригинального.

— Каждый день наш робот мониторит переписку пользователей в мессенджере Avito на наличие сомнительных ссылок, напоминающих ссылку на сайт Avito, но находящимися за пределами сайта Avito. Аккаунты таких пользователей блокируются. Скоро мы добавим функцию, которая будет предупреждать пользователей, кликающих на такие ссылки, о том, что они покидают сайт "Авито" и их оплата будет происходить на неизвестном "Авито" сайте, — успокаивает Анастасия Кожемякина, директор PR-отдела Avito.

Сэйлор последовала совету банка и написала заявление в правоохранительные органы. Как-никак, оператор техподдержки пообещал, что банк поможет расследованию. Но вот незадача. В ответ на письмо потерпевшей с фотографией уже принятого полицией заявления банк не написал ничего нового. Словно на автомате девушке ещё раз посоветовали обратиться в полицию. Будто в банке думают, что количество визитов прямо пропорционально влияет на скорость расследования.

Между мошенником и жертвой был посредник — что он говорит?

Всё верно. Купюры на сумму 24 тысячи рублей не вывалились из принтера мошенника. Они с банковского счёта Сэйлор Драккарис перешли на банковский счёт злодея. Между ними была онлайн-касса, этап интернет-эквайринга, страница онлайн-платежа. Называйте как угодно.

А это мошенническая платёжная страница. Фото © LIFE

Есть три способа сделать такую страницу. Первый — зарегистрировать ИП и подключить интернет-эквайринг в банке. Но для мошенников он, вероятно, не подходит. Поскольку: а) для физических лиц банки не формируют платёжные страницы; б) регистрировать специально для мошенничества ИП долго и небезопасно. Второй — использовать агрегаторы вроде "Робокассы" и Interkassa. Он тоже небезопасен для вора, поскольку долгий и требует раскрытия личности. Третий — создать своего "робота" для автоматических онлайн-платежей. Теоретически это подходящий вариант для злодея, но слишком трудоёмкий.

Так чем же тогда пользовался хакер?

Мы долго ломали голову над тем, как же формируется страница платежа. На скриншотах, представленных жертвой, видно доменное имя сайта-эквайера — trustedpay.ru. При его загрузке, разумеется, браузер выдаёт ошибку "Не удалось получить доступ к сайту". Впрочем, удалось загрузить страницу, сохранённую в архиве. На ней графы под данные банковской карты и неактивные кнопки "Назад" и "Продолжить". Очевидно, что сайтов-болванок у мошенников много и включаются они по мере необходимости. Подтверждает это то, что человек, обманувший Сэйлор Драккарис, просит совершить платёж именно по его отмашке. Не раньше.

Шаблон мошеннической платёжной страницы.

Что значит "включают"? Куда всё же деньги улетают?

Правильный вопрос. Покопавшись в Сети, мы обнаружили, что, хоть жалобы на описанный вид мошенничества на Avito и, к слову, Youla тоже участились только осенью 2019 года, похожим образом промышляли хакеры и раньше. Долгое время воры наживались на фейковых сайтах по продаже авиа- и ж/д билетов. Схема ровно та же: клон популярного сайта плюс идеальная платёжная форма.

В 2016 году на мошенников нарвался человек, который понимает в HTML. Потеряв деньги, он решил разобраться, где именно прокололся и как работает хитрый сайт. Он во всём разобрался и все нюансы описал на сайте habr. Мы же позволим себе коротко объяснить, в чём подвох.

Интерфейс и оформление страницы онлайн-платежа на фишинговых сайтах — поддельные. Это маска, за которой скрывается подлинный интерфейс, принадлежащий сервису по переводу денег с карты на карту. Оные есть у всех больших банков. Слева пользователь вводит данные своей карты, а справа от него скрывается уже заполненная форма с данными карты мошенника. Когда жертва нажимает "Продолжить", активируется перевод, который подтверждается коротким SMS-кодом. Рядовая операция при любой онлайн-покупке. Отсюда и впечатление именно о платеже, а не о переводе. Хотя, конечно же, в истории операций в банковском приложении видно, что был произведён перевод.

Под "включением" фейковых платёжных страниц мы подразумеваем то, что злоумышленник в нужное время подключает к пустой болванке вроде trustedpay.ru интерфейс CARD2CARD. К слову, если именно в этот момент начать ковыряться в HTML-коде страницы, можно найти номер карты злодея.

Гениально! Но неужели банки не могут отменить такой перевод?

Коллаж © LIFE. Фото © ПАО "Сбербанк"

Не могут. Поскольку пользователь переходит последний рубеж безопасности, когда подтверждает операцию кодом из SMS или Push-уведомления. Ограничение установлено не российскими банками, а непосредственно платёжными системами VISA и MasterCard.

А что действительно странно, так это то, что банк, CARD2CARD которого используется в ходе мошенничества, не сохраняет никакой информации о счёте получателя денег. Во всяком случае, специалист одного из банков декларировал нам именно такой принцип раскрытия информации. Дескать, расследованием занимается не банк, а МВД — с них и спрашивайте.

И много пользователей попадают в эту ловушку?

Точной цифры никто не знает. Но подозреваем, что много. Во всяком случае, пока готовился этот материал, мы нашли жалобы на поддельные сайты Avito, Youla, Xiaomi, BOOM Music, банка "Открытие" и не только. Все они обрабатывали людей по вышеупомянутой схеме.

— Фишинговая проблема, описанная вами, типична для рынка онлайн-торговли. Наши коллеги по рынку, онлайн-школы и магазины, часто подвергаются атакам со стороны мошенников, которые копируют сайт компании и переводят пользователей на внешние страницы, — говорит Анастасия Кожемякина из Avito.

В этом году Avast провёл любопытный опрос среди пользователей своего антивируса в России. Больше 1000 респондентов показали две версии стартовой страницы соцсети "ВКонтакте" — настоящую и поддельную — и предложили указать на истинную. Больше половины участников — 57% — выбрали фейк.

Как не попасться на удочку?

Фото © Pexels

Лайф неоднократно писал про правила онлайн-шопинга со слов специалистов по кибербезопасности. Вот ряд основных пунктов.

Заведите отдельную банковскую карту и переводите на неё столько денег, сколько необходимо для конкретной покупки. Для простоты можно использовать виртуальную карту, которая создаётся в приложении банка за пару минут. Так вы избежите хотя бы повторного списания под предлогом возврата.

Ни в коем случае не уходите из фирменного приложения или сайта онлайн-магазина. Просьба перейти в мессенджер должна служить сигналом тревоги.

Если же вы перешли в онлайн-магазин из поисковой выдачи, обязательно убедитесь в том, что он настоящий. Фишинговые сайты, как правило, используют доменные имена, которые отличаются от оригинальных. Например: не youla.ru, а youula.ru. Сторонитесь всех ресурсов, которые не являются оригинальными.

Создайте белый список счетов для перевода денег. Так как мошенники под видом платежа используют именно функцию перевода, список отменит операцию.

Не совершайте покупки с того же устройства, на которое приходит код подтверждения. Дело в том, что существуют сайты и сервисы, которые автоматически подтягивают коды безопасности.

По возможности избегайте покупок с предоплатой.

Что-нибудь ещё?

Да. Хотелось бы, чтобы сайты, с которых регулярно начинаются мошеннические операции, почаще предупреждали о присутствии на их платформе злоумышленников. Да, на том же Avito есть вкладка "Безопасность", в которой рассказано про многие способы обмана. Но она находится в самом низу сайта и написана очень маленьким шрифтом. Вероятно, от этой вкладки было бы куда больше общественной пользы, расположись она по соседству с кнопкой "Купить с доставкой" или "Написать продавцу".