Онлайн-мошенничество нанесло ущерб в три миллиарда рублей

Group-IB оценила ущерб для клиентов российских банков от мошеннической схемы с использованием подложных платежных систем в 3,15 млрд. рублей. Круг пострадавших в этой схеме достаточно широк — это и клиенты банков, потерявшие свои деньги, и банки-эмитенты, одобрившие транзакцию, онлайн-сервисы или магазины, сайт которых подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме, подчеркивают в Group-IB.

Для обеспечения безопасности онлайн-платежей, а также двухфакторной аутентификации пользователя более 10 лет назад была разработана технология 3-D Secure, поддерживаемая всеми платежными системами — Visa, JCB International, AmEx и МИР (НСПК). До сих пор она являлась синонимом безопасности, пока мошенники не научились подделывать 3-D Secure страницы, говорится в отчете Group-IB.

Мошенничество с имитацией страниц подтверждения платежа было впервые замечено специалистами Group-IB в конце 2020 года. Оно относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия). Ежедневно в России обманутыми пользователями осуществлялось 11 767 платежей, суммарно это 8,6 млн руб в день, что привело к ущербу в 3,15 млрд. руб за отчетный период, исходя из среднего размера транзакции, умноженного на количество выявленных операций на фишинговых платежных страницах.


Пример фишинговой 3-D Secure страницы, расположенной на домене мошенника

Опасность использования подложных платежных систем со страницей 3-D Secure состоит в том, что их достаточно сложно выявить, они часто содержат логотипы международных платежных систем Visa, MasterCard или российской МИР и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн. При этом для банка-эмитента платеж его клиента выглядит легально, и в случае недовольства — клиенту будет крайне сложно вернуть свои деньги, которые он отправил мошенникам через якобы «настоящую» страницу 3-D Secure, подтвердив транзакцию проверочным кодом из СМС.

Эксперты Group-IB призывают быть бдительными особенно в канун новогоднего ажиотажа вокруг покупки подарков, часть из которых приобретается онлайн.

Обман по шагам: как работает схема

Многоступенчатая схема с фейковой платежной системой сложна в реализации и трудно детектируема для большинства классических антифрод-решений, констатируют эксперты. Привлеченный мошеннической рекламой, спам-рассылкой, объявлением на досках объявлений, покупатель заходит на фишинговую страницу интернет-магазина, маркетплейса или онлайн-сервиса. Выбрав товар или услугу, жертва вводит на мошенническом ресурсе в форму приема платежа реквизиты своей банковской карты. Данные попадают на сервер мошенника, откуда происходит обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника.

В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса.


Многоступенчатая схема с подложной платежной системой

Данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми, но вместо легитимной 3-D Secure страницы жертву перенаправляют на подложную — с фейковой информацией о магазине.

Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка. Банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь вводит на фишинговой 3-D Secure странице. В результате, СМС-код, полученный сервером мошенников с подложной 3-D Secure страницы, используется для обращения к легитимному серверу для подтверждения мошеннического платежа.

«Схема действительно опасна и крайне быстро распространяется и модифицируется, — комментирует Павел Крылов, руководитель направления Group-IB по противодействию онлайн-мошенничеству. — Мы неоднократно предупреждали банки о необходимости усилить защиту от схемы с подложной 3-D Secure страницей, блокируя саму возможность обращения фейковых мерчантов к легитимному серверу 3-D Secure. Как правило, это делается с помощью прямых запросов, генерируемых мошенниками, или автоматизированно, то есть, ботами. На данный момент защита от такого типа фрода есть у единиц крупнейших банков России и СНГ. Она основана на поведенческом анализе и умении отслеживать каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении в режиме реального времени, сигнализируя банку о любых подозрительных попытках совершения платежных операций».

Эксперты Group-IB прогнозируют, что вероятнее всего, как это было с рядом других мошеннических схем, “фейковые” платежные системы получат широкое распространение и за пределами России. Опасность схемы состоит в том, что перевод денег на счета мошенников выглядит абсолютно легально для банков.