14 декабря 2021

Сорвали банк: онлайн-мошенничество с фейковой платежной системой нанесло ущерб клиентам банков в 3,15 млрд. рублей

Компания Group-IB, один из лидеров в сфере кибербезопасности, оценила ущерб для клиентов российских банков от мошеннической схемы с использованием подложных платежных систем в 3,15 млрд. рублей. Об этом говорится в новом отчете Hi-Tech Crime Trends 2021/2022 «Большой куш. Угрозы для финсектора», который анализирует актуальные киберугрозы для банков и финансовых организаций за период с H2 2020 — H1 2021. Круг пострадавших в этой схеме достаточно широк — это и клиенты банков, потерявшие свои деньги, и банки-эмитенты, одобрившие транзакцию, онлайн-сервисы или магазины, сайт которых подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме, подчеркивают в Group-IB.

Для обеспечения безопасности онлайн-платежей, а также двухфакторной аутентификации пользователя более 10 лет назад была разработана технология 3-D Secure, поддерживаемая всеми платежными системами — Visa, JCB International, AmEx и МИР (НСПК). До сих пор она являлась синонимом безопасности, пока мошенники не научились подделывать 3-D Secure страницы, говорится в отчете Group-IB.

Мошенничество с имитацией страниц подтверждения платежа было впервые замечено специалистами Group-IB в конце 2020 года. Оно относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия). Ежедневно в России обманутыми пользователями осуществлялось 11 767 платежей, суммарно это 8,6 млн руб в день, что привело к ущербу в 3,15 млрд. руб за отчетный период, исходя из среднего размера транзакции, умноженного на количество выявленных операций на фишинговых платежных страницах.

Пример фишинговой 3-D Secure страницы, расположенной на домене мошенника

Пример фишинговой 3-D Secure страницы, расположенной на домене мошенника

Опасность использования подложных платежных систем со страницей 3-D Secure состоит в том, что их достаточно сложно выявить, они часто содержат логотипы международных платежных систем Visa, MasterCard или российской МИР и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн. При этом для банка-эмитента платеж его клиента выглядит легально, и в случае недовольства — клиенту будет крайне сложно вернуть свои деньги, которые он отправил мошенникам через якобы «настоящую» страницу 3-D Secure, подтвердив транзакцию проверочным кодом из СМС.

Эксперты Group-IB призывают быть бдительными особенно в канун новогоднего ажиотажа вокруг покупки подарков, часть из которых приобретается онлайн.

Обман по шагам: как работает схема

Многоступенчатая схема с фейковой платежной системой сложна в реализации и трудно детектируема для большинства классических антифрод-решений, констатируют эксперты. Привлеченный мошеннической рекламой, спам-рассылкой, объявлением на досках объявлений, покупатель заходит на фишинговую страницу интернет-магазина, маркетплейса или онлайн-сервиса. Выбрав товар или услугу, жертва вводит на мошенническом ресурсе в форму приема платежа реквизиты своей банковской карты. Данные попадают на сервер мошенника, откуда происходит обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника.

В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса.

Многоступенчатая схема с подложной платежной системой

Многоступенчатая схема с подложной платежной системой

Данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми, но вместо легитимной 3-D Secure страницы жертву перенаправляют на подложную — с фейковой информацией о магазине.

Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка. Банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь вводит на фишинговой 3-D Secure странице. В результате, СМС-код, полученный сервером мошенников с подложной 3-D Secure страницы, используется для обращения к легитимному серверу для подтверждения мошеннического платежа.

Схема действительно опасна и крайне быстро распространяется и модифицируется. Мы неоднократно предупреждали банки о необходимости усилить защиту от схемы с подложной 3-D Secure страницей, блокируя саму возможность обращения фейковых мерчантов к легитимному серверу 3-D Secure. Как правило, это делается с помощью прямых запросов, генерируемых мошенниками, или автоматизированно, то есть, ботами. На данный момент защита от такого типа фрода есть у единиц крупнейших банков России и СНГ. Она основана на поведенческом анализе и умении отслеживать каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении в режиме реального времени, сигнализируя банку о любых подозрительных попытках совершения платежных операций.

Павел Крылов

Павел Крылов

Руководитель направления по противодействию онлайн-мошенничеству Group-IB

Эксперты Group-IB прогнозируют, что вероятнее всего, как это было с рядом других мошеннических схем, «фейковые» платежные системы получат широкое распространение и за пределами России. Опасность схемы состоит в том, что перевод денег на счета мошенников выглядит абсолютно легально для банков. Отчет Hi-Tech Crime Trends 2021/2022 «Большой куш. Угрозы для финсектора» доступен для скачивания на сайте компании.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте