Group-IB, международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, предупреждает о появлении нового типа мошенничества с использованием подложных страниц подтверждения платежей
Создавая фишинговые сайты под популярные сервисы и онлайн-магазины, мошенники научились имитировать страницы оплаты, якобы защищенные
Данный тип «развода» специалисты Group-IB впервые зафиксировали в конце 2020 года. Он относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия) и является более изощренным развитием ранее обнаруженной Group-IB схемы мошенничества с P2P-платежами. Опасность использования подложных
Рис 1. Пример фишинговой
В Group-IB подчеркивают, что круг пострадавших в данной схеме достаточно широк — это и клиент банка, скорее всего, безвозвратно потерявший свои деньги и не получивший покупку, это банк-эмитент, одобривший транзакцию, это онлайн-сервис или магазин, сайт которого подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме.
По оценке Group-IB, лишь единицы крупнейших российских банков сегодня способны защитить своих клиентов от потери денежных средств при реализации сложной, технологически продуманной и многоступенчатой схемы мошенничества с подложными

Павел Крылов
Руководитель направления по противодействию онлайн-мошенничеству
В конце прошлого года Group-IB вывела на рынок «умную» технологию Preventive Proxy для защиты от интернет-ботов, в том числе, полностью эмулирующих поведение людей. Роспатент включил ее в топ-10 главных российских изобретений 2020 года. Этот программный продукт входит в комплексную систему для борьбы с онлайн-мошенничеством Group-IB Fraud Hunting Platform (FHP), получившую признание международного аналитического агентства Gartner. Система была выведена на рынок в прошлом году и уже помогла пяти крупным российским банкам предотвратить ущерб на сумму 320 млн руб всего за 6 месяцев эксплуатации. Сейчас под защитой Group-IB FHP — более 150 млн пользователей в мире.
Как работает схема: не все 3-D Secure страницы одинаково полезны
Описанная весной прошлого года антифрод-командой Group-IB схема мошенничества с P2P-платежами выглядела следующим образом. Привлеченный мошеннической рекламой, спам-рассылкой, продажей товара или услуги на досках объявлений или иным способом, покупатель посещал фишинговую страницу интернет-магазина («мерчанта»). Стремясь оплатить выбранный товар или услугу (билет на поезд, бытовую технику, доставку и др) он вводил на мошенническом ресурсе реквизиты своей банковской карты в форму приема платежа, по аналогии с тем, как это обычно делается на привычных легитимных ресурсах.
Далее его данные попадали на сервер мошенника, откуда происходило обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника. В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса. Чтобы скрыть от «жертвы» факт использования P2P-сервиса банка на сервере мошенника производится подмена реальной информации на подложные данные об онлайн-магазине. Затем мошенники перенаправляют покупателя на легитимную
Как ни в чем не бывало, жертва вводит платежные данные, оплачивая выбранный товар. Для подтверждения транзакции ей на телефонный номер приходит СМС-код. Она вводит код в ту же форму на легитимной
Фрод года: враг у банковских ворот
Столкнувшись с этой многоступенчатой схемой мошенничества в прошлом году, банки начали вводить в своих системах дополнительные проверки платежей с сайтов мерчантов. Эффективность и доход от P2P-схемы стали падать.
В ответ на это мошенники модифицировали ее. Прежними остались следующие этапы: привлечение жертвы, создание фишинговой страницы мерчанта, использование P2P-сервисов банков. Далее схема меняется: данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми. Вместо легитимной
Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу
В результате банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь следом вводит на фишинговой

Павел Крылов
Руководитель направления по противодействию онлайн-мошенничеству