Group-IB, международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, предупреждает о появлении нового типа мошенничества с использованием подложных страниц подтверждения платежей 3-D Secure при покупках товаров и услуг в интернете. По данным Group-IB, ежемесячно происходит около 3,7 млн случаев мошенничества с использованием подложных 3-D Secure страниц, с которых деньги покупателей уходят напрямую мошенникам через легальную транзакцию в банке. Эксперты Group-IB, специализирующиеся на борьбе с банковским фродом, оценивают ущерб от данной схемы на сумму свыше 400 млн рублей за первые 6 месяцев 2021 года.

Создавая фишинговые сайты под популярные сервисы и онлайн-магазины, мошенники научились имитировать страницы оплаты, якобы защищенные 3-D Secure — технологией, ранее считавшаяся одной из наиболее эффективных для обеспечения защиты платежных данных пользователей при оплате покупок онлайн во всем мире.

Данный тип «развода» специалисты Group-IB впервые зафиксировали в конце 2020 года. Он относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия) и является более изощренным развитием ранее обнаруженной Group-IB схемы мошенничества с P2P-платежами. Опасность использования подложных 3-D Secure страниц состоит в том, что их достаточно сложно выявить, внешне они часто содержат логотипы международных платежных систем Visa, MasterCard или российской МИР и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн. При этом для банка-эмитента платеж его клиента выглядит легально, и в случае недовольства — клиенту будет крайне сложно вернуть свои деньги, которые он отправил мошенникам через якобы «настоящую» страницу 3-D Secure, подтвердив транзакцию проверочным кодом из СМС.

Рис 1. Пример фишинговой 3-D Secure страницы, расположенной на домене мошенника

В Group-IB подчеркивают, что круг пострадавших в данной схеме достаточно широк — это и клиент банка, скорее всего, безвозвратно потерявший свои деньги и не получивший покупку, это банк-эмитент, одобривший транзакцию, это онлайн-сервис или магазин, сайт которого подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме.

По оценке Group-IB, лишь единицы крупнейших российских банков сегодня способны защитить своих клиентов от потери денежных средств при реализации сложной, технологически продуманной и многоступенчатой схемы мошенничества с подложными 3-D Secure страницами.

Распознавать фейковых „сотрудников банка“ научились многие, в совершении покупок онлайн нужно быть столь же внимательными. Прежде всего, надо обращать внимание на источник платежа в СМС-сообщении от банка с кодом подтверждения транзакции. Если там указаны слова Card2Card или P2P, а при этом платеж был инициирован не с указанных ресурсов, не стоит вводить полученный код для подтверждения платежа. Банкам необходимо усилить защиту от модифицированной схемы мошенничества, блокируя саму возможность обращения фейковых мерчантов к легитимному серверу 3-D Secure. Как правило, это делается с помощью прямых запросов, генерируемых мошенниками, или автоматизированным способом, т.е. ботами. На данный момент защита от такого типа фрода есть у единиц крупнейших банков страны. Эта ситуация должна меняться, иначе ущерб — финансовый и репутационный — будет расти. По нашим оценкам до конца года он может составить порядка 1 млрд руб.

Павел Крылов

Руководитель направления по противодействию онлайн-мошенничеству Group-IB

В конце прошлого года Group-IB вывела на рынок «умную» технологию Preventive Proxy для защиты от интернет-ботов, в том числе, полностью эмулирующих поведение людей. Роспатент включил ее в топ-10 главных российских изобретений 2020 года. Этот программный продукт входит в комплексную систему для борьбы с онлайн-мошенничеством Group-IB Fraud Hunting Platform (FHP), получившую признание международного аналитического агентства Gartner. Система была выведена на рынок в прошлом году и уже помогла пяти крупным российским банкам предотвратить ущерб на сумму 320 млн руб всего за 6 месяцев эксплуатации. Сейчас под защитой Group-IB FHP — более 150 млн пользователей в мире.

Как работает схема: не все 3-D Secure страницы одинаково полезны

Описанная весной прошлого года антифрод-командой Group-IB схема мошенничества с P2P-платежами выглядела следующим образом. Привлеченный мошеннической рекламой, спам-рассылкой, продажей товара или услуги на досках объявлений или иным способом, покупатель посещал фишинговую страницу интернет-магазина («мерчанта»). Стремясь оплатить выбранный товар или услугу (билет на поезд, бытовую технику, доставку и др) он вводил на мошенническом ресурсе реквизиты своей банковской карты в форму приема платежа, по аналогии с тем, как это обычно делается на привычных легитимных ресурсах.

Далее его данные попадали на сервер мошенника, откуда происходило обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника. В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса. Чтобы скрыть от «жертвы» факт использования P2P-сервиса банка на сервере мошенника производится подмена реальной информации на подложные данные об онлайн-магазине. Затем мошенники перенаправляют покупателя на легитимную 3-D Secure страницу банка, но уже с подмененными данными, которые он и видит на этой странице.

Как ни в чем не бывало, жертва вводит платежные данные, оплачивая выбранный товар. Для подтверждения транзакции ей на телефонный номер приходит СМС-код. Она вводит код в ту же форму на легитимной 3-D Secure странице, после чего ее «перебрасывает» обратно на фишинговый ресурс, а деньги уходят на карту мошенника.

Фрод года: враг у банковских ворот

Столкнувшись с этой многоступенчатой схемой мошенничества в прошлом году, банки начали вводить в своих системах дополнительные проверки платежей с сайтов мерчантов. Эффективность и доход от P2P-схемы стали падать.

В ответ на это мошенники модифицировали ее. Прежними остались следующие этапы: привлечение жертвы, создание фишинговой страницы мерчанта, использование P2P-сервисов банков. Далее схема меняется: данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми. Вместо легитимной 3-D Secure страницы жертву перенаправляют на подложную, где ему показывается фейковая информация о магазине.

Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка.

В результате банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь следом вводит на фишинговой 3-D Secure странице. В результате, СМС-код, полученный сервером мошенников с подложной 3-D Secure страницы, используется для обращения к легитимному серверу для подтверждения мошеннического платежа.

Таким образом злоумышленники обходят фактически все проверки, реализованные сегодня на стороне банков для борьбы с такого рода мошенничеством. Большинство банков даже не подозревают о том, как именно мошенники обкрадывают их клиентов, поскольку классические системы анти-фрода расценивают данные транзакции, как легитимные. Как результат банк отказывает клиентам в возврате потерянных денежных средств, поскольку это „добровольный“ платеж, подтвержденный SMS-кодом. Сегодня важнейшим функционалом банковских систем защиты становится умение обнаруживать и блокировать бот-активность, которая почти всегда является частью сложных многоступенчатых типов мошенничества, приносящих злоумышленникам сотни миллионов рублей ежемесячно.

Павел Крылов

Руководитель направления по противодействию онлайн-мошенничеству Group-IB