Новый способ кражи с карт: Как банки становятся соучастниками

"Пандемийный" 2020 год оказывается богатым на всё новые и новые способы кражи денег с карт граждан. Если ещё в начале года активно обсуждались новые способы, основанные исключительно на так называемой социальной инженерии и звонках якобы из банка, то к середине года появились новые эффективные способы, против которых почти невозможно ничего предпринять.

Помните, как злоумышленники обманывали пенсионеров и даже заказывали им "такси до банка", чтобы те под диктовку переводили деньги на карты преступников? Или же вам просто могли позвонить якобы из банка и прямо в телефонном разговоре выведать у вас необходимые данные под видом борьбы с несуществующей утечкой.

Эти способы уже хорошо известны, про них много пишут в интернете, где гуляет большое число аудиозаписей попыток такого обмана клиентов. Очевидно, что этот способ уже себя дискредитировал, а значит, ему на смену должно прийти нечто новое. И оно пришло. Причём оказалось таким эффективным, что жертва практически никак не может противостоять угрозе, а банки либо не могут, либо не хотят влиять на ситуацию.

Новый способ

Об активном проявлении нового способа ранее в июле сообщила компания Group-IB, специализирующаяся на кибербезопасности. Если очень кратко говорить о сути нового вида мошенничества, то всё сводится к тому, что жертва сама переводит деньги на карту злоумышленника, думая, что оплачивает покупку в интернет-магазине. Жители России этой весной сидели в самоизоляции из-за коронавируса, то есть гораздо активнее покупали что-либо в интернете. Поэтому новый способ кражи денег оказался как нельзя "кстати".

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует с начала пандемии резкий подъём мошенничества с использованием переводов card-to-card: в период с апреля по июнь этого года количество таких транзакций возросло более чем в шесть раз,

– указывает компания в своём сообщении.

Интересно, что каждый из банков (их названия компания не раскрывает) заявил о 400-600 попытках такого хищения, и всякий раз по чеку свыше 7 тыс. рублей. То есть если речь идёт о 400 случаях по 7 тыс. рублей, то в месяц на таких ложных платежах злоумышленники только на клиентах одного банка способны заработать минимум 2,8 млн рублей. Весьма прибыльный бизнес.

Суть нового вида мошенничества сводится к тому, что жертва сама переводит деньги на карту злоумышленника, думая, что оплачивает покупку в интернет-магазине. Фото: Сергей Киселёв / АГН "Москва"  

Но как же так получается, что ни жертвы обмана, ни сами банки ничего не могут с этим поделать? Тут я хочу обратить особое внимание на ответственность банков, которые обязаны надёжно охранять счета своих клиентов, но, по всей видимости, не справляются. Вы помните, как банки реагировали на кражи посредством подставных звонков? Они валили всё с больной головы на здоровую: мол, вы сами виноваты, что купились на обман по телефону. И позиция эта железобетонная, потому что возразить было нечего. Но теперь, как кажется, банкам всё-таки придётся ответить за такие кражи. Как же работает новый способ?

Покупка воздуха

Для понимания механики такой кражи придётся коснуться технологии работы платёжных систем онлайн. Когда вы заходите на сайт того или иного интернет-магазина, то после выбора товаров переходите в корзину для оплаты. Заполнив необходимые данные, вы подтверждаете покупку, а затем с сайта магазина вас переводят на страницу оплаты. Именно тут и произойдёт кража.

Если вы оплачивали когда-либо что-либо онлайн, то наверняка знаете эту платёжную страницу. На ней вам предлагается ввести номер карты, имя владельца, срок действия, а также CVV/CVC код, указанный на обратной стороне карты. Так как банк хочет защитить вас от мошенников, то страница работает по технологии 3DSecure – на ней есть поле для ввода числового кода, который приходит на телефон в виде СМС-сообщения. По такой технологии работают онлайн-платежи, например, в Сбербанке. Кажется, что всё надёжно, однако это не так.

Фото: скриншот страницы оплаты при помощи технологии 3DSecure в наиболее популярных платёжных системах Visa и MasterCard

Этот способ подтверждения действия называется двухфакторной аутентификацией. Сейчас её используют не только банки и платёжные системы, но даже социальные сети или мессенджеры. Нужна она для того, чтобы проверить подлинность лица двумя независимыми способами: не только парой логин/пароль (или вводимыми данными карты), но и кодом. Так вот в ситуации с кражей денег ахиллесовой пятой оказывается именно та технология, которая призвана обезопасить платёж, – 3DSecure.

Дело в том, что перед человеком, совершающим платёж по карте, оказывается вовсе не то, что он видит. Мошенники научились подделывать эти платёжные страницы и на самом деле вас перенаправляют не на страницу платежа, а на страницу перевода денег P2P – с карты на карту (такие публичные сервисы есть на сайте почти каждого крупного банка). Но вы не поймёте, что переводите деньги кому-то. На странице будет привычная кнопка "оплатить" (а вовсе не "перевести"), а номер карты, на которую осуществляется перевод, будет скрыт. Всё выглядит так, будто вы реально оплачиваете покупку.

В кейсах, изученных экспертами Group-IB, злоумышленники создавали фишинговые ресурсы, например онлайн-магазины с поддельными страницами приёма платежей. Особой любовью у них, например, пользовались востребованные во время пандемии товары – маски, перчатки и санитайзеры – в поисках дефицита жертвы сами шли в руки мошенников,

– говорится в том же сообщении компании.

Так в чём же проблема? Технология 3DSecure, конечно, позволяет защитить от мошенничества, например, с украденными данными карт. Злоумышленник попросту не оплатит ничего украденной у вас картой, так как не введёт код, приходящий на телефон. Однако технология не защищает от мошенничества со стороны самих онлайн-магазинов. Это и есть та "дыра", которой пользуются.

Скорее всего, большинство из фейковых страниц оплаты создаются на фейковых же страницах магазинов. Но нельзя исключать и взлома самих сайтов магазинов, когда после перехода из корзины открывается не настоящая, а поддельная форма оплаты.

Как с этим бороться

Рядовому покупателю, к сожалению, противопоставить такой схеме кражи практически нечего. Всё выглядит очень правдоподобно. Даже специалист не всегда догадается сразу. И в организации такого "хакинга" мы видим новые и удивительные способы взлома. Такая хакерская деятельность – это уже не создание вредоносного кода, троянской программы и так далее. Тут речь идёт о создании полноценного сайта онлайн-магазина. Красивого, функционального, удобного, но… поддельного.

Специалисты грешат исключительно на технологию 3DSecure версии 1.0, которую используют почти все российские банки. А ведь уже есть 3DSecure 2.0, в которой эта уязвимость устранена. Но банки не хотят ничего менять, ведь смена технологий онлайн-оплаты – дело, очевидно, недешёвое.

Технология 3DSecure позволяет защитить от мошенничества, например, с украденными данными карт. Злоумышленник не оплатит ничего украденной у вас картой, так как не введёт код, приходящий на телефон. Но не защищает от мошенничества со стороны самих онлайн-магазинов. Фото: Александр Авилов / АГН "Москва"  

Поэтому главный совет – пользуйтесь только большими или же проверенными онлайн-магазинами. Не стоит в погоне за самой низкой ценой доверять странному магазину со странным web-адресом. Не исключено, что такой магазин, "продающий" товары подозрительно дешевле остальных, подделка. Тревожным признаком будет и отсутствие у такого магазина какого-либо другого способа оплаты (например, наличными), а также работа только "на доставку" без возможности самовывоза или доставки до пунктов выдачи курьерскими службами.

Этот способ защиты я считаю основным, потому что в инициативу банков в борьбе с такими злоумышленниками верится слабо. В данном случае банкам почти всё равно, куда идут списанные со счёта клиента деньги: на оплату покупки или на другую карту, особенно если она выдана в том же банке. Их-то никто не грабит – грабят вас. Это как в случае с пенсионерами, которых по телефону убеждали перевести деньги на другую карту. Банки говорят, что пострадавший виноват сам, что поверил. Ну а как тут не поверить?

Кстати, больше доверия лично у меня вызывают такие формы оплаты, где требуется ввести ещё что-то, кроме данных карты и присланного кода. Они встречаются редко, но встречаются. Наверняка вы видели просьбу ввести код с картинки (captcha) и тому подобное. Выглядит это не всегда эстетично, но оказывается надёжнее, так как в довесок к двухфакторной аутентификации появляется ещё один канал верификации данных.

В целом же мне очевидно, что при попустительстве банков способы мошенничества, связанные с созданием поддельных платёжных страниц, будут лишь множиться. Проблему должны решать вовсе не специалисты в сфере кибербезопасности, дающие советы банкам. Проблема киберпреступности – это дело правоохранительных органов, которые, увы, зачастую не знают, как на это реагировать.

Они, конечно, примут у вас заявление о краже денег. Но как они будут искать того, кто украл? И главное, как вам добиться возвращения этой суммы, которая фактически является не украденной, а как бы добровольно переведённой, и этот перевод, согласно системам банка, вы сами же и одобрили? Пока в делах о таком мошенничестве вопросов больше, чем ответов.