«В сетях обмана»: как не стать жертвой мошенников при покупках в интернете
Пандемия коронавируса вынудила многие магазины перейти на онлайн-продажи. Вместе с тем активизировались и мошенники, охотящиеся за финансами пользователей. По данным экспертов, число случаев интернет-мошенничеств, связанных с покупками в Сети во время пандемии, растет прямо пропорционально популярности сферы электронной торговли. Как защитить себя от сетевых мошенников — разбирались «Известия».
Мошенники в Сети
На фоне популярности электронных кошельков, мобильного и интернет-банкинга при покупках онлайн шанс встретить преступников в Сети оказался в разы выше, чем мошенников в офлайн-мире. В 2021 году рост подтвержденных случаев кражи персональных данных и данных платежных карт составил 20% по сравнению с предыдущим годом, рассказал «Известиям» директор департамента информационной безопасности компании Oberon Евгений Суханов.
В свою очередь, сооснователь и генеральный директор CloudPayments Дмитрий Спиридонов привел данные Центрального банка России (ЦБ РФ) за 2020 год. Согласно им, объем мошеннических операций в стране вырос на 32% — до 2,5 млрд рублей. При этом самая большая доля — 1,2 млрд рублей — пришлась на интернет-платежи.
— Причем, помимо того что в результате мошеннических действий страдают конечные пользователи, сам по себе факт наличия на рынке таких рисков дискредитирует всех участников процесса — банков-эквайеров, платежных сервисов и интернет-магазинов, что существенно усложняет процесс развития электронной коммерции в России, — объяснил эксперт.
Чаще всего хакеры используют схемы, основанные на социальной инженерии. Среди мошенников наиболее популярны фишинговые атаки, отметил Евгений Суханов. Причина в том, что с помощью таких атак чаще всего удается скомпрометировать и похитить персональную информацию, включая данные платежных карт.
Еще одна популярная схема кибермошенничества — подделка интерфейса и замена в адресной строке пары символов на сходные по начертанию. Не обращая внимания на эти едва заметные изменения, покупатель выбирает и оплачивает покупки, но в итоге ничего не получает.
— Например, не так давно была волна сообщений в медиапространстве о фейковых интернет-магазинах по продаже масок и антисептиков. Люди платили деньги и оставались ни с чем, — рассказала «Известиям» аналитик Digital Security Валерия Губарева.
Впрочем, сетевые аферисты подделывают не только узконаправленные сайты, но и порталы, принадлежащие популярным брендам. По словам ведущего инженера по информационной безопасности СДЭК Романа Маркова, использование фейковых сайтов, имитирующих доменные имена известных брендов, нужно мошенникам для того, что получить данные банковских карт доверчивых пользователей.
Сетевая грамотность
Несмотря на все ухищрения мошенников, у пользователей есть ряд приемов, при помощи которых они могут защитить себя от обмана в Сети. Первое, что стоит сделать ради собственной безопасности при покупках в режиме онлайн, — проверить домен сайта.
Киберпреступники часто создают адреса, у которых всего один-два символа отличаются от доменных имен популярных сайтов (классический фишинг). Например, не CITILINK.RU, а CITYLINС.RU. Многие пользователи могут не сразу заметить подмену и попасться на уловку мошенников. Тем более если на таком сайте анонсированы какие-то акции или на него ведет письмо в электронной почте.
— Мошенники часто используют сайты-однодневки для своих целей. Поэтому еще один способ избежать неприятностей — проверить дату регистрации доменного имени в сервисе Whois, который предоставляют регистраторы, в частности REG.RU (reg.ru/whois): вводите адрес сайта, затем система выдаст дату регистрации и срок ее завершения, — рассказал инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU Артем Мышенков.
По словам эксперта, таким образом можно узнать владельца сайта (если информация не скрыта) и другие данные. При этом опасения должны вызывать домены, созданные несколько дней, недель или месяцев назад.
Кроме того, обязательно нужно обратить внимание на наличие SSL-сертификата (Secure Sockets Layer), который защищает передачу данных между браузером клиента и сайтом (а точнее — сервером, где сайт размещен). Он должен быть установлен на каждом ресурсе, где люди оставляют свою персональную информацию: адрес доставки, данные карты, номер телефона.
Благодаря SSL-сертификату данные пользователя передаются в зашифрованном виде и киберпреступники не смогут их перехватить, чтобы затем использовать в своих целях. Понять, есть ли на сайте протокол SSL, просто.
— Большинство современных браузеров показывают его [протокол] в адресной строке справа в виде небольшого закрытого замка. Если его нет или он открыт, то SSL не подключен. В таком случае оставлять любую личную информацию на странице небезопасно, — объяснил Артем Мышенков.
Еще один важный момент, связанный с безопасностью в Сети, — это так называемый домен платежного шлюза (ДПШ). При покупке в интернет-магазине непосредственно во время транзакции стоит посмотреть на ДПШ — страницу, где вводятся данные карты. Он тоже может быть фишинговым или не иметь SSL. Как правило, корректным будет домен и шлюз известного банка или крупной платежной системы.
— Некоторые фишинговые сайты могут имитировать всплывающие окна, которые выглядят как часть браузера с кнопками «свернуть» и «закрыть», содержат адресную строку с правильным доменом и данные об SSL, но на самом деле являются частью HTML-кода фишинговой страницы, — добавил Мышенков.
По словам собеседника «Известий», такая схема популярна на сайтах, где требуется авторизация с помощью внешних сервисов. Например, это может быть сайт с розыгрышем скинов (внешний облик виртуального предмета) для CS:GO, на котором якобы нужно авторизоваться с помощью Steam.
Если вы видите всплывающее окно, которое похоже на окно браузера, попробуйте перетащить его за рамки сайта: оно откроется как новое окно. Если сделать этого не получится — значит, всплывающее окно поддельное и с высокой долей вероятности этот сайт неправомерный.
Правила покупок
Главное правило онлайн-покупок — убедиться в добросовестности продавца, считает директор по маркетингу компании Forward Leasing Василий Пителинский. По его словам, некоторые магазины до сих пор торгуют «серым» товаром, на который не распространяется гарантия производителя — при обращении в сервисный центр можно получить отказ в обслуживании. Лучше совершать все покупки через проверенные сервисы.
— Также перед покупкой стоит посмотреть среднюю цену по рынку на нужную категорию товара. Если стоимость сильно отличается от средней, лучше еще раз проверить легальность сервиса и оплатить заказ, проверив целостность и качество товара при получении, — сказал эксперт в беседе с «Известиями».
При оплате товара, добавил он, тоже нужно быть аккуратным. Данные своих карт можно предоставлять только проверенным сайтам. При этом лучше использовать отдельные виртуальные карты с небольшим лимитом — так основной счет будет недоступен для мошенников.
Безопасность данных покупателя регулируется Федеральным законом № 152-ФЗ «О персональных данных» и обязует компанию-оператора защитить их от утечки. Как правило, это совмещено с аппаратной защитой. Процессинг платежей должен проходить по защищенному каналу — через банк или платежную систему. Поэтому, отметил Пителинский, не стоит заполнять данные кредитной карты в сообщении или по телефону. Если осуществляется СМС-проверка платежа, то данные надо вводить строго на странице банка-эмитента карты.
— Используйте официальные курьерские службы. Многие порталы сотрудничают с определенной курьерской службой или предоставляют курьеров сами. Лучше воспользоваться их услугами. Даже если в процессе доставки товар будет испорчен, продавец поможет решить эту проблему, — подытожил эксперт.
Снизить риски
Для того чтобы максимально снизить риски мошенничества, нужно точно идентифицировать продавца, уверен генеральный директор юридической компании «Достигация» Артем Баранов. Совершая онлайн-покупку, всегда следует обращать внимание на то, кто является получателем платежа.
— Найдите реквизиты продавца и пробейте их через открытые источники. Удостоверьтесь на сайте налоговой в ЕГРЮЛ, что компания реально существует и как долго, удостоверьтесь, что виды деятельности подпадают под необходимые. Далее посмотрите в доступных базах судебных решений, имеются ли суды против вашего поставщика. Ну и, конечно, просто почитайте отзывы в интернете. Сейчас мир настолько прозрачен, что тяжело на постоянной основе кого-то дурить так, чтобы это не стало общественным достоянием в Сети, — сказал он, отметив, что с непроверенными источниками лучше работать по постоплате.
Если человек всё же стал жертвой мошенников, у него есть два варианта действий. Первый — взыскивать оплаченные денежные средства через суд в качестве неосновательного обогащения. В данной ситуации главным вопросом снова будет идентификация ответчика — какая компания или ИП приняла деньги. Второй способ — обращаться в полицию и просить возбудить дело по статье 159 УК РФ («Мошенничество»).
Как привлечь мошенников?
По словам ведущего юриста Европейской юридической службы Юрия Тулупова, потерпевшему нужно привести максимальное количество подробностей об обстоятельствах преступления. Заявление может быть подано в том числе с использованием официального сайта органа внутренних дел. При этом к нему могут быть приложены файлы, подтверждающие факт мошенничества, в том числе скриншоты сайта, на котором имелась информация о возможности совершения сделки через интернет.
— В случае установления мошенника вид и размер ответственности будет зависеть прежде всего от суммы похищенного. При этом во многих случаях, если эта сумма не превысит 2500 рублей, ответственность будет административной, — отметил Тулупов.
Уголовная ответственность за мошенничество без отягчающих обстоятельств предусмотрена в виде штрафа в размере до 120 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательных работ на срок до 360 часов, либо исправительных работ на срок до одного года, либо ограничения свободы на срок до двух лет, либо принудительных работ на срок до двух лет, либо лишения свободы на срок до двух лет.