09/07/20
Group-IB фиксирует с начала пандемии резкий подъем мошенничества с использованием переводов card-to-card: в период с апреля по июнь этого года количество таких транзакций возросло более чем в шесть раз. Мошенники заманивают пользователей на фишинговые сайты, на которых жертвы вводят свои платежные данные на фейковых страницах оплаты, думая, что совершают покупку. Эти данные используются злоумышленниками для обращения к публичным P2P-сервисам банков для переводов на свои счета.
Сразу несколько крупных российских банков, представительств международных банков и платежных сервисов получили жалобы на мошенников, которые похищали средства с банковских карт клиентов, используя поддельные страницы оплаты на сайтах «онлайн-магазинов». Так, по данным Group-IB, на текущий момент один банк в среднем фиксирует 400-600 попыток такого способа мошенничества в месяц. Средний чек одного перевода составляет более 7 000 рублей.
Исследование подозрительных операций позволило специалистам Group-IB выявить мошенническую схему, при помощи которой злоумышленники обходили существующие меры защиты онлайн-платежей, а именно – дополнительный шаг аутентификации в виде SMS-кода, высылаемого на привязанный к карте номер телефона (процедуру авторизации 3D Secure (3DS)).
Враг внутри
Легитимный сценарий с использованием протокола 3D Secure выглядит так: пользователь вводит реквизиты своей карты на странице оплаты онлайн-магазина. С неё производится запрос к сервису банка-эквайера (Merchant Plug-In (MPI), который обслуживает этот магазин. В ответ страница «получает» закодированные данные о платеже и его получателе (PaReq). Они содержат информацию о мерчанте, которая затем отображается на странице 3DS, и адрес 3DS-страницы банка-эмитента, выпустившего карту пользователя. В ответе также содержится URL-адрес страницы, на которую пользователь вернется после подтверждения платежа одноразовым кодом из SMS.
Технология 3DS версии 1.0, которая сегодня используется повсеместно, хоть и защищает платежи от «внешнего» мошенника и пресекает попытки воспользоваться данными украденных карт, не предусматривает защиту от мошенничества со стороны «онлайн-магазинов».
В кейсах, изученных экспертами Group-IB, злоумышленники создавали фишинговые ресурсы, например, онлайн-магазины с поддельными страницами приема платежей. Особой любовью у них пользовались востребованные во время пандемии товары – маски, перчатки и санитайзеры – в поисках «дефицита» жертвы сами шли в руки мошенников.
В проанализированной схеме данные, вводимые покупателем на поддельной странице оплаты, использовались в режиме реального времени для обращения к публичным P2P-сервисам банков. Так, вводя код подтверждения на странице 3DS, пользователь подтверждал не покупку в онлайн-магазине, а перевод на счет злоумышленника. Для сокрытия следов использования сторонних P2P-сервисов от пользователя, преступники подменяли URL-адрес возврата результата авторизации и данные о мерчанте в PaReq — получателе платежа, чтобы на странице 3DS для ввода SMS-кода отображалась не вызывающая у жертвы подозрений информация, например, «Oplata».
