Твитнуть
Компания Group-IB оценила ущерб для клиентов российских банков от схемы с использованием фейковых платежных систем в 3,15 млрд руб.
Круг пострадавших в этой схеме достаточно широк — это и клиенты банков, потерявшие свои деньги, и банки-эмитенты, одобрившие транзакцию, онлайн-сервисы или магазины, сайт которых подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме, — объяснили в компании.
До сей поры технология «являлась синонимом безопасности», пока свет не увидел фейковые 3-DSecure страницы, - сокрушаются в Group-IB.
Схема очень проста. Пользователь попадает на фишинговую страницу онлайн-сервиса или интернет-магазина или по ссылке из рекламы, спам-рассылки или публикации на доске объявлений. Жертва вводит в форму приема платежа реквизиты своей банковской карты.
Данные оказываются на сервере мошенника, откуда происходит обращение к P2P-сервисам банков с указанием в качестве получателя нужной ему карты. Сервер получает служебное сообщение от P2P-сервиса с информацией о банковской карте плательщика, сумме перевода, названии и реквизитах использованного сервиса.
Информация о фейк-шопе и данные карты жертвы остаются нетронутыми, но человека перенаправляют на фейковую 3-DS-страницу вместо настоящей. Владельцу карты от банка отправляется смс с подтверждающим кодом. Пользователь вводит его на фишинговой странице, и код попадает к мошеннику, который использует его на сервере для подтверждения платежа.
Руководитель Group-IB по противодействию онлайн-мошенничеству Павел Крылов заявил, что компания неоднократно предупреждала банки о необходимости усилить защиту против этой схемы, обычно осуществляющейся через прямые запросы, которые генерируются вручную или с помощью ботов.
Защита от такого типа мошенничества есть у единиц крупнейших банков России и СНГ. Она основана на поведенческом анализе и умении отслеживать каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении в режиме реального времени, сигнализируя банку о любых подозрительных попытках совершения платежных операций», — пояснил Крылов.
Суммарно это 8,6 млн руб. в день, что привело к ущербу в 3,15 млрд руб. за отчетный период, исходя из среднего размера транзакции, умноженного на количество выявленных операций на фишинговых платежных страницах, — подсчитали в Group-IB.
При этом для банка-эмитента платеж его клиента выглядит совершенно легально, и в случае чего жертве будет крайне сложно вернуть свои деньги, которые он отправил через якобы «настоящую» страницу 3-DSecure, самостоятельно и добровольно подтвердив транзакцию проверочным кодом из СМС, — отмечают в Group-IB.
По его словам, каждый седьмой гражданин РФ столкнулся с телефонным мошенничеством. Жертвами были перечислены от 15 тысяч до 25 млн рублей. При этом половина из потерпевших добровольно передавали конфиденциальную информацию третьим лицам. Только вчера стало известно о возбуждении уголовного дела в Ростове-на-Дону по факту телефонного мошенничества в отношении местной жительницы, которая перечислила 11 млн рублей, рассчитывая получить доход на финансовой бирже.