Об этом говорится в новом отчете Hi-Tech Crime Trends 2021/2022 «Большой куш. Угрозы для финсектора», который анализирует актуальные киберугрозы для банков и финансовых организаций за период с H2 2020 — H1 2021. Круг пострадавших в этой схеме достаточно широк — это и клиенты банков, потерявшие свои деньги, и банки-эмитенты, одобрившие транзакцию, онлайн-сервисы или магазины, сайт которых подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме, подчеркивают в Group-IB.
Для обеспечения безопасности онлайн-платежей, а также двухфакторной аутентификации пользователя более 10 лет назад была разработана технология 3-D Secure, поддерживаемая всеми платежными системами — Visa, JCB International, AmEx и МИР (НСПК). До сих пор она являлась синонимом безопасности, пока мошенники не научились подделывать 3-D Secure страницы, говорится в отчете Group-IB.
Мошенничество с имитацией страниц подтверждения платежа было впервые замечено специалистами Group-IB в конце 2020 года. Оно относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия). Ежедневно в России обманутыми пользователями осуществлялось 11 767 платежей, суммарно это 8,6 млн руб в день, что привело к ущербу в 3,15 млрд. руб за отчетный период, исходя из среднего размера транзакции, умноженного на количество выявленных операций на фишинговых платежных страницах.
Опасность использования подложных платежных систем со страницей 3-D Secure состоит в том, что их достаточно сложно выявить, они часто содержат логотипы международных платежных систем Visa, MasterCard или российской МИР и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн. При этом для банка-эмитента платеж его клиента выглядит легально, и в случае недовольства — клиенту будет крайне сложно вернуть свои деньги, которые он отправил мошенникам через якобы «настоящую» страницу 3-D Secure, подтвердив транзакцию проверочным кодом из СМС.
Эксперты Group-IB призывают быть бдительными особенно в канун новогоднего ажиотажа вокруг покупки подарков, часть из которых приобретается онлайн.
Многоступенчатая схема с фейковой платежной системой сложна в реализации и трудно детектируема для большинства классических антифрод-решений, констатируют эксперты. Привлеченный мошеннической рекламой, спам-рассылкой, объявлением на досках объявлений, покупатель заходит на фишинговую страницу интернет-магазина, маркетплейса или онлайн-сервиса. Выбрав товар или услугу, жертва вводит на мошенническом ресурсе в форму приема платежа реквизиты своей банковской карты. Данные попадают на сервер мошенника, откуда происходит обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника.
В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса.
Данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми, но вместо легитимной 3-D Secure страницы жертву перенаправляют на подложную — с фейковой информацией о магазине.
Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка. Банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь вводит на фишинговой 3-D Secure странице. В результате, СМС-код, полученный сервером мошенников с подложной 3-D Secure страницы, используется для обращения к легитимному серверу для подтверждения мошеннического платежа.
Эксперты Group-IB прогнозируют, что вероятнее всего, как это было с рядом других мошеннических схем, «фейковые» платежные системы получат широкое распространение и за пределами России. Опасность схемы состоит в том, что перевод денег на счета мошенников выглядит абсолютно легально для банков. Отчет Hi-Tech Crime Trends 2021/2022 «Большой куш. Угрозы для финсектора» доступен для скачивания на сайте компании.