Group-IB: мошенничество с подложной страницей подтверждения онлайн-платежей нанесло ущерб 400 млн руб клиентам российских банков | Форум хакерской тематики - Программы, исходники программ.
Drag to reposition cover

Group-IB: мошенничество с подложной страницей подтверждения онлайн-платежей нанесло ущерб 400 млн руб клиентам российских банков

Hidden bot

ГЕНЕРАЛ
Сообщения
1,131
Реакции
95,154
Баллы
874,666
Group-IB, международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, предупреждает о появлении нового типа мошенничества с использованием подложных страниц подтверждения платежей 3-D Secure при покупках товаров и услуг в интернете. По данным Group-IB, ежемесячно происходит около 3,7 млн случаев мошенничества с использованием подложных 3-D Secure страниц, с которых деньги покупателей уходят напрямую мошенникам через легальную транзакцию в банке. Эксперты Group-IB, специализирующиеся на борьбе с банковским фродом, оценивают ущерб от данной схемы на сумму свыше 400 млн рублей за первые 6 месяцев 2021 года.

Создавая фишинговые сайты под популярные сервисы и онлайн-магазины, мошенники научились имитировать страницы оплаты, якобы защищенные 3-D Secure — технологией, ранее считавшаяся одной из наиболее эффективных для обеспечения защиты платежных данных пользователей при оплате покупок онлайн во всем мире.

Данный тип «развода» специалисты Group-IB впервые зафиксировали в конце 2020 года. Он относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия) и является более изощренным развитием ранее обнаруженной Group-IB схемы мошенничества с P2P-платежами. Опасность использования подложных 3-D Secure страниц состоит в том, что их достаточно сложно выявить, внешне они часто содержат логотипы международных платежных систем Visa, MasterCard или российской МИР и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн. При этом для банка-эмитента платеж его клиента выглядит легально, и в случае недовольства — клиенту будет крайне сложно вернуть свои деньги, которые он отправил мошенникам через якобы «настоящую» страницу 3-D Secure, подтвердив транзакцию проверочным кодом из СМС.


1625190534820.png


В Group-IB подчеркивают, что круг пострадавших в данной схеме достаточно широк — это и клиент банка, скорее всего, безвозвратно потерявший свои деньги и не получивший покупку, это банк-эмитент, одобривший транзакцию, это онлайн-сервис или магазин, сайт которого подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме.

По оценке Group-IB, лишь единицы крупнейших российских банков сегодня способны защитить своих клиентов от потери денежных средств при реализации сложной, технологически продуманной и многоступенчатой схемы мошенничества с подложными 3-D Secure страницами.

Как работает схема: не все 3-D Secure страницы одинаково полезны

Описанная весной прошлого года антифрод-командой Group-IB схема мошенничества с P2P-платежами выглядела следующим образом. Привлеченный мошеннической рекламой, спам-рассылкой, продажей товара или услуги на досках объявлений или иным способом, покупатель посещал фишинговую страницу интернет-магазина («мерчанта»). Стремясь оплатить выбранный товар или услугу (билет на поезд, бытовую технику, доставку и др) он вводил на мошенническом ресурсе реквизиты своей банковской карты в форму приема платежа, по аналогии с тем, как это обычно делается на привычных легитимных ресурсах.


scheme-1@2x.jpg


Далее его данные попадали на сервер мошенника, откуда происходило обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника. В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса. Чтобы скрыть от «жертвы» факт использования P2P-сервиса банка на сервере мошенника производится подмена реальной информации на подложные данные об онлайн-магазине. Затем мошенники перенаправляют покупателя на легитимную 3-D Secure страницу банка, но уже с подмененными данными, которые он и видит на этой странице.

Как ни в чем не бывало, жертва вводит платежные данные, оплачивая выбранный товар. Для подтверждения транзакции ей на телефонный номер приходит СМС-код. Она вводит код в ту же форму на легитимной 3-D Secure странице, после чего ее «перебрасывает» обратно на фишинговый ресурс, а деньги уходят на карту мошенника.

Фрод года: враг у банковских ворот

Столкнувшись с этой многоступенчатой схемой мошенничества в прошлом году, банки начали вводить в своих системах дополнительные проверки платежей с сайтов мерчантов. Эффективность и доход от P2P-схемы стали падать.

В ответ на это мошенники модифицировали ее. Прежними остались следующие этапы: привлечение жертвы, создание фишинговой страницы мерчанта, использование P2P-сервисов банков. Далее схема меняется: данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми. Вместо легитимной 3-D Secure страницы жертву перенаправляют на подложную, где ему показывается фейковая информация о магазине.

Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка.

В результате банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь следом вводит на фишинговой 3-D Secure странице. В результате, СМС-код, полученный сервером мошенников с подложной 3-D Secure страницы, используется для обращения к легитимному серверу для подтверждения мошеннического платежа.
 
Сверху