Ложные платежные

Компания Group-IB в отчете Hi-Tech Crime Trends 2021/2022 "Большой куш. Угрозы для финсектора", который анализирует актуальные киберугрозы для банков и финансовых организаций за период со второго полугодия 2020 г. до первого полугодия 2021 г., оценила ущерб для клиентов российских банков от мошеннической схемы с использованием подложных платежных систем в 3,15 млрд руб. Круг пострадавших в этой схеме достаточно широк - это и клиенты банков, потерявшие свои деньги, и банки-эмитенты, одобрившие транзакцию, онлайн-сервисы или магазины, сайт которых подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме, подчеркивают в Group-IB.

В отчете Group-IB отмечается, что для обеспечения безопасности онлайн-платежей, а также двухфакторной аутентификации пользователя более 10 лет назад разработана технология 3-D Secure, поддерживаемая всеми платежными системами - Visa, JCB International, AmEx и МИР (НСПК). Технология была надежной, пока мошенники не научились подделывать страницы 3-D Secure. Мошенничество с имитацией страниц подтверждения платежа впервые замечено специалистами Group-IB в конце 2020 г. Оно относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия). Ежедневно в России обманутыми пользователями осуществлялось 11 767 платежей, суммарно это 8,6 млн руб. в день, что привело к ущербу в 3,15 млрд руб. за отчетный период, исходя из среднего размера транзакции, умноженного на количество выявленных операций на фишинговых платежных страницах.

"Поскольку схема эффективна - это как минимум видно по суммам ущерба, - мошенники стремятся ее максимально масштабировать. По нашим прогнозам, если банки и платежные системы не примут меры - а защита от такого типа фрода основана на поведенческом анализе и умении отслеживать каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении в режиме реального времени, сигнализируя банку о любых подозрительных попытках совершения платежных операций, - афера активно распространится не только в России, но и в СНГ и странах мира", - рассказали в пресс-службе Group-IB корреспонденту ComNews.

По словам авторов отчета, опасность использования подложных платежных систем со страницей 3-D Secure состоит в том, что их достаточно сложно выявить, они часто содержат логотипы международных платежных систем Visa, MasterCard или российской МИР и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн. При этом для банка-эмитента платеж его клиента выглядит легально, и в случае недовольства - клиенту будет крайне сложно вернуть свои деньги, которые он отправил мошенникам через якобы "настоящую" страницу 3-D Secure, подтвердив транзакцию проверочным кодом из СМС.

Руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев полагает, что пока схема с фейковыми платежками - не самый распространенный способ мошенничества. Но он также отмечает, что, судя по тому, как схема описана коллегами из Group-IB, возможна ее быстрая популяризация - если злоумышленники увидят ее большую эффективность относительно других способов мошенничества.

"Именно от этого зависит ее распространение в будущем. Если фейковые платежки окажутся менее трудозатратными и более эффективными в смысле отъема денег у населения, а логика работы порталов 3-D Secure и банков не поменяется, то использовать эту схему будут чаще. С другой стороны, если логику немного изменят и возможности обращения фейковых мерчантов к легитимному серверу 3-D Secure начнут блокировать, то этот вариант мошенничества можно будет отсечь", - заключает Павел Коростелев.

По мнению руководителя направления Solar webProxy компании "Ростелеком-Солар" Петра Куценко, схема с фейковыми страницами 3-D Secure используется для проведения фишинговых атак, поэтому средства защиты должны быть такими же, как и от фишинга. Он считает, что пользователям следует быть бдительными при переходе по ссылкам из непроверенных писем, проверять домены веб-сайтов, на которых запрашивают платежную информацию.

"В следующем году ожидается увеличение доли присутствия платежеспособного населения в интернете и уровня доверия к онлайн-оплатам. Учитывая это, повышение количества фишинговых атак с поддельными 3-D-Secure-страницами неминуемо", - отмечает Петр Куценко.

Директор по ИТ компании Oberon Дмитрий Пятунин говорит, что вид мошенничества с фейковыми платежами достаточно распространен из-за простой реализации. По его словам, злоумышленник приобретает доменное имя, которое хорошо индексируется поисковыми системами, размещает на нем фишинговый сайт по предоставлению товаров или услуг, а также форму для ввода платежных данных. Далее преступник настраивает поддельную страницу 3-D Secure, чтобы получить код безопасности, и готовит простой скрипт для автоматической передачи полученных данных в счет оплаты другой покупки или пополнения виртуального счета. Эксперт отмечает, что для придания большей уверенности пользователю мошенник может оказать качественную консультацию по телефону о предлагаемых товарах и услугах.

"На сегодняшний день нет эффективных инструментов для блокировки фишинговых сайтов, поэтому такой ресурс может существовать длительное время, а затем злоумышленники приобретают другое доменное имя, переносят готовое решение с минимальными изменениями и продолжают преступную деятельность", - заключает Дмитрий Пятунин.

Авторы отчета Group-IB поясняют, что многоступенчатая схема с фейковой платежной системой сложна в реализации и трудно детектируема для большинства классических антифрод-решений. Привлеченный мошеннической рекламой, спам-рассылкой, объявлением на досках объявлений покупатель заходит на фишинговую страницу интернет-магазина, маркетплейса или онлайн-сервиса. Выбрав товар или услугу, жертва вводит на мошенническом ресурсе в форму приема платежа реквизиты своей банковской карты. Данные попадают на сервер мошенника, откуда происходит обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника.

В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq-сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизитах использованного P2P-сервиса. Данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми, но вместо легитимной страницы 3-D Secure жертву перенаправляют на подложную - с фейковой информацией о магазине.

Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка. Банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь вводит на фишинговой странице 3-D Secure. В результате СМС-код, полученный сервером мошенников с подложной страницы 3-D Secure, используется для обращения к легитимному серверу для подтверждения мошеннического платежа.

"Схема, действительно, опасна и крайне быстро распространяется и модифицируется. Мы неоднократно предупреждали банки о необходимости усилить защиту от схемы с подложной страницей 3-D Secure, блокируя саму возможность обращения фейковых мерчантов к легитимному серверу 3-D Secure. Как правило, это делается с помощью прямых запросов, генерируемых мошенниками, или автоматизировано, то есть ботами. На данный момент защита от такого типа фрода есть у единиц крупнейших банков России и СНГ. Она основана на поведенческом анализе и умении отслеживать каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении в режиме реального времени, сигнализируя банку о любых подозрительных попытках совершения платежных операций", - комментирует руководитель направления Group-IB по противодействию онлайн-мошенничеству Павел Крылов.

Ведущий инженер CorpSoft24 Михаил Сергеев предполагает, что с этой схемой, вероятно, уже начали бороться и в ближайшее время появится механизм, который сведет ее на нет, например, если принимать запросы только от продавцов из белого списка.

"Для бдительных граждан схема не очень опасна, так как кража денег с карты происходит при покупке в каком-либо поддельном интернет-магазине, при вводе смс/пуш-кода одновременно происходит обращение и к настоящему серверу 3-D Secure, для банка это стандартная операция, как будто пользователь сам переводил деньги через сервис банка с карты на карту, и банк проводит эту операцию. Схема, как правило, работает из-за жадности покупателя: многие находят в сети магазины, которые продают товары с ценой в разы ниже рыночной, покупают там товары, и их деньги уходят мошенникам, есть смысл покупать только в проверенных или известных магазинах", - советует Михаил Сергеев.

Эксперты Group-IB прогнозируют, что, вероятнее всего, как это было с рядом других мошеннических схем, фейковые платежные системы получат широкое распространение и за пределами России. Опасность схемы состоит в том, что перевод денег на счета мошенников выглядит абсолютно легально для банков.

"Чтобы обезопасить пользователей, банковский сектор должен повышать осведомленность своих клиентов о различных схемах злоумышленников и правилах безопасного поведения в онлайне и офлайне. Кроме того, представители банков могут сотрудничать с МВД и передавать данные для проведения расследований", - отмечает Петр Куценко из "Ростелеком-Солар".

Дмитрий Пятунин из Oberon уверен, что для повышения качества обнаружения и блокирования подозрительных платежей необходимо использовать инновационные технологии. В пример он приводит AI, обученный на инцидентах фрод-атак и технологиях идентификации пользователей надежным способом. Еще, по его словам, важно четко выстроить процесс взаимодействия с клиентом для оперативного подтверждения сомнительных операций и его информирования, а также необходимо внесение изменений, нацеленных на борьбу с угрозой, в законодательство и ужесточение ответственности за совершение киберпреступлений.

"Банкам необходимо усилить защиту от данной схемы мошенничества, запрещая возможность обращения фейковых мерчантов к настоящем серверу 3-D Secure. Также необходимо использовать 3DS 2.0 - это версия протокола 3DS нового поколения. 3-D Secure 2.0 обеспечивает дополнительный уровень безопасности при осуществлении транзакций электронной коммерции. Этот протокол позволяет осуществлять обмен данными между продавцом, эмитентом карты и, при необходимости, потребителем, для подтверждения того, что транзакция инициирована подлинным владельцем счета", - отвечает Михаил Сергеев из CorpSoft24 на вопрос ComNews о том, как помочь банкам бороться с вышеизложенной мошеннической схемой.