Когда SMS-коды не защищают — мошенники научились списывать деньги с помощью подложных платёжных страниц

Когда происходит оплата без использования самой карты, а с помощью её реквизитов, то главным «оплотом» безопасности является код, который присылает вам банк по SMS.

Если вы не введёте этот код, то оплата не пройдёт. А значит, если кто-то узнает номер карты, срок действия и заветный CVV-код, нанесённый на обороте карты, он не сможет совершить платёж, ведь SMS-код для подтверждения платежа придёт на ваш телефон.

Технология называется 3D Secure и уже есть и вторая версия, на которую постепенно переходят банки.

Придумано это для безопасности, и в целом всё работает успешно. Интернет-магазины и онлайн-сервисы могут быть спокойны — мошенник не рассчитается с помощью украденных банковских карт. Да и держатели карт тоже могут спать спокойно — если данные украдут, то воспользоваться смогут далеко не в каждом интернет-магазине, а если где-то и воспользуются (сайты, принимающие оплату без 3D Secure, ещё существуют), то им вернут деньги благодаря принципу переноса ответственности.

Однако, выяснилось, что мошенники научились жить и в условиях 3D Secure.

Как мошенники обратили 3D Secure себе на пользу

Компания Group IB опубликовала ежегодный отчёт, в котором одним из растущих видов интернет-угроз оказались подложные сайты, с помощью которых у держателей кредитных карт воруются деньги.

Упрощённо схема выглядит следующим образом:

Владелец карты тем или иным способом попадает на сайт интернет-магазина, где выбирает себе покупку.

Для оплаты он вводит реквизиты карты.

Для подтверждения платежа у него запрашивают код, который ему должен направить банк.

И такое сообщение приходит. Банк действительно отправляет код.

Покупатель указывает код.

Операция завершена!

Только в результате оказывается, что интернет-магазина вовсе не существовало, это сайт-однодневка, а код был использован для подтверждения платежа при переводе с карты на карту с помощью какого-то стороннего сервиса.

Как пишет Group IB только в России в 2021 г. ущерб от подобного мошенничества составил 3,15 млрд рублей.

Пострадавшими можно считать банки, одобрившие транзакции, интернет-магазины, под чьей «вывеской» была совершена мошенническая операция, платёжные системы, но главными пострадавшими в этой ситуации являются держатели карт — ведь они сообщили мошенникам не только реквизиты карты, но и одобрили операцию, передав в их руки код, пришедший по SMS.

Можно ли защититься от такого способа мошенничества

Схема особенно опасна из-за того, что:

Процесс оплаты для пользователя выглядит так, как процесс оплаты на обычном ресурсе.

Для банка — всё тоже довольно обычно, и выглядит как перевод с карты на карту.

Схема работает даже с новой версией протокола 3D Secure 2.

В голову приходит несколько моментов, на которые должен обращать внимание пользователь.

Во-первых, это окно сообщения банка, в котором запрашивается подтверждение — там должно быть указано, что именно подтверждается.

В отчёте приводится пример такой подложной платёжной формы.

Но вместо этой может быть отображен платёжная форма любого банка.

Однако из отчёта следует, что мошенники передают информацию о магазине в самом запросе. Они модифицируют запрос на подтверждение от сервисов переводов, и направляют в банк запрос с данными, которые содержат данные магазина.

Да и многие банки даже не выводят такую информацию клиентам.

На даже если банки начнут проверять или копировать информацию, ничто не мешает мошенникам полностью имитировать форму банка — это вопрос техники.

Кроме этого, можно проверять сообщение, которое отправляет банк по SMS.

В отчёте об этом ничего не сказано, поэтому я пошёл на один из сайтов, которые предлагают услуги перевода с карты на карту и попытался оформить перевод.

В результате я получил такое SMS-сообщение:

Здесь нет ничего, что могло бы проверить сайт, который инициировал платёж — ни адрес сайта, ни тип операции. Возможно, в других банках ситуация иная, но боюсь во многих банках просто присылается код и всё.

Остаётся только последний совет, которому столько же лет, сколько и возможности платить картой в интернете — не расплачивайтесь на подозрительных сайтах.

Как пишет Group ID, чаще всего жертва переходит на фишинговую страницу магазина через рекламу, спам-рассылку или фальшивые объявления о продаже товара.

Увы, но остаётся только принцип caveat emptor — покупатель будь осторожен.