Мошенники научились подделывать 3-D Secure страницы, которые являются дополнительным способом подтверждения платежей при совершении операции: в момент оплаты на ней нужно ввести код, который приходит по смс. Фейковые страницы содержат логотипы платежных систем Visa, MasterCard, "МИР" и поэтому не вызывают подозрений у покупателей.
Впервые схема была обнаружена в 2020 году, мошенничество относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия). Пользователи-жертвы проводили 11 767 платежей, суммарно это 8,6 млн руб. в день, что привело к ущербу в 3,15 млрд руб.
Схема работает так. Клиентов банков заманивают мошеннической рекламой, спам-рассылкой или объявлением на фишинговую страницу интернет-магазина, маркетплейса или онлайн-сервиса. Пользователь при оплате покупки вводит данные своей банковской карты, и они попадают на сервер мошенника. Далее идет обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника. Вместо легитимной 3-D Secure страницы жертву перенаправляют на подложную - с фейковой информацией о магазине.
Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-D Secure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка. Банк отправляет держателю карты смс-код для подтверждения платежа, который пользователь вводит на фишинговой 3-D Secure странице. Смс-код, полученный сервером мошенников с подложной 3-D Secure страницы, используется для обращения к легитимному серверу для подтверждения платежа.
Руководитель группы защиты инфраструктурных ИТ компании "Газинформсервис" Сергей Полунин отметил, что в Россию схема пришла из США. "С ростом объемов онлайн-платежей подобные схемы будут не только распространяться, но и эволюционировать", - считает старший контент-аналитик "Лаборатории Касперского" Татьяна Щербакова.
По ее словам, чтобы защитить себя от потери данных и денег при покупках онлайн, пользователи должны быть особенно внимательны при посещении сайтов, на которых предполагается ввод личной или платежной информации. Также всегда нужно проверять название сайта в адресной строке - несовпадение всего в один символ уже говорит о том, что сайт скорее всего мошеннический. Для онлайн-покупок лучше завести отдельную банковскую карту.