Опасный перевод
В период с апреля по июнь этого года количество случаев мошенничества с использованием переводов card-to-card возросло более чем в шесть раз. Об этом свидетельствуют данные Group-IB. Сразу несколько крупных российских банков, представительств международных банков и платежных сервисов получили жалобы на мошенников, которые похищали средства с банковских карт клиентов, используя поддельные страницы оплаты на сайтах онлайн-магазинов. Так, по данным Group-IB, на текущий момент один банк в среднем фиксирует 400-600 попыток такого способа мошенничества в месяц. Средний чек одного перевода составляет более 7000 руб.
Мошенники заманивают пользователей на фишинговые сайты, на которых жертвы вводят свои платежные данные на фейковых страницах оплаты, думая, что совершают покупку. Эти данные используются злоумышленниками для обращения к публичным P2P-сервисам банков для переводов на свои счета.
Исследование подозрительных операций позволило специалистам Group-IB выявить мошенническую схему, при помощи которой злоумышленники обходили существующие меры защиты онлайн-платежей, а именно - дополнительный шаг аутентификации в виде SMS-кода, высылаемого на привязанный к карте номер телефона, то есть процедуру авторизации 3D Secure (3DS).
Сценарий с использованием протокола 3D Secure выглядит так: пользователь вводит реквизиты своей карты на странице оплаты "онлайн-магазина". С нее производится запрос к сервису банка-эквайера (Merchant Plug-In, MPI), который обслуживает этот магазин. В ответ страница "получает" закодированные данные о платеже и его получателе (PaReq). Они содержат информацию о мерчанте, которая затем отображается на странице 3DS, и адрес 3DS-страницы банка-эмитента, выпустившего карту пользователя. В ответе также содержится URL-адрес страницы, на которую пользователь вернется после подтверждения платежа одноразовым кодом из SMS. Технология 3DS версии 1.0, которая сегодня используется повсеместно, хоть и защищает платежи от "внешнего" мошенника и пресекает попытки воспользоваться данными украденных карт, не предусматривает защиту от мошенничества со стороны "онлайн-магазинов".
В кейсах, изученных экспертами Group-IB, злоумышленники создавали фишинговые ресурсы - например, онлайн-магазины с поддельными страницами приема платежей. Особой любовью у них пользовались востребованные во время пандемии товары - маски, перчатки и санитайзеры. В поисках "дефицита" жертвы сами шли в руки мошенников.
В проанализированной схеме данные, вводимые покупателем на поддельной странице оплаты, использовались в режиме реального времени для обращения к публичным P2P-сервисам банков. Так, вводя код подтверждения на странице 3DS, пользователь подтверждал не покупку в онлайн-магазине, а перевод на счет злоумышленника. Для сокрытия следов использования сторонних P2P-сервисов от пользователя преступники подменяли URL-адрес возврата результата авторизации и данные о мерчанте в PaReq - получателе платежа, чтобы на странице 3DS для ввода SMS-кода отображалась не вызывающая у жертвы подозрений информация, например "Oplata".
Для предотвращения мошенничества такого рода Group-IB рекомендует банкам переходить на 3DS 2.0, в котором данная уязвимость устранена. Проблема также может быть решена при помощи дополнительного шага аутентификации в виде капчи или технологий, основанных на поведенческом анализе, которые обеспечивали бы контроль целостности страницы, собирая о ней дополнительную информацию - на каком домене она находится, какое у нее содержимое, формы и элементы.
Руководитель по развитию продуктов направления Secure Bank и Secure Portal Group-IB Павел Крылов утверждает, что, несмотря на ослабление режима самоизоляции в июне, эксперты Group-IB продолжили фиксировать значительный рост количества мошеннических P2Р-переводов в этом месяце. "Из-за глобальной пандемии и связанного с ней карантина онлайн-сервисы появились даже у тех субъектов малого и среднего бизнеса, которые раньше вели дела исключительно офлайн. Учитывая, что сегодня 3D Secure 1.0 используется в качестве дополнительного шага аутентификации большинством банков, можно говорить о том, что такой способ мошенничества с нами надолго", - дополняет Павел Крылов.
"Такой всплеск, действительно, наблюдается. В среднем рост киберпреступлений - почти в два раза с марта 2020 г., в том числе и такого типа. Данная тенденция продолжится: чем больше услуг с платежами - тем больше подобных схем и технологий", - подтверждает данные исследования директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.
"Мошенничество с использованием Р2Р-сервисов было популярным и до обозначенного периода времени. Последние месяцы лишь подтвердили тренды мошеннических схем. Поэтому такая статистика не должна удивлять, а на мой взгляд, является даже вполне логичной. С момента разработки 3DS первой версии прошло больше 20 лет, и за это время рынок онлайн-платежей существенно изменился, поэтому переход на новую версию 3DS просто необходим", - отмечает ведущий пресейл-инженер отдела информационной безопасности компании Cross Technologies Саид Атциев.
Руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин считает, что мошенничество с подменой платежей не является чем-то новым, однако его всплеск может говорить о том, что злоумышленники массово перешли на подобный способ мошенничества. Причин, по его мнению, две: либо схема стала пользоваться успехом, либо доступ к ней стал широко распространенным даже для неквалифицированных мошенников.
"Для устранения этого недостатка системы необходимо правильно реализовать функционал новой технологии 3DS2, который следует разработать, используя рекомендации по безопасности и затем проверить специалистами по анализу защищенности. При выполнении этих условий риск мошенничества способен сократиться до минимума. Однако, если введение новой технологии не представляется возможным, необходимо улучшить текущий процесс оплаты Card2Card, например добавив дополнительный фактор проверки пользователя на странице ввода данных о платеже, что сделает невозможным автоматическую подстановку платежных данных", - советует Ярослав Бабин.
Ведущий эксперт "Лаборатории Касперского" Сергей Голованов отмечает, что случаев подобного мошенничества действительно стало больше в последнее время. "Чаще всего злоумышленники пользуются низкой цифровой и финансовой грамотностью населения и, например, предлагают пользователям ввести данные своей карты на фишинговом ресурсе якобы для перевода денег для оплаты покупки. Сегодня в России существует несколько больших групп злоумышленников, которые занимаются такой деятельностью. За последние месяцы некоторым из них удалось заманить на подобные сайты примерно в четыре раза больше жертв, чем в начале года", - подчеркивает Сергей Голованов. По его словам, узнать долю случаев, когда злоумышленникам действительно удается получить деньги, сложно. Во-первых, банки активно блокируют подобные транзакции. А во-вторых, в процессе общения со злоумышленниками пользователь сам может понять, что это все же обман, а не реальная покупка.
"На мой взгляд, в ближайшее время угрозы будут только нарастать. Пандемия и самоизоляция только подстегнули развитие электронной коммерции, многие люди впервые ощутили удобство дистанционных каналов покупок и обслуживания, поэтому уже вряд ли полностью вернутся к классическим офлайн-формам. Пока нет гарантий того, что мошенники не смогут обойти защиту нового протокола мгновенных платежей, да и массовая миграция на него займет немало времени", - говорит руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Руководитель службы безопасности РГС Банка Валерий Антонов говорит, что РГС Банк также зафиксировал рост мошеннических обращений, в связи с чем для наших клиентов разработана специальная памятка по финансовой безопасности с основными рекомендациями для клиентов. По его словам, новые мошеннические схемы для хищения денег с банковских счетов, в том числе с применением приемов социальной инженерии, расцвели в период пандемии коронавируса, так как во время самоизоляции россияне резко увеличили онлайн-покупки по всех сферах жизнедеятельности. Валерий Антонов считает, тенденцию временной, так как банки принимают соответствующие меры по локализации подобных схем за счет разработки дополнительных протоколов защиты.
"По моему мнению, переход на новый протокол защиты поможет тем, что при вводе своих персональных данных за счет дополнительного шага аутентификации будет обеспечен контроль целостности страницы - например, в виде СМС-кода. Также дополнительно риски потерь можно снижать за счет того, что клиентам нужно просто выполнять рекомендации банка по финансовой безопасности: не передавать электронные ключи третьим лицам, не сообщать пароли, коды, СМС-коды, не ставить на телефоны несертифицированное ПО или ПО из сомнительных источников, не запускать файлы электронной почты, приходящие от странных адресатов, или странные файлы, пользоваться антивирусной защитой, обращать внимание на наличие защищенного подключения при работе на сайтах (обычно помечается значком "закрытого замка") , использовать многофакторную аутентификацию и не применять одни и те же пароли для финансовых и открытых систем, так как злоумышленники зачастую просто подбирают пароли для финансовых систем пользователей из списка украденных из открытой сети. В общем, обычная гигиена информационной безопасности существенно снижает потери", - сообщает Валерий Антонов.
Руководитель проектов по информационной безопасности компании BPS Кристина Анохина подтверждает слова Валерия Антонова. "Однако подобные случаи имели место и до пандемии. Фишинговые сайты создаются давно и подобные мошеннические схемы - не новость. Даже наши сотрудники, увы, попадались на них. Обычно я рекомендую всем завести отдельную банковскую карту для онлайн-платежей. Ее не нужно привязывать к онлайн-банку и не стоит хранить на ней большие суммы денег. Не нее можно переводить нужные суммы непосредственно перед оплатой покупок онлайн. Так, если вы окажетесь на мошенническом сайте - не потеряете крупных сумм. И это более безопасно, чем оплачивать товары и услуги зарплатной картой", - информирует Кристина Анохина. Она считает, что тенденция продолжится. По ее мнению, возможно, число подобных случаев снизится, но пока система онлайн-платежей функционирует так, как сейчас, это неизбежно. "Я поддерживаю меру дополнительной аутентификации. Обновление до 3DS 2.0 положительно скажется на ограничениях действий мошенников. При этом надежна будет следующая схема. Сервис оплаты переводит пользователя на страницу оплаты, там ему необходимо ввести номер телефона, средства пока не списываются, но "переводятся" в приложение банка. Далее пользователю необходимо зайти в приложение банка и подтвердить оплату счета. Например, у Тинькофф Банка уже работает подобная схема, которая защищает клиентов от мошенников", - сообщает Кристина Анохина.