VKDonate — история о том, как «ВКонтакте» покрывает мошенников

Всем привет! Наша команда занимается расследованием мошеннических действий в сфере онлайн платежей, а данная статья получила своё начало после разговора с моим другом, который заподозрил "что-то нечистое" в одном из популярных сервисов.

В нашей статье речь пойдет о проекте VKDonate (Донаты). Сервис был создан сторонним разработчиком примерно в 2018 году для удобного сбора пожертвований в сообществах ВКонтакте.

По началу все было хорошо, но потом началось самое интересное. Сейчас вы погрузитесь в мир мошенничества с банковскими картами и платежными системами.

В начале своей работы Донаты использовали платежную систему Unitpay. Несколько раз отключались от них и постоянно меняли платежные системы. Далее в России контроль над онлайн платежами становиться все сильнее и сильнее.

И вот Донаты уже не могут подключиться ни к одной из белых платежных систем. Вместо того чтобы перевести всю свою экосистему в состояние белого бизнеса, приложение Донаты решает обратиться к черным платежным системам.

Ниже на скриншотах наглядно демонстрируется процесс оплаты(процесс пожертвования) в приложении. Оплата происходила на под-домене pay.mdeposit.net, если перейти на основной домен, то увидим "страницу-заглушку" доменного регистратора reg.ru. Часто вы встречаете платежные системы, у которых доменное имя получено совсем недавно, а на основной странице нет ничего? Думаю нет. На самом под-домене pay. Мы видим пустую страницу.

Начинаем расследование про mdeposit.net и в первую очередь обратимся в Telegram-канал BadBank. В данном канале публикуют плохие банки, черные платежные системы, которые сотрудничают с мошенниками и другими представителями нелегального мира.

Пары постов уже достаточно, чтобы понять, что мы имеем дело с нелегальной платежной системой.

Продолжаем копать глубже. Посмотрим, информацию о домене.

Видно, что домен создан совсем не давно, а точнее в 2020 году.

На странице оплаты mdeposit.net красиво расписано про соответствие мировым стандартам платежных систем, в том числе наличие сертификата PCI DSS (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт, учрежденным международными платежными системами Visa, MasterCard, American Express, JCB и Discover.)

Идем в официальный сайт реестра VISA, чтобы проверить это: https://www.visa.com/splisting/searchGrsp.do

Приложив все усилия так и не удается найти компанию «mdeposit» в реестре VISA, которая занимается приемом платежей для сервиса VKDonate.

В интернете мало информации о «mdeposit», а по запросам в поисковиках находим это: ...

И другие страницы подобного содержания, но найти какую либо официальную информацию о компании «mdeposit» не выходит...

Вывод: «mdeposit» - мошенническая платежная система, предположительно работающая по известной мошеннической схеме. Оплачивая через такую платежную систему данные вашей банковской карты попадают в руки злоумышленников, о последствиях можно даже не говорить.

Что мы всё говорим о платежных системах, углубимся в само приложение VKDonate. И тут оказывается, что приложение тоже незаконно хранит и обрабатывает данные банковских карт, номер телефонов и другую персональную информацию своих пользователей.

Мы уже поняли, что VKDonate сотрудничает с мошенническими платежными системами, которые не против нелегально хранить данные ваших банковских карт, а в некоторых случаях и продавать на теневых формах.

Но изучив приложение более подробно, мы видим, что VKDonate самостоятельно обрабатывает данные банковских карт.

Установив приложение VKDonate можно добавить банковскую карту, после чего данные отправлялись на сервера приложения.

На скриншотах выше мы специально замаскировали персональные данные банковских карт, они также отображаются в приложении в открыто виде.

На сайте приложения (vkdonate.ru) находим пользовательское соглашение: https://vkdonate.ru/eula

Из пункта 1.8 узнаем владельца сервиса и идем в реестр РКН.

И не находим владельца сервиса VKDonate в реестре — соответственно сервис не имеет право осуществлять какую либо обработку персональных данных пользователей, тем более обработку номеров банковских карт вместе с информацией о владельце полученной из ВК.

Даже в самой политике конфиденциальности сервиса VKDonate - https://vkdonate.ru/privacy-policy не сказано про обработку номеров банковских карт сервисом.

ИП Смирнов Владимир Юрьевич (VKDonate) на момент написания статьи отсутствует в реестре https://www.visa.com/splisting/searchGrsp.do, а соответственно не имеет сертификата PCI DSS — следовательно не имеет право на обработку данных банковских карт.

Стандарт PCI DSS ориентирован на защиту основного номера держателя карты (PAN). Для получения сертификата PCI DSS необходимо прохождение специальной процедуры проверки.

Один из участников нашей команды направил обращение в Роскомнадзор о нарушениях VKDonate.

Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведении (ст. 22 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»). Это и было основной причиной для обращения в Роскомнадзор.

Был получен официальный ответ с запросом дополнительных сведений. Собрана необходимая информация и направлена в Роскомнадзор. Сейчас обращение еще в процессе обработки. Но мы продолжаем надеяться, что Роскомнадзор примет его во внимание и будут приняты соответствующие меры в сторону приложения VKDonate.

Также по нашим данным Роскомнадзор направили информацию о сервисе в ФНС Санкт-Петербурга.

Также мы обратились в официальную поддержку ВКонтакте.

Получили первичный ответ и начали ждать. Совсем скоро поступили вопросы с уточнением некоторых сведений на который мы дали ответы.

Еще немного ожидания и получаем ответ от поддержки.

Мы можем выразить отдельную благодарность конкретным лицам со стороны поддержки ВКонтакте, которые занимались данным вопросам. Все ответы были получены оперативно.

Скоро поступила первая реакция от VKDonate.

Как мы видим в официальном сообществе сервиса VKDonate был опубликован пост, вероятно с реакцией на действия поддержки ВКонтакте. По заявлению приложения были удалены все номера кошельков, а привязка банковской карты будет осуществляться на стороне платежного шлюза, имеющего на это право.

Казалось бы почти все нарушения исправлены? Но не все так просто в нашем мире.

Мы подождали пока сервис вернется к работе, чтобы подробно изучить новую схему работы VKDonate, а как оказалось позже мошенническую схему :)

Совсем скоро, а точнее 19 июля был опубликован новый пост в официальном сообществе сервиса, в котором говориться о том, что система выплат переделана, с учетом новых требований ВКонтакте. Когда это соблюдение законов стали требованиями ВКонтакте? Но теперь мы четко понимаем, что вероятнее всего это реакция на работу поддержки ВКонтакте.

Пробуем сделать новый донат. Выберем способ оплаты банковской картой.

Видим подозрительно похожую платежную форму, но раньше домен был
mdeposit.net, а теперь форма расположена на pay.cypix.ru. Еще добавили логотип CYPIX. Уже по форме оплаты можно понять, что это старая платежная система, только на новом домене. Смена доменов уже является причиной для подозрения. Но мы идем дальше.

Изучив api.cypix.ru и api.mdeposit.net мы видим, что их сервера находятся в Finland у HETZNER. Возможно и совпадение, что оба сервера находятся у одного облачного провайдера. Но это еще один + к тому, что оба домена принадлежат одному и тому же человеку.

Хорошо, теперь мы знаем, что скорее всего cypix.ru это просто новый домен старого mdeposit.net. Может быть и они исправились и теперь обрабатывают платежи законно? Посмотрим...

Не долго думая нажимаем на логотип CYPIX в платежной форме и попадаем на сайт платежной системы https://cypix.ru/.

Идём в раздел "Официальные документы", находим публичную оферту CYPIX

cypix.ru/assets/files/cypix_oferta.pdf

Сразу обращаем внимание на то, что CYPIX по договору оферты работает через РНКО "РИБ". Заходим на официальный сайт ribank.ru, и наблюдаем очень интересный текст.

Заходим на официальный сайт ЦБ РФ и ищем там РНКО "РИБ", и находим

Находим подтверждение отсутствие лицензии у РНКО "РИБ", что соответственно говорит нам о том, что возможно ранее CYPIX и работали через данное РНКО, но на данный момент такое не возможно, что ещё раз доказывает нелегальность операций через CYPIX.

Также в попытках найти CYPIX в официальном реестре VISA, оказалось что сертификата PCI DSS у них также нет. Как мы уже помним, обрабатывать данные банковских карт без данного сертификата нельзя.

На официальном сайте CYPIX есть информация о наличии PCI DSS, но без какого либо подтверждения или ссылок на сертификат, а как мы уже знаем "черные платежные системы" любят рисовать себе логотипы платежных систем и сертификатов безопасности в надежде на то, что не опытные пользователи ничего в этом не понимают.

Дальше идем обратно в само приложение VKDonate и пробуем привязать банковскую карту для выплат.

Наблюдаем, что привязка банковских карт для выплат также осуществляется через CYPIX, который не имеет права работать с банковскими картами, как мы выяснили ранее.

Привязка QIWI также идет через CYPIX, обычно платежные системы не предоставляют такую возможность, потому что для сохранения номера телефона пользователя не требуется прохождения специальной сертификации, а достаточно будет обеспечить надежную защиту и уведомить Роскомнадзор.

Тут уже появляются подозрения о том, что CYPIX сотрудничает с VKDonate, или владелец VKDonate и CYPIX напрямую связаны, а по запросу от сервиса была реализована техническая возможность привязки QIWI.

Теперь рассмотрим репутацию сервиса. Для начала пойдем в официальное сообщество сервиса VKDonate — vk.com/public166154096

Наблюдаем множество негативных отзывов, которые можно продолжать бесконечно. Основные жалобы пользователей это: проблемы с выплатами, перебои в работе сервиса. Также нами было замечено активное удаление негативных отзывов и комментариев со стороны администрации сообщества приложения VKDonate.

Еще можно заметить, что сервис подвергался взлому. Был это взлом или владелец сервиса сделал это специально, чтобы забрать побольше денег утверждать сложно, но это еще один жирный минус у репутации сервиса

Смирнов Владимир Юрьевич, исходя из официальных
документов VKDonate является владельцем данного мошеннического сервиса.

Страница ВКонтакте владельца сервиса: vk.com/id15671490

Данные об ИП Смирнов Владимир Юрьевич:

Данная информация может помочь при обращении пользователей в официальные государственные службы.

VKDonate в лице ИП Смирнов Владимир Юрьевич, является мошенническим сервисом, который нарушает законы о хранении персональных данных, незаконно хранит и обрабатывает данные банковских карт и/или сотрудничает с мошенническими платежными системами, такими как mdeposit.net и/или CYPIX, которые в свою очередь также незаконно обрабатывают персональные данные и банковские карты. Также можно сделать вывода о нарушениях налогового законодательства, так как основная масса платежей проходит в "серую". И выводы о том, что социальная сеть ВКонтакте не спешит

принять меры по блокировки и/или ограничению деятельности VKDonate на своей платформе VK Mini Apps.

Мы надеемся, что данную статью заметят сотрудники ВКонтакте и примут все необходимые меры в сторону VKDonate, доказав заботу о своих пользователях.

Мы надеемся, что все пользователи, изучившие данную стать и/или подвергнутые мошенническим действиям со стороны VKDonate помогут расследованию и направят обращения в соответствующие государственные органы и официальную поддержку ВКонтакте.

Список основных государственных служб:

#vk #vkdonate #вконтакте #мошенничество #нарушение_закона #donate #донат #пожертвования #платежные_системы #персональные_данные