Мошенники похитили более 400 млн рублей за полгода через фальшивые страницы подтверждения онлайн-платежей — Group-IB Статьи редакции
Поддельную страницу можно определить по адресу и источнику платежа.
Мошенники разработали новый способ обмана и научились имитировать страницы оплаты, якобы защищенные 3-D Secure, сообщили в Group-IB, которая специализируется на предотвращении кибератак.
«3-D Secure — технология, ранее считавшаяся одной из наиболее эффективных для обеспечения защиты платежных данных пользователей при оплате онлайн-покупок во всем мире», — объясняют в компании.
Впервые Group-IB обнаружила такую схему в конце 2020 года. Ежемесячно происходит 3,7 млн поддельных операций, к концу года потери клиентов интернет-магазинов могут превысить 1 млрд рублей.
Страницы сложно отличить от настоящих — там есть логотип платёжной системы и стандартные поля для ввода. Для банка-эмитента платёж выглядит легально.
Большинство банков даже не подозревают о том, как именно мошенники обкрадывают их клиентов, поскольку классические системы антифрода расценивают данные трансакции, как легитимные. Как результат банк отказывает клиентам в возврате потерянных денежных средств, поскольку это «добровольный» платеж, подтвержденный SMS-кодом.
Главное, на что надо обратить внимание — источник платежа в сообщении от банка с кодом подтверждения транзакции. Если указано Card2Card (с карты на карту) или P2P (от человека человеку), а перевод совершается не так, не надо вводить код.
А как попасть на такую страницу? Тема сисек не раскрыта....
https://twitter.com/ovm93/status/1409931886495928321?s=21
Да? А что за «через Яндекс заберут»?
Не понятно, в общем. Это типа через доски объяв говорят, введите данные, вам деньги придут, что ли?))
по ходу, другой способ не приходит на ум, и причём тут вообще "3-D Secure", как будто они чисто его подменяют.
Я так понял эти системы ставят сами магазины, и все клиенты туда сливают оплаты ...
А пруфы есть про 400 млн?
Вы только что скинули
А, это те эксперты, что отправляют хостеру жалобы на нарушение авторских прав, увидев на сайте трейлер сериала?
Да те ещё кончи) им главное чтобы бабки платили, а эти мрази любую херь будут нести лишь бы сайт убрать.
Блин, я наивно думал что это норм контора!
Не вижу никакой "имитации" 3дсекюра. Вижу подтверждение на перевод денег, но это не 3дсекюр.
"но это не 3дсекюр" - Нечто под названием ozon. При оплате не используется "3дсекюр". Дыры в безопасности ближе, чем вам кажется.
при первой оплате - используется. далее свой антифрод озона «решает» - требовать подтверждение или нет.
"при первой оплате - используется" - Нет.
Ага, ведь в случае 3DS отвечает банк, а не мерчант.
Сейчас профессия мошенник, самая распространённая. Это ужасно.
Уроды.Нет слов. Это полное безумие творится в стране.
Чтоб у них пальцы по отсыхали от таких дел. Беспредел и никто не найдёт их
Наверное, я брюзжащий бумер, но мне не нравится идея оплаты чего-либо на сайте. В приложении — другое дело, Алиэкспресс, Озон, там есть какая-то определённость.
Но на каком-то непонятном сайте лучше указать способ оплаты курьеру и заплатить, увидев коробочку. Тем более, курьеры сейчас все с терминалами.
И как отличить вообще предлагается? В смс сумму сверять если только?
По ссылке сайта проверять надо
Это не всегда помогает, мне кажется. Так как платёжных систем множество, как и доменов. Ведь не всегда данные карты просят на странице подтверждения банка.
Ближайший пример - донаты на VC. Откуда мне знать, что данные попутно не уходят сайту, если я не разбираюсь в технологиях.
В правом нижнем углу логотип pci dss, это значит ваши данные сайту не уходят
Вот ты ща серьёзно? Все мошенники ставят эту картинку.
Спасибо! Хоть кто то это понимает!
Точняк, сморозил глупость
Буквально вчера столкнулся https://twitter.com/ovm93/status/1409931886495928321?s=21
а тем что он требует ввести что-то кроме номера карты, не палится? :)
У любой защиты - есть свой вопрос времени.
Что интернетной, что реальной. Хотя ещё и умение наверное.
3D secure защищает страницы? Это что-то новенькое
Куда катиться этот мир...
Куда? В цифровизацию. Если раньше тырили руками купюры и монеты по карманам, то сейчас тырят с электронных счетов с помощью софта безналичные деньги.
Воры становятся все изощреннее и умнее, штош нормальную схему замутили
Условия такие
Весной лично сталкивался с этими пидарасами. Умелая имитация оплаты билетов S7 (АК "Сибирь").
Сейчас у многих таким методом пропадают и страницы и деньги.
Работа кипит полным ходом. Вот где денежки водятся. Мошенники сейчас через одного.