О том, как работает система безопасности сервиса приёма платежей Robokassa на примере одного интересного кейса.
Мониторинг на входе
Основная цель системы безопасности Robokassa — не допустить мошенников к использованию сервиса. Хотя для пользователя процесс проверки документов кажется быстрым, на входе проводится сложный и тщательный трёхуровневый мониторинг.
Первый уровень — портрет мерчанта. Собирается первичная информация по реализуемым товарам/услугам, среднему чеку, предполагаемому обороту подключающегося предприятия.
Второй уровень — сбор и проверка документов, необходимых для подключения предприятия к сервису.
Третий уровень — проверка заявленного контента. На этом этапе проверяется содержимое сайта, наличие на сайте необходимой информации, формы организации компании. Если есть сомнения — запрашиваются дополнительные документы (в зависимости от специфики деятельности), а также направляются запросы для проверки достоверности предоставленной информации.
Есть много факторов и признаков, по которым наша служба безопасности может определить потенциального мошенника. Например, недостоверные контактные данные на сайте, заведомо нереальные ценники («iPhone X за 123 рубля»), отсутствие оферты, недостоверные данные о юридическом лице. Полный перечень требований, которым должен соответствовать сайт, предоставляется потенциальному партнеру перед регистрацией.
По статистике последних лет, входной мониторинг отсеивает до 20% заявок от всего потока новых клиентов. Такой подход позволяет свести количество подозрительных операций в Robokassa к минимальному.
Защита пользователей и плательщиков
Входным мониторингом работа по защите клиентов и плательщиков Robokassa не ограничивается. Мы активно сотрудничаем как со службами безопасности партнёров, платёжных систем и банков-эквайеров, так и с органами охраны правопорядка.
По сомнительным операциям направляются запросы к эмитентам для получения информации о подозрительном трафике. При выявлении факта мошенничества — направляются запросы в полицию.
Robokassa защищает интересы не только интернет-предпринимателей, но и плательщиков. Только за 2018-й год был инициирован возврат средств более чем 100 жертвам мошенников.
Из практики
Пример эффективной работы нашей службы безопасности приведён в этой статье. Что интересно, рассказ ведётся с противоположной стороны: пользователь, который способствовал мошенническим действиям, недоумевает по поводу того, что его лишили возможности вывести средства и продолжать свою деятельность.
Ситуация развивалась так.
1. Очередной новый клиент подал документы на регистрацию. Он прошёл входной мониторинг, так как в это время на его сайте был совершенно нормальный контент, а также контакты юридического лица и оферта.
2. Если бы Robokassa ограничивалась входным контролем, продолжения бы не последовало. Однако мониторинг ведётся постоянно. Так что, когда наш специалист получил запрос на вывод средств и увидел, что контент сайта менялся уже трижды и выглядит подозрительно, операция была заморожена.
Товары, представленные на сайте, имели явно нереальные ценники:
А для обратной связи предлагались вот такие контакты:
Всё это не совпадало с контентом, который был на сайте во время регистрации в системе.
3. Специалист отказал подозрительному мерчанту в выводе средств, уведомил о ситуации плательщиков «сервиса по удалённому ремонту компьютеров» и связался с банками-эмитентами карт плательщиков. Параллельно специалист связался с клиентом (этим самым «сервисом») и запросил уточнение.
4. Мерчант сообщил, что он только комиссионер: услуги оказывает компания-нерезидент, у которой нет договора с Robokassa, а он только принимает платежи клиентов и получает за это комиссию. Также мерчант предоставил скриншоты, которые должны были подтвердить, что услуги оказана. Но всё это не вызвало доверия.
5. В то же время несколько плательщиков подтвердило, что данный платёж они не совершали. Более того, от нескольких банков-эмитентов поступила обратная связь — они сообщили о том, что транзакции были фродом. Организация совершала обзвон доверчивых пользователей в Австралии, получала данные их банковских карт и списывала деньги с помощью таких вот «комиссионеров».
Один из плательщиков, пострадавших от действий мошенников, прокомментировал:
«I have the necessary information you requested and I appreciate your assistance in this matter. I am one of many people falling victim to this scam because I knew I was owed a refund from a previous scam in Feb/March 2018 by the company called Tweak Software Ltd and now they are called Geekers-InfoTech operating the same scam. They notify you by a recorded message (which I have attached) on the phone saying to ring this number (03 52940510) for your refund. Due to my lack of knowledge with the banking system, particularly overseas transactions they insisted that to get the refund I must give them my credit/Visa card details and the sms pin code to get the refund. They would not accept anything else (BSB, acc no or cheque) to have this money returned to me. Once they acquire it they are no longer answering their phone and they generate fake emails saying we have approved the transaction and are happy with the service. I did not purchase anything, they just took the money for nothing. My banks fraud department is investigating this and have told me its a scam. I normally would not answer this or phone them if it wasn't for the fact that I was expecting them to do the right thing and refund me. I am too trusting in people».
Если коротко и по-русски:
Я один из многих пострадавших от этой мошеннической схемы. В феврале-марте 2018 года я пытался вернуть свои деньги, полученные компанией Tweak Software Ltd, которая теперь называется Geekers-InfoTech.
Работают они так: вам поступает звонок, аудиозапись уведомляет, что для возврата денег нужно перезвонить по определенному номеру. По этому номеру вам сообщают, что необходимо предоставить данные кредитной карты и сообщить код из SMS от банка.
Получив данные, мошенники генерируют поддельные email, в которых указывается, что вы подтвердили оплату и довольны сервисом. А сами просто списывают деньги с вашей карты и перестают отвечать на телефонные звонки.
Так они завладели и моими деньгами. Служба безопасности моего банка расследует эту ситуацию и подтверждает, что это фрод.
6. На данный момент направлен запрос в компетентные органы, и дальше будет действовать уже полиция. А деньги, привлеченные нечестным образом от доверчивых австралийцев, возвращены обманутым плательщикам.
Если тревога ложная
Изредка возникают ситуации, когда службе безопасности Robokassa, платежных сервисов или банков-партнёров кажутся подозрительными на деле безобидные операции. Такую ситуацию помогает разрешить запрос в службу поддержки/общение с сотрудником службы безопасности.
Для того, чтобы ситуация разрешилась максимально быстро, от интернет-предпринимателя потребуется следующее.
1. Подробно расписать схему работы.
2. Предоставить запрашиваемый пакет документов.
3. Предоставить детальную информацию по транзакциям и скриншоты, подтверждающие факт оказания услуги/ предоставления сервиса.
Если следовать этому алгоритму, уже через пару часов можно будет продолжить работу в обычном режиме.
Как обезопасить себя от мошенничества?
Большинство читателей VC наверняка в курсе простых правил, соблюдение которых позволяет сократить риск оказаться жертвой мошенников. Кому-то они покажутся очевидными и даже наивными. И всё-таки приведу небольшой полезный чек-лист.
1. Перед тем, как совершить покупку на сайте, проверьте его URL в адресной строке. На фишинг легко попасться — мошенники умеют делать очень похожие «подделки» знакомых вам сайтов и интернет-магазинов.
2. Убедитесь в наличии SSL-сертификата у сайта, где планируете совершать покупку. SSL-сертификат подтверждает, что домен принадлежит реальному юридическому лицу, и обеспечивает безопасное соединение между сервером сайта и вашим браузером. Подробнее о том, как проверить SSL-сертификат, — в этой статье.
3. Не сообщайте никому данные банковской карты и коды из SMS. Если вам поступает звонок от «сотрудника» по поводу вашей недавней транзакции, и он просит сообщить данные карты, кодовое слово, цифры из SMS — кладите трубку и звоните на горячую линию вашего банка. Номер обычно указан на самой банковской карте.
4. Изучайте отзывы о магазине, где планируете совершать покупку впервые. Логично читать не только отзывы на сайте самого магазина.
5. Банально, но: убедитесь, что у вас установлен антивирус и загружены актуальные вирусные базы. Не игнорируйте предупреждения антивирусов и поисковиков о том, что переходите на «потенциально опасный сайт».
Имейте в виду все пять пунктов «чек-листа» перед тем, как оплатить покупку в интернет-магазине, — это значительно сократит риск оказаться жертвой обмана.
иʞɐʚʎҺ оƍиɔɐuɔ ‘ʁǝнɓиɔ εи ʎmиu
Сейчас SSL сертификат может получить каждый желающий безо всякой аутентификации, и он не обязательно будет юридическим лицом. Причем, совершенно бесплатно в течение 30 секунд на любой домен.
Не совсем так. Точнее, совсем не так.
БольшАя часть платных сертификатов (и все бесплатные, в т.ч. и Let's Encrypt) подтверждают только то, что домен, в который стучится браузер — это тот же домен, который отдает данные. Данные не нарушены и не подделаны. Данные зашифрованы. Т.е. по сути, они ничего не говорят о владельце домена и не подтверждают, что он юрлицо. Имея доступ к SSH, можно за 5 минут получить сертификат Let's Encrypt, и за 3 минуты его продлить. Ну и автопродление там хорошо настроено.
Сертификаты, содержащие в себе не только имя домена, но и название организации, город, страну, и т.д. — дорогие, и требуют физической верификации при выпуске, вплоть до телефонного звонка из центра сертификации в организацию по телефону, указанному в регистрационных документах компании.
Из вашего комментария непонятно, в чем именно я не прав, если ниже вы сами подтвердили мои слова
Имея доступ к SSH, можно за 5 минут получить сертификат Let's Encrypt, и за 3 минуты его продлитьА) не на любой домен, очевидно же - только на домен того сервера, к которому есть ssh-доступ
Б) никто в здравом уме и не верит в сертификаты без указания организации, странно строить защиту на этом
Ладно, забейте, неважно, мир дружба жвачка
Как? Через Let's Encrypt?
Да. И с любым доменом я погорячился) Надо будет подтвердить права на него.
Во-первых, через LE выдают SSL только на 3 месяца, а срок сертификата можно проверить, а во-вторых, продление сделано через такие лютые костыли, что себе дороже.
Мы же смотрим со стороны клиента Робокассы, какая нам разница, сколько будет действовать сертификат и как сложно его продлевать? Ну а жулики вообще не парятся, их сайты обычно не живут 3 месяца.
Я подозреваю, что входной мониторинг как раз и предполагает в том числе и проверку SSL и отказ в случае сомнений адекватности сертификата, нет?
Возможно, трехмесячный сертификат - пунктик, который больше в минус склоняет доверие, чем в плюс, но вопрос в том, что пункт с SSL сертификатами находится не в описании работы входного мониторинга, а в чек-листе "как читателям обезопасить себя от мошенничества" на любых сайтах, а не только при оплате через Робокассу. Потому я и указал, что наличие SSL сертификата не подразумевает безопасность, как и наличие юрлица, как указано в пункте.
Как вариант, CloudFlare тоже дает бесплатные сертификаты, да и купить полноценный можно сегодня за 10-15 баксов.
Насколько мне известно, здесь есть нюанс: сертификаты бывают разные. Например, есть AlphaSSL или DomainSSL, которые могут получить и физические, и юридические лица. И LE, и CloudFlare дают именно такие. А есть ExtendedSSL и, к примеру, OrganizationSSL, их оформить можно только на юрлицо. При их получении проверяется не только принадлежность домена юрлицу, но и проверка самой организации. Подобные сертификаты в браузере маркируются - и выглядят иначе чем тот же AlphaSSL, например: получить их гораздо сложнее. Соответственно, остается проверять тип сертификата и делать выводы.
Не смог вспомнить ни одного интернет-магазина с расширенным сертификатом. Даже Али и Амазон имеют обычные, без названия компании в адресной строке.
Робокасса старое убогое говно. Интерфейс глючный как дипломная работа индуса-программиста.
Парадокс: все эти правила давно известны, но все равно чуть ли не каждую неделю на разных ресурсах вижу людей, которые стали жертвой мошенников и "памагити, миня абакрали". Никакой электронной грамотности в головах наших людей нет.
грамотность обычно приходит после первого инцидента, на чужих ошибках мало кто умеет учиться
К сожалению, и после первого, порой, не приходит, потому что как можно не купить айфон Х за 10 тысяч? Или перевести деньги за получение наследства. Жажда халявы - это в крови...
ну хочется же!! ну вдруг повезет)
Комментарий недоступен
Получается, что т-щ мошенник сам запилил пост на vc?? Вот это наглость)
Интересная статья, спасибо. Но вот фразы "портрет мерчанта" и "транзакции были фродом" аж слух режут. Разве нельзя было сказать "продавец" и "мошенничество"?
Я тут рисентли ходил на маркет, там один мёрчант был какой-то саспишэс. Предлагал мне iphone x за 500 баксов. Я сразу понял это фрод и сказал ему фак ю!Опять заголовок не есть действительность. Из истории не сказано, что она выявила мошенника, и что вернули деньги. Это раз, второе, она не защищает покупателя от мошенничества. Подсунули правила. Поменяйте заголовок на "Как Robokassa не предотвращает мошенничество: история доверчивого австралийца, которому еще не вернули деньги"
Из статьи - "А деньги, привлеченные нечестным образом от доверчивых австралийцев, возвращены обманутым плательщикам."
И что, кто-то поверил что ему вернули? Я нет, на возврат бабла нужно дофигище времени.
Я правильно понимаю, что ситуация такая: в статье написано, что вернули, ты говоришь, что не вернули и из доказательств у тебя только то, что ты не веришь, что их вернули?
Почитал оригинальную статью, зачем вообще отвечать таким людям? Очевидно, что на руку он не чист, потому что каких-то "аргументаль ля фаталь" он не привел, просто воду толчет и все.