Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует с начала пандемии резкий подъем мошенничества с использованием переводов card-to-card: в период с апреля по июнь этого года количество таких транзакций возросло более чем в шесть раз. Мошенники заманивают пользователей на фишинговые сайты, на которых жертвы вводят свои платежные данные на фейковых страницах оплаты, думая, что совершают покупку. Эти данные используются злоумышленниками для обращения к публичным P2P-сервисам банков для переводов на свои счета.
Сразу несколько крупных российских банков, представительств международных банков и платежных сервисов получили жалобы на мошенников, которые похищали средства с банковских карт клиентов, используя поддельные страницы оплаты на сайтах «онлайн-магазинов». Так, по данным Group-IB, на текущий момент один банк в среднем фиксирует 400-600 попыток такого способа мошенничества в месяц. Средний чек одного перевода составляет более 7 000 рублей.
Исследование подозрительных операций позволило специалистам Group-IB выявить мошенническую схему, при помощи которой злоумышленники обходили существующие меры защиты онлайн-платежей, а именно — дополнительный шаг аутентификации в виде SMS-кода, высылаемого на привязанный к карте номер телефона (процедуру авторизации 3D Secure (3DS)).
Легитимный сценарий с использованием протокола 3D Secure выглядит так: пользователь вводит реквизиты своей карты на странице оплаты онлайн-магазина. С неё производится запрос к сервису банка-эквайера (Merchant Plug-In (MPI), который обслуживает этот магазин. В ответ страница «получает» закодированные данные о платеже и его получателе (PaReq). Они содержат информацию о мерчанте, которая затем отображается на странице 3DS, и адрес 3DS-страницы банка-эмитента, выпустившего карту пользователя. В ответе также содержится URL-адрес страницы, на которую пользователь вернется после подтверждения платежа одноразовым кодом из SMS.
Технология 3DS версии 1.0, которая сегодня используется повсеместно, хоть и защищает платежи от «внешнего» мошенника и пресекает попытки воспользоваться данными украденных карт, не предусматривает защиту от мошенничества со стороны «онлайн-магазинов».
В кейсах, изученных экспертами Group-IB, злоумышленники создавали фишинговые ресурсы, например, онлайн-магазины с поддельными страницами приема платежей. Особой любовью у них, например, пользовались востребованные во время пандемии товары — маски, перчатки и санитайзеры — в поисках «дефицита» жертвы сами шли в руки мошенников.
В проанализированной схеме данные, вводимые покупателем на поддельной странице оплаты, использовались в режиме реального времени для обращения к публичным P2P-сервисам банков. Так, вводя код подтверждения на странице 3DS, пользователь подтверждал не покупку в онлайн-магазине, а перевод на счет злоумышленника. Для сокрытия следов использования сторонних P2P-сервисов от пользователя, преступники подменяли URL-адрес возврата результата авторизации и данные о мерчанте в PaReq — получателе платежа, чтобы на странице 3DS для ввода SMS-кода отображалась не вызывающая у жертвы подозрений информация, например, «Oplata».
Мошенничество с использованием P2P-платежей получило новое развитие в период глобальной пандемии. Повсеместное использование протокола 3DS версии 1.0 говорит о том, что этот вид фрода вероятнее всего получит дальнейшее распространение. Для защиты своих клиентов банкам, невольно втянутым в схему, нужно использовать системы, задействующие технологии сессионного и поведенческого анализа. В продуктовом стэке Group-IB они реализованы в продукте Secure Bank, который, анализируя поведение пользователя на странице проведения платежа, в режиме реального времени выдает вердикт об аутентичности операции, который не может быть использован повторно".
Для предотвращения мошенничества такого рода Group-IB рекомендует банкам переходить на 3DS 2.0, в котором данная уязвимость устранена. Проблема также может быть решена при помощи дополнительного шага аутентификации в виде капчи или технологий, основанных на поведенческом анализе, которые обеспечивали бы контроль целостности страницы, собирая о ней дополнительную информацию — на каком домене она находится, какое у нее содержимое, формы и элементы.