Один из моих друзей опубликовал интересный пост о мошеничестве с помощью подменного сайта в объявлениях Яндекс.Директа. Поскольку за пару часов после публикации никто из сотрудников Яндекса не отреагировал, стало интересно разобраться в схеме.
Итак. Сам пост:
В чем суть. Захожу в Яндекс, набираю запрос «s7.ru» и вижу две идентичных ссылки на официальный сайт S7 — первая ссылка из директа, вторая из поисковой выдачи. Причем обе ссылки имеют синюю галочку подтвержденного профиля.
По клику на ссылку из директа перехожу на фродовый сайт s7airlines.icu (важно отметить что фишинг на стороне моего смартфона и ноутбука исключен, поскольку этот процесс с таким же результатом повторило несколько человек из числа комментаторов).
Вот видео всего процесса:
Дальше, ничего не подозревающий человек, доверившись галочкам Яндекса, покупает билеты на подменном сайте, деньги списываются, билетов нет.
Кстати, по клику на рядом стоящую ссылку из поисковой выдачи переход осуществляется на обычный сайт S7.
В интерфейсе яндекс.директа подменить ссылку на сайт, как известно, нельзя.
Люди в комментариях пишут, что Яндексу глубоко наплевать на такие схемы (хотя модерация в директе всегда была). Собственно, хочется поинтересоваться у общественности, как вообще возможна такая подмена ссылок и почему такой IT-гигант, как Яндекс, на своих же страницах ничего не может (не хочет) с этим сделать.
Уже сколько раз твердили миру - покупать а.б. нужно непосредственно на сайте АК.
Единственное безопасное удешевление, которое мне встречалось - переход с гугловского поиска а.б. непосредственно на сайт АК.
Вы бы хоть прочитали, что ссылка и должна вести на сайта s7.ru , а не на фишинг. Пользователь просто не заметил подмены
Спасибо, снова поставил поиск гугл по умолчанию.
В Гугл абсолютно аналогичная схема работала, только не с редиректом, а подменой контента после прохождения модерации
И что Яндекс, что Гугл переодически прикрывает подобные схемы, просто дыры в безопасности есть всегда
Открываются оба сайта. Но к меня вопрос в другой плоскости. Какая платежная система дает возможность списывать деньги с подметного сайта? Не знаю как в России, а в Европе, чтобы установить платежную систему, надо ой как много бумаг подписать и отослать. И еще 90% систем тебе откажут.
В России примерно так. Заключаешь договор с банком, получаешь тестовые учетные данные, реализуешь протокол интернет-эквайринга или используешь готовый плагин для CMS, размещаешь на сайте пробный товар и публичное соглашение (оферта) в котором обязательно должны быть: порядок оплаты, порядок возврата и, ГЛАВНОЕ, название, ИНН и другие реквизиты продавца. Потом выполняешь покупку в тестовой зоне банка, служба безопасности смотрит сайт, соглашение, и все такое прочее, иногда могут позвонить. Если все ок, то выдают учетные данные от реального эквайринга. И можно работать. Еще удобно взять онлайн-кассу в том же банке.
Вся эта кухня с оплатой банковскими картами действует по правилам Международных Платежных Систем (МПС). Банк эквайер должен все это контролировать, но на деле, после первой проверки банк редко за чем-то следит.
Кстати, когда к вам приходит СМС о списании денег, то в нем указывается не юр лицо или ИП, которые используют эквайринг по договору, а именно доменное имя, типа магазинтакойто.ру.
Есть несколько признаков, как определить сайт подделку. Основной - это отсутствие вменяемого пользовательского соглашения, или соглашение есть, а реквизитов, прежде всего ИНН - нет. Есть и другие признаки....
Есть и всегда были платежки, которые берут 20% с таких вот схем. Это прям совсем не проблема. Скорее интереснее все таки как ссылка встала в выдачу с галочкой.
Скорее всего на сайте s7 нашли возможность редиректа. Вот и все.
Это логичный вариант, но почему тогда редирект не срабатывает, когда заходишь из выдачи или по прямой ссылке?
Вот в выдаче судя по всему ещё один клон
Вот вы скажите, как нас самом деле узнать какой именно официальный сайт компании?
Не важно, S7 или ещё другая компания
Например сейчас в выдаче яндекса вижу 2 адреса:
https://www.s7-airlines.com/
https://www.s7.ru/
По синей галочке? Уже выяснили, что доверять ей уже нельзя.
Сейчас я понимаю, что второй это точно официальный. А если я не знаю точно? Как проверить?
Оба сайта идентичны.
Проверить SSL сертификат? Там нет подробной информации. Сертификат хоть как-то может помочь в этом случае?
Вполне может быть что оба сайта официальные и один - зеркало другого.
Рассуждаю чисто по житейски: чем короче название, тем менее подозрительно. Официалы всегда пытаются забить самое короткое и звучное название домена. Можно поискать в независимых источниках, например, Википедии) В смысле независимых от мошенников, подделывающих сайты.
Видимо только по совокупности данных. Проверить в гугле, википедии, соцсетях. Но переходя по ссылке из рекламы рядовой пользователь точно не будет так заморачиваться. Особенно в спешке и с телефона.
Для белых и нормальных контор можно смотреть whois, для серых и со схемами (например всем известный pleer.ru) такое не возможно будет там private person
Вторая ссылка - официальный сайт, первая - зеркало для китайцев
Многие спрашивали меня - почему я не пользуюсь Яндексом. Вот как раз поэтому.
Этой проблеме уже много лет. Директологи подтвердят. В контексте регулярно находится то, что не должно. Яндекс либо не может либо не хочет решать эту проблему
Подмененный сайт не отображает некоторые символы и не смог найти даже Москву в пункте отправления. По общему впечатлению уже можно догадаться, что кликнул куда-то не туда. Могли бы копировать более добросовестно.
К сожалению, поисковики общего назначения, Гугл, Яндекс являются постоянной целью мошенников, и в силу своей специфики, они не могут эффективно бороться с ними. Часто в поисковой выдаче много и сайтов-однодневок, и просто мусора. Например, в области продажи билетов на концерты с появлением крутого события тут же все это вылазит. В этом случае лучше использовать специализированный поисковик, типа eventscanner.ru. В такой поисковик мусор не попадает. Та же история с отелями, букинг старается следить, чтобы мошенники не проникали в платформу.
А чё не спутник?
уже не работает
пофиксили, да
Ну а сколько таких сайтов однодневок ещё гуляет. МДА, печально что так просто можно потерять свои деньги :(
Якобы Yandex Safebrowsing уже определяет эту ссылку как "опасную" (https://www.virustotal.com/gui/url/5941b50613e5116cb73ca5591e084afb8fb14f191ecadc700472c64facdf2710/detection), но пока переход, к сожалению, происходит без предупреждающего сообщения
Для SEOшников всех мастей наверное грустно, что Гугл с Яндексом неуклонно превращаются для потребителей в помойку, а в букинге, убере или других платформах сеошить нечего ). Интересно, что как правило у подложных сайтов с местами в выдаче все прекрасно .... Но вдумайтесь, это просто обман потребителей и ничего больше.
Типичная схема, позволяющая пролезать в легальную рекламу серым нишам.
Делаем через трекинговую ссылку (301 или 302 редрект) легальную страницу оффера. Проходим модерацию. Затем меняем легальную страницу на "серую". Повода для повторной модерации у Яндекс нет - т.к. трекинг- урл не изменился. Но пользователи попадают уже совсем не туда, куда при модерации.
К сожалению ничего нового в этом нет. Какими бы крутыми не были Яндекс и Гугл (упустим др. поисковики ибо менее популярны в т.ч. у мошенников) - такие мошеннические подмены были всегда и будут в том или ином виде у обоих гигантов Поиска.
Отклоняются такие вещи просто тоннами в минуту в рекламных системах, но наиболее исхитрившиеся и настойчивые могут проскочить.
Мне вот интересно S7 не можем сделать сертификат хотя бы уровня OV, как тогда вообще отличать сайт
В Мозилу скинул ссылку на фишинговый сайт, подключайтесь, народ
Вы, наверное, имели ввиду Google Safe Browsing, который встроен в Firefox. Mozilla не занимается блокировкой перехода по ссылке, это общее название некоммерческой организации.
Да, это серьезный недостаток Яндекса. Пользователей у него, конечно, много, а вот доверия никакого.
Пользуйтесь больше Яндекс-поиском и вас ещё не так обманут и на вирусные сайты перекинут со всеми вытекающими. Яндекс это же продажные рекламщики и мошенники