Ложные платежные

Компания Group-IBв отчетеHi-TechCrimeTrends 2021/2022 "Большой куш. Угрозы для финсектора", который анализирует актуальные киберугрозы для банков и финансовых организаций за период с второго полугодия 2020 г. до первого полугодия 2021 г., оценила ущерб для клиентов российских банков от мошеннической схемы с использованием подложных платежных систем в3,15 млрд.рублей. Круг пострадавших в этой схеме достаточно широк — это и клиенты банков, потерявшие свои деньги, и банки-эмитенты, одобрившие транзакцию, онлайн-сервисы или магазины, сайт которых подделали злоумышленники, и платежные системы, чьи бренды нелегально и без их ведома используются в мошеннической схеме, подчеркивают в Group-IB. В отчете Group-IB отмечается, что для обеспечения безопасности онлайн-платежей, а также двухфакторной аутентификации пользователя более 10 лет назад была разработана технология 3-DSecure, поддерживаемая всеми платежными системами — Visa, JCBInternational, AmEx и МИР (НСПК). Технология была надежной, пока мошенники не научились подделывать 3-DSecure страницы. Мошенничество с имитацией страниц подтверждения платежа было впервые замечено специалистами Group-IB в конце 2020 года. Оно относится к так называемому Card-Not-Present-мошенничеству (CNP, операции по карте без ее присутствия). Ежедневно в России обманутыми пользователями осуществлялось11 767платежей, суммарно это8,6млн руб в день, что привело к ущербу в3,15 млрд. руб за отчетный период, исходя из среднего размера транзакции, умноженного на количество выявленных операций на фишинговых платежных страницах. "Поскольку схема эффективна — это, как минимум, видно по суммам ущерба — мошенники стремятся ее максимально масштабировать. По нашим прогнозам, если банки и платежные системы не примут меры — а защита от такого типа фрода основана на поведенческом анализе и умении отслеживать каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении в режиме реального времени, сигнализируя банку о любых подозрительных попытках совершения платежных операций — афера будет активно распространится не только в России, но и в СНГ и странах мира", - рассказали в пресс-службе Group-IBкорреспонденту ComNews. По словам авторов отчета, опасность использования подложных платежных систем со страницей 3-DSecure состоит в том, что их достаточно сложно выявить, они часто содержат логотипы международных платежных систем Visa, MasterCard или российской МИР и не вызывают подозрений у покупателей, стремящихся быстро оформить покупку онлайн. При этом для банка-эмитента платеж его клиента выглядит легально, и в случае недовольства — клиенту будет крайне сложно вернуть свои деньги, которые он отправил мошенникам через якобы "настоящую" страницу 3-DSecure, подтвердив транзакцию проверочным кодом из СМС. Руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев полагает, что пока схема с фейковыми платежками – не самый распространенный способ мошенничества. Но он также отмечает, что, судя по тому, как схема описана коллегами из Group-IB, возможна ее быстрая популяризация – если злоумышленники увидят ее большую эффективность относительно других способов мошенничества. "Именно от этого зависит ее распространение в будущем. Если фейковые платежки окажутся менее трудозатратными и более эффективными в смысле отъема денег у населения, а логика работы порталов 3-DSecure и банков не поменяется, то использовать эту схему будут чаще. С другой стороны, если логику немного изменят и возможности обращения фейковых мерчантов к легитимному серверу 3-DSecure начнут блокировать, то этот вариант мошенничества можно будет отсечь", - заключает Павел Коростелев. По мнению руководителя направления SolarwebProxy компании "Ростелеком-Солар" Петра Куценко, схема с фейковыми 3-DSecure страницами используется для проведения фишинговых атак, поэтому средства защиты должны быть такими же, как и от фишинга. Он считает, что пользователям следует быть бдительными при переходе по ссылкам из непроверенных писем, проверять домены веб-сайтов, на которых запрашивают платежную информацию. "В следующем году ожидается увеличение доли присутствия платежеспособного населения в интернете и уровня доверия к онлайн-оплатам. Учитывая это, повышение количества фишинговых атак с поддельными 3-DSecure страницами неминуемо", - отмечает Петр Куценко. Директор по ИТ компании OberonДмитрий Пятунин говорит, что вид мошенничества с фейковыми платежами достаточно распространен из-за простой реализации. По его словам, злоумышленник приобретает доменное имя, которое хорошо индексируется поисковыми системами, размещает на нем фишинговый сайт по предоставлению товаров или услуг, а также форму для ввода платежных данных. Далее преступник настраивает поддельную страницу 3-DSecure, чтобы получить код безопасности, и готовит простой скрипт для автоматической передачи полученных данных в счет оплаты другой покупки или пополнения виртуального счета. Эксперт отмечает , что для придания большей уверенности пользователю мошенник может оказать качественную консультацию по телефону о предлагаемых товарах и услугах. "На сегодняшний день нет эффективных инструментов для блокировки фишинговых сайтов, поэтому такой ресурс может существовать длительное время, а затем злоумышленники приобретают другое доменное имя, переносят готовое решение с минимальными изменениями и продолжают преступную деятельность", - заключает Дмитрий Пятунин. Авторы отчета Group-IBпоясняют, что многоступенчатая схема с фейковой платежной системой сложна в реализации и трудно детектируема для большинства классических антифрод-решений, констатируют эксперты. Привлеченный мошеннической рекламой, спам-рассылкой, объявлением на досках объявлений, покупатель заходит на фишинговую страницу интернет-магазина, маркетплейса или онлайн-сервиса. Выбрав товар или услугу, жертва вводит на мошенническом ресурсе в форму приема платежа реквизиты своей банковской карты. Данные попадают на сервер мошенника, откуда происходит обращение к P2P-сервисам различных банков с указанием в качестве получателя одной из карт мошенника. В ответ от P2P-сервиса банка сервер мошенника получал служебное сообщение (так называемое PaReq сообщение), в котором закодирована информация о банковской карте плательщика, сумме перевода, названии и реквизиты использованного P2P-сервиса.Данные в служебном сообщении (информация о банковской карте плательщика, сумме перевода, названии эквайера и онлайн-магазина) остаются не тронутыми, но вместо легитимной 3-DSecure страницы жертву перенаправляют на подложную — с фейковой информацией о магазине. Параллельно с этим с сервера мошенника инициируется обращение к легитимному серверу 3-DSecure с исходным служебным сообщением. Для банка это выглядит так, как если бы пользователь собственными руками переводил средства на карту мошенника через P2P-сервис банка. Банк отправляет держателю карты СМС-код для подтверждения платежа, который пользователь вводит на фишинговой 3-DSecure странице. В результате, СМС-код, полученный сервером мошенников с подложной 3-DSecure страницы, используется для обращения к легитимному серверу для подтверждения мошеннического платежа. "Схема действительно опасна и крайне быстро распространяется и модифицируется. Мы неоднократно предупреждали банки о необходимости усилить защиту от схемы с подложной 3-DSecure страницей, блокируя саму возможность обращения фейковых мерчантов к легитимному серверу 3-DSecure. Как правило, это делается с помощью прямых запросов, генерируемых мошенниками, или автоматизированно, то есть, ботами. На данный момент защита от такого типа фрода есть у единиц крупнейших банков России и СНГ. Она основана на поведенческом анализе и умении отслеживать каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении в режиме реального времени, сигнализируя банку о любых подозрительных попытках совершения платежных операций", - комментирует руководитель направления Group-IB по противодействию онлайн-мошенничеству Павел Крылов. Ведущий инженер CorpSoft24 Михаил Сергеев предполагает, что с этой схемой, вероятно, уже начали бороться и в ближайшее время появиться механизм, который сведет ее на нет, например, если принимать запросы только от продавцов из белого списка. "Для бдительных граждан схема не очень опасна, т.к. кража денег с карты происходит при покупке в каком-либо поддельном интернет-магазине, при вводе смс/пуш-кода одновременно происходит обращение и к настоящему серверу 3-DSecure, для банка - это стандартная операция, как будто пользователь сам переводил деньги через сервис банка с карты на карту и проводит эту операцию. Схема как правило работает из-за жадности покупателя, многие находят в сети магазины, которые продают товары с ценой в разы ниже рыночной, покупают там товары и их деньги уходят мошенникам, есть смысл покупать только в проверенных или известных магазинах", - советует Михаил Сергеев. Эксперты Group-IB прогнозируют, что вероятнее всего, как это было с рядом других мошеннических схем, "фейковые" платежные системы получат широкое распространение и за пределами России. Опасность схемы состоит в том, что перевод денег на счета мошенников выглядит абсолютно легально для банков. "Чтобы обезопасить пользователей, банковский сектор должен повышать осведомленность своих клиентов о различных схемах злоумышленников и правилах безопасного поведения в онлайне и оффлайне. Кроме того, представители банков могут сотрудничать с МВД и передавать данные для проведения расследований",- отмечает Петр Куценко из "Ростелеком-Солар". Дмитрий Пятунин из Oberon уверен, что для повышения качества обнаружения и блокирования подозрительных платежей необходимо использовать инновационные технологии. В пример он приводит AI, обученный на инцидентах фрод-атак и технологиях идентификации пользователей надежным способом. Еще, по его словам, важно четко выстроить процесс взаимодействия с клиентом для оперативного подтверждения сомнительных операций и его информирования, а также необходимо внесение изменений, нацеленных на борьбу с угрозой, в законодательство и ужесточение ответственности за совершение киберпреступлений. "Банкам необходимо усилить защиту от данной схемы мошенничества, запрещая возможность обращения фейковых мерчантов к настоящем серверу 3-DSecure. Так же необходимо использовать 3DS 2.0 — это версия протокола 3DS нового поколения. 3-DSecure 2.0 обеспечивает дополнительный уровень безопасности при осуществлении транзакций электронной коммерции. Этот протокол позволяет осуществлять обмен данными между продавцом, эмитентом карты и, при необходимости, потребителем, для подтверждения того, что транзакция инициирована подлинным владельцем счета", - отвечает Михаил Сергеев из CorpSoft24 на вопрос ComNewsо том, как помочь банкам бороться с вышеизложенной мошеннической схемой. Ссылка на источник