Мошенники обезопасились на 400 миллионов

Потери клиентов банков от использования киберпреступниками новой схемы подделок страницы 3D-Secure при оплате в интернете за полгода составили 400 млн руб., подсчитали в Group-IB, а за год объем потерь может достигнуть 1 млрд руб. Эксперты отмечают, что бороться с этим способом мошенничества на стороне банков можно, только если злоумышленники автоматизировали процесс. Но если атака ведется вручную, пресечь ее почти невозможно, поможет только внимательность покупателей.

В Group-IB оценили потери от новой схемы мошенничества с помощью фишинговых сайтов с поддельными страницами 3D-Secure. До конца года, по мнению экспертов компании, граждане могут так потерять до 1 млрд руб. За первое полугодие уже было украдено 400 млн руб. «Ежемесячно происходит около 3,7 млн случаев мошенничества с использованием подложных 3D-Secure страниц, с которых деньги покупателей уходят напрямую мошенникам через легальную трансакцию в банке»,— поясняют в Group-IB.

Саму схему компания выявила в конце прошлого года. Покупатель заходит на поддельный сайт интернет-магазина, который внешне практически не отличим от настоящего, и, начав оплату покупки, попадает на поддельную страницу, на которой вводит код из СМС-сообщения, пришедший от банка. В результате на поддельном сайте интернет-магазина мошенники получают от покупателя данные карты — номер, срок действия и CVV/CVC-код, с помощью которых формируют запрос на р2р-перевод средств на свою карту.

А когда покупатель отправляет код подтверждения на поддельной странице 3D-Secure, злоумышленник указывает его на реальной странице банка для подтверждения перевода в свою пользу.

По словам экспертов, по сути своей схема «довольно старая». Гендиректор SafeTech Денис Калемберг отмечает, что банки говорили о подмене страниц подтверждения у клиентов еще летом 2019 года. Однако, уточняет директор технического департамента RTM-Group Федор Музалевский, технически она новая. Основное отличие в том, что раньше клиент с поддельного сайта перенаправлялся на реальную страницу 3D-Secure банка, где вводил код из СМС, а потом переходил обратно на фишинговый сайт, поясняют в Group-IB: «Постепенно кредитные организации стали вводить дополнительные проверки, и ее эффективность стала падать. В ответ на это мошенники изменили схему».

Как отмечает руководитель направления Group-IB по противодействию онлайн-мошенничеству Павел Крылов, распознавать фейковых «сотрудников банка» научились многие, теперь и в совершении покупок онлайн нужно быть столь же внимательными. «Прежде всего надо обращать внимание на источник платежа в СМС-сообщении от банка с кодом подтверждения трансакции. Если там указаны слова Card2Card или p2p, а при этом платеж был инициирован не с указанных ресурсов, не стоит вводить полученный код для подтверждения платежа»,— поясняет он. «Основной способ защиты — проведение оплаты только на доверенных сайтах»,— уверен господин Музалевский.

Банкам же, по словам господина Крылова, необходимо усилить защиту от модифицированной схемы мошенничества, блокируя саму возможность обращения поддельных интернет-магазинов к легитимному серверу 3D-Secure.

По оценке экспертов, лишь единицы крупнейших российских банков сегодня способны защитить своих клиентов от потери денежных средств при реализации этой схемы. Между тем, считает технический директор RuSIEM Антон Фишман, если такое мошенничество с поддельной страницей ввода кода из СМС производится автоматизировано с использованием определенного алгоритма, то атаки можно определить и отсечь.

«Однако если злоумышленник вводит данные вручную, меняет IP-адреса и компьютеры, которые тоже оставляют свой отпечаток, то такое мошенничество пресечь практически невозможно, потому что в банк сформирован легитимный запрос на перевод и получен правильный ответ»,— признает эксперт. При этом господин Фишман отмечает, что схема приобретает массовый характер именно благодаря возможности ее автоматизации, с чем и можно бороться на стороне банков-эмитентов.