IT NewsНовости рынкаБезопасность

Всплеск мошенничества с P2P-платежами

| 09.07.2020

Всплеск мошенничества с P2P-платежами

Компания Group-IB зафиксировала резкий подъем мошенничества с использованием переводов card-to-card: с апреля по июнь 2020 г. количество таких транзакций возросло более чем в 6 раз. Мошенники заманивают пользователей на фишинговые сайты, на которых жертвы вводят свои платежные данные на фейковых страницах оплаты, думая, что совершают покупку. Эти данные используются злоумышленниками для обращения к публичным P2P-сервисам банков для переводов на свои счета.

Несколько крупных российских банков, представительств международных банков и платежных сервисов получили жалобы на мошенников, которые похищали средства с банковских карт клиентов, используя поддельные страницы оплаты на сайтах «онлайн-магазинов». На текущий момент один банк в среднем фиксирует 400-600 попыток такого способа мошенничества в месяц. Средний чек одного перевода составляет более 7 000 руб.

Специалисты Group-IB выявили мошенническую схему, при помощи которой злоумышленники обходили существующие меры защиты онлайн-платежей, а именно – дополнительный шаг аутентификации в виде SMS-кода, высылаемого на привязанный к карте номер телефона (процедуру авторизации 3D Secure (3DS)).

Легитимный сценарий с использованием протокола 3D Secure выглядит так: пользователь вводит реквизиты своей карты на странице оплаты онлайн-магазина. С нее производится запрос к сервису банка-эквайера (Merchant Plug-In (MPI), который обслуживает этот магазин. В ответ страница «получает» закодированные данные о платеже и его получателе (PaReq). Они содержат информацию о мерчанте, которая затем отображается на странице 3DS, и адрес 3DS-страницы банка-эмитента, выпустившего карту пользователя. В ответе также содержится URL-адрес страницы, на которую пользователь вернется после подтверждения платежа одноразовым кодом из SMS.

Технология 3DS версии 1.0, которая сегодня используется повсеместно, хоть и защищает платежи от «внешнего» мошенника и пресекает попытки воспользоваться данными украденных карт, не предусматривает защиту от мошенничества со стороны «онлайн-магазинов».

В кейсах злоумышленники создавали фишинговые ресурсы, например, онлайн-магазины с поддельными страницами приема платежей. Особой популярностью пользовались востребованные во время пандемии товары – маски, перчатки и санитайзеры, в поисках дефицита жертвы сами шли в руки мошенников.

В проанализированной схеме данные, вводимые покупателем на поддельной странице оплаты, использовались в режиме реального времени для обращения к публичным P2P-сервисам банков. Так, вводя код подтверждения на странице 3DS, пользователь подтверждал не покупку в онлайн-магазине, а перевод на счет злоумышленника. Для сокрытия следов использования сторонних P2P-сервисов от пользователя, преступники подменяли URL-адрес возврата результата авторизации и данные о мерчанте в PaReq — получателе платежа, чтобы на странице 3DS для ввода SMS-кода отображалась не вызывающая у жертвы подозрений информация, например, «Oplata».

Для предотвращения мошенничества такого рода Group-IB рекомендует банкам переходить на 3DS 2.0, в котором данная уязвимость устранена. Проблема также может быть решена при помощи дополнительного шага аутентификации в виде капчи или технологий, основанных на поведенческом анализе, которые обеспечивали бы контроль целостности страницы, собирая о ней дополнительную информацию – на каком домене она находится, какое у нее содержимое, формы и элементы.

информационная безопасность, кибербезопасность, мошенничество с банковскими картами

Group-IB


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

А что IT? А мы работаем, совершенствуемся в популярных технологиях и осваиваемся в новых. И пока до Луны ближе, чем до создания искусственного интеллекта, без работы мы не останемся.
«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.
Слушания в Конгрессе США, вызов на ковер руководителей Google, FB, Apple, Amazon. Мысли по итогам прочтения стенограммы.

Компании сообщают

Мероприятия

10.09.2020
IT Management Forum 2020

Москва, Новоданиловская наб., д. 6, отель Palmira Business Club

23.09.2020 — 24.09.2020
Форум Индустриальной Роботизации

Санкт-Петербург, Чернорецкий пер. 4-6

28.09.2020 — 29.09.2020
Профессиональная мобильная радиосвязь, спутниковая связь и навигация

Москва, Холидей Инн Москва Лесная

29.09.2020 — 02.10.2020
SMART INDUSTRY EXPO

Минск, Футбольный манеж

30.09.2020
IT в ретейле: Я - легенда.

Москва, Холидей Инн Москва Лесная

27.10.2020 — 29.10.2020
HI-TECH BUILDING 2020

Москва, Крокус Экспо