Всплеск мошенничества с P2P-платежами
Компания Group-IB зафиксировала резкий подъем мошенничества с использованием переводов card-to-card: с апреля по июнь 2020 г. количество таких транзакций возросло более чем в 6 раз. Мошенники заманивают пользователей на фишинговые сайты, на которых жертвы вводят свои платежные данные на фейковых страницах оплаты, думая, что совершают покупку. Эти данные используются злоумышленниками для обращения к публичным P2P-сервисам банков для переводов на свои счета.
Несколько крупных российских банков, представительств международных банков и платежных сервисов получили жалобы на мошенников, которые похищали средства с банковских карт клиентов, используя поддельные страницы оплаты на сайтах «онлайн-магазинов». На текущий момент один банк в среднем фиксирует 400-600 попыток такого способа мошенничества в месяц. Средний чек одного перевода составляет более 7 000 руб.
Специалисты Group-IB выявили мошенническую схему, при помощи которой злоумышленники обходили существующие меры защиты онлайн-платежей, а именно – дополнительный шаг аутентификации в виде SMS-кода, высылаемого на привязанный к карте номер телефона (процедуру авторизации 3D Secure (3DS)).
Легитимный сценарий с использованием протокола 3D Secure выглядит так: пользователь вводит реквизиты своей карты на странице оплаты онлайн-магазина. С нее производится запрос к сервису банка-эквайера (Merchant Plug-In (MPI), который обслуживает этот магазин. В ответ страница «получает» закодированные данные о платеже и его получателе (PaReq). Они содержат информацию о мерчанте, которая затем отображается на странице 3DS, и адрес 3DS-страницы банка-эмитента, выпустившего карту пользователя. В ответе также содержится URL-адрес страницы, на которую пользователь вернется после подтверждения платежа одноразовым кодом из SMS.
Технология 3DS версии 1.0, которая сегодня используется повсеместно, хоть и защищает платежи от «внешнего» мошенника и пресекает попытки воспользоваться данными украденных карт, не предусматривает защиту от мошенничества со стороны «онлайн-магазинов».
В кейсах злоумышленники создавали фишинговые ресурсы, например, онлайн-магазины с поддельными страницами приема платежей. Особой популярностью пользовались востребованные во время пандемии товары – маски, перчатки и санитайзеры, в поисках дефицита жертвы сами шли в руки мошенников.
В проанализированной схеме данные, вводимые покупателем на поддельной странице оплаты, использовались в режиме реального времени для обращения к публичным P2P-сервисам банков. Так, вводя код подтверждения на странице 3DS, пользователь подтверждал не покупку в онлайн-магазине, а перевод на счет злоумышленника. Для сокрытия следов использования сторонних P2P-сервисов от пользователя, преступники подменяли URL-адрес возврата результата авторизации и данные о мерчанте в PaReq — получателе платежа, чтобы на странице 3DS для ввода SMS-кода отображалась не вызывающая у жертвы подозрений информация, например, «Oplata».
Для предотвращения мошенничества такого рода Group-IB рекомендует банкам переходить на 3DS 2.0, в котором данная уязвимость устранена. Проблема также может быть решена при помощи дополнительного шага аутентификации в виде капчи или технологий, основанных на поведенческом анализе, которые обеспечивали бы контроль целостности страницы, собирая о ней дополнительную информацию – на каком домене она находится, какое у нее содержимое, формы и элементы.
Смотреть все статьи по теме "Информационная безопасность"