БИРОБИДЖАН, 28 сентября, «Город на Бире» — Пользователь популярного интернет-ресурса Geektimes обнаружил сеть мошеннических сайтов, которые на протяжении долгого времени работают с единственной целью — похитить данные банковских карт и увести все доступные денежные средства с этих карт. В этой схеме используются на разных этапах сервисы известных компаний и банков. Таких как Яндекс (Поиск, Директ, YandexMoney, Карты), Промсвязьбанк, Банк Тинькофф и, вероятно, других.
Программист Алексей пишет: «История началась всего пять дней назад (прим. редакции - в середине сентября 2016 г) и, можно сказать, что пока ещё не закончилась. Один мой знакомый обратился ко мне за консультацией с вопросом, можно ли как-нибудь закрыть «нехороший сайт»…
Мой знакомый захотел купить авиабилеты и решил, что самый простой для этого способ — задать вопрос Яндексу. На простой запрос типа «самые дешевые билеты в Анапу» Яндекс одну из первых ссылок выдал на некий сайт, который служит для поиска и покупки дешёвых билетов без комиссии. Ссылка эта, вероятно, была в верхнем рекламном блоке. Перейдя по ссылке, мой знакомый нашёл себе подходящие билеты, оформил заказ, и попал на страницу оплаты с помощью банковской карты…
Сайт этот для среднего человека, если не вдаваться в детали, может оказаться совершенно обычным сайтом по поиску билетов и не вызвать подозрений. Домен _aviapromo.eu_
Вот так выглядят страницы «липового» сайта.
Мой знакомый оплатил билеты. При оплате по смс приходили коды подтверждения 3d Secure, которые, как это бывает обычно, нужно было вводить в браузере на соответствующей странице. Получив на почту «маршрутные квитанции» и считая, что билеты куплены, мой знакомый пошёл заниматься своими делами.
На следующий день на телефон стали приходить «непонятные смс». Сначала пришла смс на списание с суммой в 2 рубля, и в ту же минуту эти 2 рубля вернули на карту с примечанием «отмена покупки». Ещё через 2 часа непонятное списание и возврат 2 рублей повторились. И ещё через минуту началось что-то невероятное. С карты списали 17 700 р. Ещё через 10 минут списали дополнительно 17 700 р. Ещё через 10 минут пытались списать 11 800 р. Последняя операция не прошла только из-за того, что на карте кончились деньги. Я думаю, что если бы на карте был бы больший остаток, то списания бы продолжались каждые 10 минут до тех пор, пока не пришёл бы отказ. История описываемых операций хорошо видна на фотографии — это скриншот смсок от Сбербанка, приходящих на телефон.
В момент первой «непонятной смс про 2 рубля», хоть это и показалось подозрительным, карта не была заблокирована. Все последующие списания были выполнены в течение 20-30 минут. Мой знакомый в это время был в общественном транспорте. Пытался дозвониться в Сбербанк для блокировки карты. Но, как это обычно бывает, банк предлагал понажимать кнопочки в голосовом меню, а затем подождать в очереди. Быстро заблокировать карту через колл-центр банка не получилось. А приложение на смартфоне, через которое тоже можно было бы заблокировать карту, не было установлено. Карту потом заблокировали, но было уже поздно — деньги утекли. На следующий день мой знакомый написал заявление в Сбербанк. На данный момент заявление находится на стадии рассмотрения. Карту перевыпустили.
Ещё через два дня, уже когда карта была заблокирована, была попытка списать с карты 11 800 р., а ещё через день новая попытка списать 23 600 р. Это ещё раз подтверждает, что тормозов у мошенников не было.
И на десерт, ко всем этим неожиданным списаниям, выяснилось, что никакой брони в авиакомпании нет и не было. Т.е. авиабилеты не были забронированы. Всё было обманом и деньги ушли в неизвестном направлении.
В результате с карты украли (потери за оплаченные билеты и последующие списания) в общей сумме составили 47 377 рублей. А могло бы быть гораздо больше».
В результате расследования Алексея, выяснилась примерно такая картина работы мошеннического сайта:
Сайт через рекламу в Яндекс.Директ привлекает посетителей. Без рекламы таким сайтам выбраться в топ выдачи практически нереально. Выглядит сайт в чём-то похожим на нормальные сайты. Поиск рейсов и свободных мест работает отлично. Для этого сайт принимает запрос посетителя, просит его подождать, сам отправляет запрос на какой-то другой сайт, на котором есть реальные данные по авиабилетам, из полученного ответа вырезается лишнее и подготовленная информация выдаётся на своей странице. Дальше посетитель оформляет заказ, вводя свои данные. Ввод данных выглядит также, как и на многих других сайтах по продаже билетов. После ввода данных и подтверждения заказа, покупателю сообщают код заказа и дают 24 часа на оплату. При оплате оригинальная страница одного из банков с сервисом перевода P2P переделывается определённым образом и встраивается на мошеннический сайт. «Покупатель» авиабилетов, если не заметит подвох, переводит деньги на какую-то чужую банковскую карту. При этом данные банковской карты «покупателя» перехватываются и в дальнейшем используются для списаний — при этом пополняется счёт какого-то аккаунта в Яндекс.Директ для последующей рекламы и поиска новых жертв. Дальше всё тоже самое по кругу.
Далее Алексей продолжает:
«После всей этой истории было написано заявление в полицию (на рассмотрении), в Сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.
Мошеннический сайт размещался на хостинге FirstVDS. По моему заявлению с подробным описанием аккаунт мошеннического сайта заблокировали. Конечно, это не полная блокировка — мошенники могут поменять хостинг.
Одержав хоть маленькую и временную, но победу с закрытием сайта, нужно было решать вопрос с авиабилетами. И каково же было моё удивление, когда по аналогичному поисковому запросу Яндекс на первой строчке рекламного блока выдал другой сайт, который имел слегка измененный дизайн, но имел практически тот же функционал и похожий движок. Его цель — обман посетителей, кража денег и данных кредитных карт. Т.е. задушив один сайт, тут же появляется новый сайт (точнее он и раньше работал, просто в рекламе поднимаются не все сразу). Адрес другого сайта, по «якобы продаже авиабилетов» — _avia-scanners.ru_.
Судя по сообщениям, которые я нашёл в Интернете, эти сайты работают давно и количество пострадавших немаленькое. А по прикидкам, пострадавших может быть довольно много. В интернете есть сообщения о пострадавших и годичной давности, а есть сообщения, размещенные пять дней назад.
Но и это ещё не всё. На многих мошеннических сайтах по продаже авиабилетов есть одна общая черта, однозначно объединяющая их и указывая, что они относятся к одной группе. Я не буду писать, что это за особенность, чтобы не помогать злоумышленникам. Но вот только некоторые мошеннические сайты из этой группы, найденные за несколько минут: _avialex.ru_, _avia-kassa.ru.com_, _flyseven.ru_, _aviasalesdirectly.ru_, _avia-run.ru_, _aviasalle.com_.
Часть из этих сайтов уже заблокирована и находится в чёрных списках на разных отзовиках. Последний сайт в списке сейчас прикинулся зайчиком. Это был очередной сайт, который ждал своего звёздного часа. Он тоже расположен на хостинге FirstVDS. Сайт временно отключил мошеннический функционал, после того, как я и его попросил заблокировать. Поэтому пока его не заблокировали.
Т.е. мы видим, что это не разовая поделка. Мошенники годами используют отработанную схему. Используются домены в разных зонах, разные хостинги, сервисы разных банков для переводов с карты на карту (кроме Тинькова и Промсвязьбанка могут быть и другие), вывод денег производится на большое количество карт. Если только с одной карты можно легко угнать 47 000 р, то какие суммы могут вороваться в общем объёме?
Со своей стороны я разных писем и заявлений много написал. Но всю сеть победить одному человеку затруднительно, если только не положить на это 100% своего времени.
Главное, будьте бдительны при оплате авиабилетов на незнакомых сайтах, и тогда и мошенникам будет сложнее...»
Список мошеннических сайтов в расследовании Алексея ежедневно обновляется и их количество уже более 400... Не исключено, что подобные сайты созданы только в сфере продажи авиабилетов. Мошенники очень умны и изобретательны, об этом не стоит забывать, совершая онлайн-платежи через сомнительные сайты и сервисы.