Когда происходит оплата без использования самой карты, а с помощью её реквизитов, то главным «оплотом» безопасности является код, который присылает вам банк по SMS.
Если вы не введёте этот код, то оплата не пройдёт. А значит, если кто-то узнает номер карты, срок действия и заветный CVV-код, нанесённый на обороте карты, он не сможет совершить платёж, ведь SMS-код для подтверждения платежа придёт на ваш телефон.
Технология называется 3D Secure и уже есть и вторая версия, на которую постепенно переходят банки.
Придумано это для безопасности, и в целом всё работает успешно. Интернет-магазины и онлайн-сервисы могут быть спокойны — мошенник не рассчитается с помощью украденных банковских карт. Да и держатели карт тоже могут спать спокойно — если данные украдут, то воспользоваться смогут далеко не в каждом интернет-магазине, а если где-то и воспользуются (сайты, принимающие оплату без 3D Secure, ещё существуют), то им вернут деньги благодаря принципу переноса ответственности.
Однако, выяснилось, что мошенники научились жить и в условиях 3D Secure.
Как мошенники обратили 3D Secure себе на пользу
Компания Group IB опубликовала ежегодный отчёт, в котором одним из растущих видов интернет-угроз оказались подложные сайты, с помощью которых у держателей кредитных карт воруются деньги.
Упрощённо схема выглядит следующим образом:
- Владелец карты тем или иным способом попадает на сайт интернет-магазина, где выбирает себе покупку.
- Для оплаты он вводит реквизиты карты.
- Для подтверждения платежа у него запрашивают код, который ему должен направить банк.
- И такое сообщение приходит. Банк действительно отправляет код.
- Покупатель указывает код.
- Операция завершена!
Только в результате оказывается, что интернет-магазина вовсе не существовало, это сайт-однодневка, а код был использован для подтверждения платежа при переводе с карты на карту с помощью какого-то стороннего сервиса.
Как пишет Group IB только в России в 2021 г. ущерб от подобного мошенничества составил 3,15 млрд рублей.
Пострадавшими можно считать банки, одобрившие транзакции, интернет-магазины, под чьей «вывеской» была совершена мошенническая операция, платёжные системы, но главными пострадавшими в этой ситуации являются держатели карт — ведь они сообщили мошенникам не только реквизиты карты, но и одобрили операцию, передав в их руки код, пришедший по SMS.
Можно ли защититься от такого способа мошенничества
Схема особенно опасна из-за того, что:
- Процесс оплаты для пользователя выглядит так, как процесс оплаты на обычном ресурсе.
- Для банка — всё тоже довольно обычно, и выглядит как перевод с карты на карту.
- Схема работает даже с новой версией протокола 3D Secure 2.
В голову приходит несколько моментов, на которые должен обращать внимание пользователь.
Во-первых, это окно сообщения банка, в котором запрашивается подтверждение — там должно быть указано, что именно подтверждается.
В отчёте приводится пример такой подложной платёжной формы.
Однако из отчёта следует, что мошенники передают информацию о магазине в самом запросе. Они модифицируют запрос на подтверждение от сервисов переводов, и направляют в банк запрос с данными, которые содержат данные магазина.
Да и многие банки даже не выводят такую информацию клиентам.
На даже если банки начнут проверять или копировать информацию, ничто не мешает мошенникам полностью имитировать форму банка — это вопрос техники.
Кроме этого, можно проверять сообщение, которое отправляет банк по SMS.
В отчёте об этом ничего не сказано, поэтому я пошёл на один из сайтов, которые предлагают услуги перевода с карты на карту и попытался оформить перевод.
В результате я получил такое SMS-сообщение:
Здесь нет ничего, что могло бы проверить сайт, который инициировал платёж — ни адрес сайта, ни тип операции. Возможно, в других банках ситуация иная, но боюсь во многих банках просто присылается код и всё.
Остаётся только последний совет, которому столько же лет, сколько и возможности платить картой в интернете — не расплачивайтесь на подозрительных сайтах.
Как пишет Group ID, чаще всего жертва переходит на фишинговую страницу магазина через рекламу, спам-рассылку или фальшивые объявления о продаже товара.
Увы, но остаётся только принцип caveat emptor — покупатель будь осторожен.