Pull to refresh

Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт

Reading time4 min
Views48K
Примерно полгода назад в публикации на Geektimes «Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование», я описал случай, как у моего знакомого помимо денег за «фейк-авиабилеты» дополнительно украли с карты 35200руб, которые ушли на пополнение счета мошенников в рекламной сети Яндекс.Директ. Украденная сумма ограничивалась только остатком средств на карте. Если бы на карте оставались еще деньги, то украли бы больше. В комментариях списания средств было указано «YM*Yandex.Direct». Ниже фрагмент банковской выписки, взятый из упомянутой публикации:

image

В описанном случае номер банковской карты «потерпевшего» был украден, точнее получен обманным путем на мошенническом сайте. Перевод средств за фейк-авиабилеты потерпевший подтверждал с помощью кодов 3D Secure, которые приходили в СМС от банка. Однако средства на опалату Yandex.Direct уходили в разное время без каких-либо дополнительных запросов владельцу карты, без проверок 3D Secure итп.

Хотя на теневых форумах мошенники писали, что Яндекс действительно не использует 3D Secure при оплате Яндекс.Директа, подтвердить это не получалось. При собственном тестировании пополнения баланса Яндекс.Директа через сайт, всегда проводилась дополнительная проверка с помощью смс-кодов от банка. Я даже думал, что Яндекс по результатам первой публикации быстро исправил свои сервисы. Для меня и, думаю, для многих долгое время оставалось непонятно, каким же образом мошенники обходили эту проверку. И вот я случайно нашел этот несложный способ, который лежал на поверхности, и который работает до сих пор. Всем, кто в комментариях к первой статье хвалился «суперзащищенностью» своих карт и хвалил свои банки, предлагаю проверить их на прочность при оплате Яндекс. Директа.

Прежде чем мы продолжим, под спойлером можно посмотреть, как выглядит форма оплаты, если пополнять баланс через личный кабинет Яндекс.Директа, используя браузер и полную версию сайта. К полной версией сайта вопросов не возникает.

Пополнение баланса Яндекс.Директа через сайт




Я даже не могу сказать, что я что-то открыл. Способ предельно простой и для его использования нужно всего лишь установить приложение Яндекс.Директ для мобильных телефонов и осуществлять оплату банковскими картами через это приложение. Вероятно, что большое количество добропорядочных пользователей Директа использовали этот способ пополнения баланса, но не обращали внимания на отсутствие проверок, либо оставляли этот момент на совести разработчиков. Ниже описана несложная последовательность оплаты на примере мобильного приложения для IOS.


Нажимаем на надпись «пополнить общий счет».


Вводим сумму и выбираем оплату по карте.


Вводим данные карты.


Данные карты сохранены. При первом сохранении для проверки с карты автоматически списывается 2рубля, а потом возвращается обратно та же сумма.


Всё это происходит без использования 3D Secure! Не приходит никаких СМС итп. Для оплаты достаточно знать номер карты, ее срок и CVV. При тестировании использовалась карта Сбербанка, по которой при любых других покупках через Интернет, всегда приходят СМС с проверочными кодами.


Скриншот с СМС проверки карты и первой оплаты.


Данные карты по-умолчанию сохраняются в телефоне. При этом мобильное приложение даже не спрашивает пользователя, действительно ли он хочет хранить данные карты в телефоне. При последующих оплатах с использованием ранее проверенной карты, процесс пополнения баланса в Яндекс.Директе еще больше ускоряется. Достаточно выбрать ранее сохраненную карту и нажать внизу экрана кнопку «Оплатить». Сумма по-умолчанию уже вписана такая же, как была при предыдущем платеже. Деньги улетают моментально. Пользователю даже не выводится дополнительный вопрос, действительно ли он хочет перевести сумму.

В личном кабинете Яндекс.Директа, в журнале оплат, платежи картой с использованием 3D Secure и платежи без полноценной проверки подписываются по-разному. Платежи через форму в личном кабинете в полной версии сайта подписаны «Банковская карта», платежи через мобильное приложение подписаны «Trust, банковской картой». «Trust» здесь к названию банка отношения никакого не имеет.


Для того, чтобы существовал любой мошеннический сайт, он должен любым способом заманивать к себе посетителей, часть из которых может стать жертвами обмана. Мошеннические сайты живут недолго из-за того, что их со временем вычисляют и закрывают. Новым сайтам мошенников практически нереально без рекламы честным способом получить большую посещаемость из поисковых систем. Даже если такие сайты раскручивать целый год, на первые страницы выдачи они обычно не попадают. Остается единственный способ привлечь посетителей, — размещать платную рекламу. Реклама по полярным запросам (например, «дешевые авиабилеты в анапу») стоит дорого и свои средства мошенники тратить не будут. Для этого у них есть данные ворованных карт, с которых можно легко переводить десятки и сотни тысяч рублей в рекламную сеть Яндекса. Чужие деньги не жалко и ради того, чтобы попасть на первое место в выдаче, мошенники могут оплачивать Яндексу любую стоимость клика: 100руб., 200руб итп. Думаю, что ни одна рекламная сеть не будет возражать, что кто-то хочет с ней поделиться деньгами.

Яндекс создал программу, которая идеально подходит для включения в арсенал мошенников. Достаточно купить старенький подержанный смартфон и «левую» симкарту. На смартфон устанавливается приложение. Вводится в него номер ворованной карты. И из любого уголка земного шара, где есть мобильная сеть или wifi, одним кликом можно воровать деньги. Для особо подозрительных через неделю или через месяц смартфон и симкарту можно поменять. Отследить таких мошенников практически нереально.

Все довольны, кроме владельцев карт, с которых уводят деньги. На основании реального случая, описанного в первой статье, даже если по горячим следам обратиться в Яндекс менее чем через 12 часов после перевода средств в Директ, Яндекс оперативно отвечает: «По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось...». Если быстро обратиться в свой банк, то попытаться вернуть средства можно, особенно учитывая то, что их списали без проверки 3D Secure. Как показала первая статья, деньги в отдельно взятом случае после заявления в банк отправителя даже вернули. Но прежде чем деньги вернутся, жертвы мошенников вынуждены писать в Яндекс, в свой банк, в полицию итп, и ждать возврат месяц, надеясь на чудо. Тем временем мошенники за пару кликов вводят в приложение ворованные данные очередной карты и запускают новую серию бесконечного сериала.

А может быть все-таки добавить проверку 3D Secure при пополнении баланса в Яндекс.Директе?
Tags:
Hubs:
Total votes 48: ↑44 and ↓4+40
Comments105

Articles