• Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт

      Примерно полгода назад в публикации на Geektimes «Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование», я описал случай, как у моего знакомого помимо денег за «фейк-авиабилеты» дополнительно украли с карты 35200руб, которые ушли на пополнение счета мошенников в рекламной сети Яндекс.Директ. Украденная сумма ограничивалась только остатком средств на карте. Если бы на карте оставались еще деньги, то украли бы больше. В комментариях списания средств было указано «YM*Yandex.Direct». Ниже фрагмент банковской выписки, взятый из упомянутой публикации:

      image

      В описанном случае номер банковской карты «потерпевшего» был украден, точнее получен обманным путем на мошенническом сайте. Перевод средств за фейк-авиабилеты потерпевший подтверждал с помощью кодов 3D Secure, которые приходили в СМС от банка. Однако средства на опалату Yandex.Direct уходили в разное время без каких-либо дополнительных запросов владельцу карты, без проверок 3D Secure итп.

      Хотя на теневых форумах мошенники писали, что Яндекс действительно не использует 3D Secure при оплате Яндекс.Директа, подтвердить это не получалось. При собственном тестировании пополнения баланса Яндекс.Директа через сайт, всегда проводилась дополнительная проверка с помощью смс-кодов от банка. Я даже думал, что Яндекс по результатам первой публикации быстро исправил свои сервисы. Для меня и, думаю, для многих долгое время оставалось непонятно, каким же образом мошенники обходили эту проверку. И вот я случайно нашел этот несложный способ, который лежал на поверхности, и который работает до сих пор. Всем, кто в комментариях к первой статье хвалился «суперзащищенностью» своих карт и хвалил свои банки, предлагаю проверить их на прочность при оплате Яндекс. Директа.
      Читать дальше →
    • Дешевые авиабилеты… Сеть мошеннических сайтов, ворующих деньги с карт. Второе расследование. При чём тут Промсвязьбанк?



        Около месяца назад я опубликовал на Geektimes статью «Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование.» Публикация получила большой отклик и неожиданное продолжение…

        Напомню для тех, кто первую часть не читал. В публикации на основе реальных случаев были описаны схемы, с помощью которых мошенники воруют деньги с карт покупателей авиабилетов, которые имели неосторожность попасть на поддельный сайт по продаже билетов. Количество таких мошеннических сайтов по продаже авиабилетов в рунете исчисляется десятками и сотнями (с учетом закрытых). На таких сайтах пользователю сначала показывается реальная информация об авиарейсах, предлагается оформить заказ и оплатить его банковской картой. Всё выглядит красиво, пока покупатели авиабилетов не обнаруживают, что остались и без денег, и без билетов.

        Во всех обнаруженных случаях для кражи денег такие сайты используют сервисы банков для перевода денег с карты на карту (P2P). В первой части был подробно разобран механизм того, как страница Банка Тинькова для оплаты с карты на карту маскируется и встраивается на мошеннические сайты, так, чтобы «покупатель» ничего не заметил. Также упоминался Промсвязьбанк, — именно через него были украдены деньги с карты потерпевшего в истории, которая была описана. И если с банком ТКС вопросов не осталось, то в случае с Промсвязьбанком было непонятно, как именно выводятся деньги. Основной скрипт, служащий для воровства денег, выполнялся на стороне сервера и без исходных кодов можно было только стоить предположения, что именно он делает.

        И вот один из пользователей Geektimes связался со мной и прислал тот самый скрипт payp2p.php, который использовался в последнее время на большой части мошеннических сайтов по продаже авиабилетов. Скрипт этот использует сервис Промсвязьбанка для перевода с карты на карту. И на мой взгляд, Промсвязьбанк, предоставляя свой сервис, который было легко обмануть, способствовал росту количества интернет-мошенников.
        Читать дальше →
      • Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование

        В этой публикации речь пойдет о целой сети мошеннических сайтов, которые на протяжении долгого времени работают с единственной целью — похитить данные банковских карт и увести все доступные денежные средства с этих карт. В этой схеме используются на разных этапах сервисы известных компаний и банков. Таких как Яндекс (Поиск, Директ, YandexMoney, Карты), Промсвязьбанк, Банк Тинькофф и, вероятно, других.



        История эта началась совсем недавно. Всего пять дней назад и, можно сказать, что пока еще не закончилась. Один мой знакомый обратился ко мне за консультацией с вопросом, можно ли как-нибудь закрыть «нехороший сайт»…

        Итак, что же случилось?

        Мой знакомый захотел купить авиабилеты и решил, что самый простой для этого способ — задать вопрос Яндексу. На простой запрос типа «самые дешевые билеты в Анапу» Яндекс одну из первых ссылок выдал на некий сайт, который служит для поиска и покупки дешевых билетов без комиссии. Ссылка эта, вероятно, была в верхнем рекламном блоке. Перейдя по ссылке, мой знакомый нашел себе подходящие билеты, оформил заказ, и попал на страницу оплаты с помощью банковской карты…
        Читать дальше →