Когда происходит оплата без использования самой карты, а с помощью её реквизитов, то главным «оплотом» безопасности является код, который присылает вам банк по SMS. Если вы не введёте этот код, то оплата не пройдёт. А значит, если кто-то узнает номер карты, срок действия и заветный CVV-код, нанесённый на обороте карты, он не сможет совершить платёж, ведь SMS-код для подтверждения платежа придёт на ваш телефон. Технология называется 3D Secure и уже есть и вторая версия, на которую постепенно переходят банки. Придумано это для безопасности, и в целом всё работает успешно. Интернет-магазины и онлайн-сервисы могут быть спокойны — мошенник не рассчитается с помощью украденных банковских карт. Да и держатели карт тоже могут спать спокойно — если данные украдут, то воспользоваться смогут далеко не в каждом интернет-магазине, а если где-то и воспользуются (сайты, принимающие оплату без 3D Secure, ещё существуют), то им вернут деньги благодаря принципу переноса ответственности. Однако, выяснилось, что мошенники научились жить и в условиях 3D Secure.

Как мошенники обратили 3D Secure себе на пользу

Компания Group IB опубликовала ежегодный отчёт, в котором одним из растущих видов интернет-угроз оказались подложные сайты, с помощью которых у держателей кредитных карт воруются деньги. Упрощённо схема выглядит следующим образом: * Владелец карты тем или иным способом попадает на сайт интернет-магазина, где выбирает себе покупку. * Для оплаты он вводит реквизиты карты. * Для подтверждения платежа у него запрашивают код, который ему должен направить банк. * И такое сообщение приходит. Банк действительно отправляет код. * Покупатель указывает код. * Операция завершена! Только в результате оказывается, что интернет-магазина вовсе не существовало, это сайт-однодневка, а код был использован для подтверждения платежа при переводе с карты на карту с помощью какого-то стороннего сервиса. Как пишет Group IB только в России в 2021 г. ущерб от подобного мошенничества составил 3,15 млрд рублей. Пострадавшими можно считать банки, одобрившие транзакции, интернет-магазины, под чьей «вывеской» была совершена мошенническая операция, платёжные системы, но главными пострадавшими в этой ситуации являются держатели карт — ведь они сообщили мошенникам не только реквизиты карты, но и одобрили операцию, передав в их руки код, пришедший по SMS.

Можно ли защититься от такого способа мошенничества

Схема особенно опасна из-за того, что: * Процесс оплаты для пользователя выглядит так, как процесс оплаты на обычном ресурсе. * Для банка — всё тоже довольно обычно, и выглядит как перевод с карты на карту. * Схема работает даже с новой версией протокола 3D Secure 2. В голову приходит несколько моментов, на которые должен обращать внимание пользователь. Во-первых, это окно сообщения банка, в котором запрашивается подтверждение — там должно быть указано, что именно подтверждается. В отчёте приводится пример такой подложной платёжной формы.

Вместо этой страницы может быть отображена платёжная форма любого банка. Однако из отчёта следует, что мошенники передают информацию о магазине в самом запросе. Они модифицируют запрос на подтверждение от сервисов переводов, и направляют в банк запрос с данными, которые содержат данные магазина. Да и многие банки даже не выводят такую информацию клиентам. На даже если банки начнут проверять или копировать информацию, ничто не мешает мошенникам полностью имитировать форму банка — это вопрос техники. Кроме этого, можно проверять сообщение, которое отправляет банк по SMS. В отчёте об этом ничего не сказано, поэтому я пошёл на один из сайтов, которые предлагают услуги перевода с карты на карту и попытался оформить перевод. В результате я получил такое SMS-сообщение:

«Вы платите картой» — SMS-сообщение, которое было направлено для подтверждения перевода с карты на карту. Здесь нет ничего, что могло бы проверить сайт, который инициировал платёж — ни адрес сайта, ни тип операции. Возможно, в других банках ситуация иная, но боюсь во многих банках просто присылается код и всё. Остаётся только последний совет, которому столько же лет, сколько и возможности платить картой в интернете — не расплачивайтесь на подозрительных сайтах. Как пишет Group ID, чаще всего жертва переходит на фишинговую страницу магазина через рекламу, спам-рассылку или фальшивые объявления о продаже товара. Увы, но остаётся только принцип caveat emptor — покупатель будь осторожен.