Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование

В этой публикации речь пойдет о целой сети мошеннических сайтов, которые на протяжении долгого времени работают с единственной целью — похитить данные банковских карт и увести все доступные денежные средства с этих карт. В этой схеме используются на разных этапах сервисы известных компаний и банков. Таких как Яндекс (Поиск, Директ, YandexMoney, Карты), Промсвязьбанк, Банк Тинькофф и, вероятно, других.

​

История эта началась совсем недавно. Всего пять дней назад и, можно сказать, что пока еще не закончилась. Один мой знакомый обратился ко мне за консультацией с вопросом, можно ли как-нибудь закрыть «нехороший сайт»…

Итак, что же случилось?

Мой знакомый захотел купить авиабилеты и решил, что самый простой для этого способ — задать вопрос Яндексу. На простой запрос типа «самые дешевые билеты в Анапу» Яндекс одну из первых ссылок выдал на некий сайт, который служит для поиска и покупки дешевых билетов без комиссии. Ссылка эта, вероятно, была в верхнем рекламном блоке. Перейдя по ссылке, мой знакомый нашел себе подходящие билеты, оформил заказ, и попал на страницу оплаты с помощью банковской карты…

Сайт этот для среднего человека, если не вдаваться в детали, может оказаться совершенно обычным сайтом по поиску билетов и не вызвать подозрений. Домен _aviapromo.eu_

Вот так выглядит главная страница. Скриншот сохранился только с телефона.

​

Это поиск билетов:

​

Заказ оформлен:

​

Это страница оплаты:

​

На картинках мой пробный заказ, который я делал, чтобы разобраться, как работает этот сайт.

Мой знакомый оплатил билеты. При оплате по смс приходили коды подтверждения 3d Secure, которые, как это бывает обычно, нужно было вводить в браузере на соответствующей странице. Получив на почту «маршрутные квитанции» и считая, что билеты куплены, мой знакомый пошел заниматься своими делами.

На следующий день на телефон стали приходить «непонятные смс». Сначала пришла смс на списание с суммой в 2 рубля, и в ту же минуту эти 2 рубля вернули на карту с примечанием «отмена покупки». Еще через 2 часа непонятное списание и возврат 2 рублей повторились. И еще через минуту началось что-то невероятное. С карты списали 17700руб. Еще через 10 минут списали дополнительно 17700руб. Еще через 10 минут пытались списать 11800руб. Последняя операция не прошла только из-за того, что на карте кончились деньги. Я думаю, что если бы на карте был бы больший остаток, то списания бы продолжались каждые 10 минут до тех пор, пока не пришел бы отказ. История описываемых операций хорошо видна на заглавной фотографии — это скриншот смсок от Сбербанка, приходящих на телефон.

В момент первой «непонятной смс про 2 рубля», хоть это и показалось подозрительным, карта не была заблокирована. Все последующие списания были выполнены в течение 20-30 минут. Мой знакомый в это время был в общественном транспорте. Пытался дозвониться в Сбербанк для блокировки карты. Но как это обычно бывает, банк предлагал понажимать кнопочки в голосовом меню, а затем подождать в очереди. Быстро заблокировать карту через кол-центр банка не получилось. А приложение на смартфоне, через которое тоже можно было бы заблокировать карту, не было установлено. Карту потом заблокировали, но было уже поздно — деньги утекли. На следующий день мой знакомый написал заявление в сбербанк. На данный момент заявление находится на стадии рассмотрения. Карту перевыпустили.

Еще через два дня, уже когда карта была заблокирована, была попытка списать с карты 11800р, а еще через день новая попытка списать еще 23600руб. Т.е. это еще раз подтверждает, что тормозов у мошенников не было.

И на десерт, ко всем этим неожиданным списания, выяснилось, что никакой брони в авиакомпании нет и не было. Т.е. авиабилеты не были забронированы. Все было обманом и деньги ушли в неизвестном направлении.

В результате с карты украли (потери за оплаченные билеты и последующие списания) в общей сумме составили 47 377рублей. А могло бы быть гораздо больше.

Теперь попробуем разобраться, что же на самом деле произошло и где можно было обнаружить подвох.

1. Домен в зоне EU должен был по крайней мере насторожить.

2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.

3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году. А само название компании в выписке ЕГРЮЛ и на сайте не совпадает, на сайте частично изменено. Проверить данные по ОГРН, ИНН и названию юридических лиц можно в базе налоговой инспекции egrul.nalog.ru.

4. Рейтинги сайта ТиЦ и PR нулевые (это видно в тех редких случаев, когда в браузере установлена панель вебмастера или что-то похожее).

5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK», а после оплаты этих 5900, приходила смс о том, что списано 5988,50р. Что такое «P2P» конечно знают не все. Можно было бы поискать. «P2P» — это сервис перевода с карты на карту. А сумма списания больше, чем сумма платежа, потому что банк, через который производился платеж, берет за это комиссию. Т.е. реально деньги, которые якобы оплачивались за авиабилеты, переводились на чью-то банковскую карту через сервис PSBANKa (Промсвязьбанк). При этом покупателю банк присылал проверочный код 3D Secure, который покупатель, ничего не подозревая, вводил в браузере.

6. Если с переводом на карту для меня понятно, что владельца карты ввели в заблуждение, чтобы он сам ввел код 3D Secure, то с последующими списаниями без проверки 3D Secure, для меня ситуация не совсем понятна. Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS). Единственный исключение, когда смс не запрашивается, — это когда операции производятся через мобильное приложение СбербанкОнлайн на телефоне. Но телефон похищен не был и данные от личного кабинета похищены не были. Очевидно, что были получены только данные банковской карты моего знакомого. И, имея только данные карты, деньги списывались при использовании сервиса YM (Yandex.Money) в пользу Yandex.Direct (рекламная сеть Яндекса). Здесь есть явно какая-то недоработка в системе безопасности и возникает вопрос либо к Сбербанку, либо к Яндексу, как они такое позволяют делать.

В результате складывается примерно такая картина работы мошеннического сайта:

Сайт через рекламу в Яндекс.Директ привлекает посетителей. Без рекламы таким сайтам выбраться в топ выдачи практически нереально. Выглядит сайт в чем-то похожим на нормальные сайты. Поиск рейсов и свободных мест работает отлично. Для этого сайт принимает запрос посетителя, просит его подождать, сам отправляет запрос на какой-то другой сайт, на котором есть реальные данные по авиабилетам, из полученного ответа вырезается лишнее и подготовленная информация выдается на своей странице. Вполне возможно, что и цены немного корректируются (цены я не проверял). Дальше посетитель оформляет заказ, вводя свои данные. Ввод данных выглядит также, как и на многих других сайтах по продаже билетов. После ввода данных и подтверждения заказа, покупателю сообщают код заказа и дают 24 часа на оплату. При оплате оригинальная страница одного из банков с сервисом перевода P2P переделывается определенным образом (об этом ниже) и встраивается на мошеннический сайт. «Покупатель» авиабилетов, если не заметит подвох, переводит деньги на какую-то чужую банковскую карту. При этом данные банковской карты «покупателя» перехватываются и в дальнейшем используются для списаний — при этом пополняется счет какого-то аккаунта в Яндекс.Директ для последующей рекламы и поиска новых жертв. Дальше все тоже самое по кругу.

После всей этой истории было написано заявление в полицию (на рассмотрении), в сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.

Мошеннический сайт размещался на хостинге FirstVDS. По моему заявлению с подробным описанием аккаунт мошеннического сайта заблокировали. Правда, через полдня опять разблокировали. Но по повторному заявлению опять заблокировали (надеюсь, уже навсегда), сославшись на то, что разные отделы провайдера не разобрались. Конечно, это не полная блокировка — мошенники могут поменять хостинг.

Одержав хоть маленькую и временную, но победу с закрытием сайта, нужно было решать вопрос с авиабилетами. И какого же было удивление, когда по аналогичному поисковому запросу Яндекс на первой строчке рекламного блока выдал другой сайт, который имел слегка измененный дизайн, но имел практически тот же функционал и похожий движок. Его цель — обман посетителей, кража денег и данных кредитных карт. Т.е. задушив один сайт, тут же появляется новый сайт (точнее он и раньше работал, просто в рекламе поднимаются не все сразу). Адрес другого сайта, по «якобы продаже авиабилетов» — _avia-scanners.ru_. Если представители Яндекса захотят проверить, то вот полная

spasibo za statiu

акуеть

да никуя себе

Все это понятно, вопрос в том что как они дальше деньги списывали? Как правильно заметил Мак без смс, возможно установили приложение на телефон? Вопрос другой как ставиться приложение смс приходит или нет при установке, второе по приложению какую сумму можно переводить ? Вопрос про сумму вытекает из того почему они дробили ее? не попробовали по 25к к примеру переводить? Сумма чисел чтото значит же оплачивали кудато к себе за что то

Добавлено через 4 минуты 33 секунды
Все понятно они карту к яду привязали там 1-2 рубля вериф карты при привязке ее к ЯД

Statja zanimatelnaja. Takih fake shopov na samom dele polnij internet, nedavno sam stolknulsa s takim zhe(u menja jestj klienti katorije berut Viagru v bolshih kolichestvah), tak vot nedavno ja kak to rilsa v google v poiskah shopa gde prodajut dannij tovar dlja vbiva i prishol k vivodu chto primerno 80% dannih sajtov polnoje fuflo i fake shopi, i v dannoj situacii oni paljatsa ochenj legko, ne budu perechisljatj uze upomjanutije vishe makom sposobi, prosto mozno tupo poritsa v google i posmatretj u kakih sajtov uz ochenj pohozije svojstva dizajnov i payment pages(prosto tipo kloni) i kak s raznih levih domenov proishodit pereadresacija na te zhe samije shopi. Asobo milujet pri oplate grafa dlja zapolnenija pod nazvanijem issuing bank, vidno narod sovsem oblenilsa pri sortirovke materiala, hotjat chtobi im uze srazu bank zapolnjali. Na samom dele pri takih pokupkah jesli delaish dlja sebja samogo za svoi krovnije to lutshe konechno zvanitj na ukazannij nomer v fake shopah oni v osnovnom ukazani odni i te zhe nomera, prichem pochti na vseh ih kolan i variacijah da i to ne rabochije.

Может
17700 это 300 $
11800 это 200 $
Ну если брать курс по 59 руб, хотя сейчас он 63

по поводу списаний.не надо не каких приложений
ты авторизируеш шоп вводом минимальной суммы
потом по правилам банка, или стандартам карт (я уж хз как верней).этот шоп может списывать у тебя любые деньги
так как считается авторизованым для твоей карты
такие вот у нас.пироги