«Годами используют отработанную схему». Программист вскрыл сеть мошеннических сайтов по продаже билетов

Пользователь Geektimes, программист Алексей, рассказал о целой сети мошеннических сайтов «по продаже авиабилетов», которые на самом деле воруют деньги у клиентов, причём не только сумму стоимости билетов, но и практически все деньги, имеющиеся на карте. В схеме используются разные сервисы и банки, например, «Яндекс» (поиск, директ, YandexMoney, карты), «Промсвязьбанк», банк «Тинькофф» и, вероятно, другие.

Алексей рассказал историю своего знакомого, который через поиск «Яндекс» нашёл сайт с доменом aviapromo.eu (сейчас не доступен, указано, что «домен продаётся»).

Ссылка на сайт была в рекламном блоке и вышла одной из первых в поиске. После выбора билетов знакомый Алексея попал на страницу оплаты с помощью банковской карты.

Мужчина оплатил билеты через систему 3d Secure и получил на почту «маршрутные квитанции». На следующее утро с его картой начало твориться что-то странное.

Сначала пришло смс на списание с суммой в 2 рубля, и в ту же минуту эти 2 рубля вернули на карту с примечанием «отмена покупки». Ещё через 2 часа непонятное списание и возврат 2 рублей повторились. И ещё через минуту началось что-то невероятное. С карты списали 17700 руб. Ещё через 10 минут списали дополнительно 17700 руб. Ещё через 10 минут пытались списать 11800 руб. Последняя операция не прошла только из-за того, что на карте кончились деньги, — пишет Алексей.

Знакомый пытался заблокировать карту, но через колл-центр это сделать быстро не вышло. Позже он написал заявление в Сбербанк (сейчас на стадии рассмотрения), а карту перевыпустили. Даже после блокировки были новые попытки списания средств на 18—20 тысяч рублей. Никаких авиабилетов, кстати, тоже не было.

Алексей пишет, что многое могло насторожить в этом сайте: домен .eu, несуществующие ИНН и ОГРН, довольно пустой сайт. Но главное, это смс, где было написано «Списание 5900.00 P2P PSBANK», где Р2Р значит перевод с карты на карту.

Т. е. реально деньги, которые якобы оплачивались за авиабилеты, переводились на чью-то банковскую карту через сервис PSBANKa («Промсвязьбанк»). При этом покупателю банк присылал проверочный код 3D Secure, который покупатель, ничего не подозревая, вводил в браузере, — сообщает он.

Остаётся неясным, как мошенники продолжали снимать деньги после этой операции без ввода 3d secure. Алексей предположил, что «здесь есть явно какая-то недоработка в системе безопасности и возникает вопрос либо к Сбербанку, либо к «Яндексу», как они такое позволяют делать».

Снова начав поиск авиабилетов, мужчина обнаружил аналогичный сайт в поиске «Яндекса» (в рекламном блоке), но с другим доменом — avia-scanners.ru. На примере этого сайта Алексей описывает технологию работы мошенников. Он посмотрел исходный код страницы оплаты билетов и увидел, что фактически страница сервиса банка Тинькова (_www.tinkoff.ru/cardtocard/_) почти полностью включена в мошеннический сайт.

Алексей также обнаружил, что в коде есть скрытый блок, отключив который, можно рассмотреть, что на странице осуществляется перевод с карты на карту (и даже виден номер карты). Обычный пользователь просто не видит данный блок, думая, что всего лишь оплачивает билеты.

В коде задан массив с номерами карт получателей. Эти номера подставляются в форму оплаты.

Номеров карт довольно много, утверждает Алексей. И все они выпущены YANDEX MONEY NBCI.LLC.

Случайным образом мошенники используют рекламу от «Яндекса» (Яндекс.Директ), сервис перевода денег Yandex.Money и дополнительно через сторонние банки выводят средства на банковские карты, выпущенные «Яндексом». Абсолютно точно «Яндекс» в этих махинациях никак не замешан, но «Яндекс» мог бы сильно помочь в уменьшении количества мошеннических операций, — суммирует Алексей.

Он пишет, что жертв мошенников очень много (он нашёл сообщения и годичной давности).

Алексей обнаружил ещё несколько аналогичных сайтов и добавил их в комментарии.

_avialex.ru_,

_avia-kassa.ru.com_,

_flyseven.ru_,

_aviasalesdirectly.ru_,

_avia-run.ru_,

_aviasalle.com_,

_flying-avia.ru_,

_scanner-ticket.ru_,

_scanner-aero.ru_.

Мошенники годами используют отработанную схему. Используются домены в разных зонах, разные хостинги, сервисы разных банков для переводов с карты на карту (кроме банка «Тинькофф» и «Промсвязьбанка» могут быть и другие), вывод денег производится на большое количество карт. Если только с одной карты можно легко угнать 47 тр, то какие могут быть в общем объёме вороваться суммы? — говорит мужчина.

Деньги знакомому Алексея так и не вернули, официального ответа от Сбербанка тоже не было (15 дней ещё не прошло). Некоторые мошеннические сайты заблокированы. Заявление в полицию также было написано.

Medialeaks ранее писал, как в прошлом году более 100 тысяч клиентов Сбербанка в регионах стали жертвами интернет-мошенников.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.









Сообщить об опечатке

Отправь текст нашим редакторам, и мы поправим в ближайшее время!