Адрес для входа в РФ: exler.wiki
Гештальт-терапевт против Сбербанка
Попался тут в ленте "Дзена" анонс заметки о том, как некая дама, пострадавшая от действия мошенников, пыталась сделать чарджбэк в "Сбербанке" - "Личный опыт: как я вернула списанные мошенниками 30 тысяч ₽ за пиццу".
Дама отрекомендовалась психологом и гештальт-терапевтом, что бы это ни означало, и сам процесс развода описала несколько странноватым образом. Процитирую, там немного.
27 июля 2020 года я увидела на Фейсбуке рекламу пиццерии «Папа Джонс», они предлагали большую скидку при заказе пиццы. Я была постоянным покупателем «Папа Джонс», и ранее они уже предлагали мне подобные скидки в середине недели. Так что в этой акции меня ничего не насторожило.
Я перешла по ссылке на заказ, сайт выглядел как официальный, в нём не было ничего подозрительного. На странице оплаты ввела все данные своей банковской карты, но мне так и не пришёл код для подтверждения операции. Там была кнопка, на которую нужно нажать, если вы не получили код. Я на неё кликнула, и, видимо, в этот момент произошёл перезапуск окошка на оплату. В результате чего туда была подставлена другая сумма, а я этого не заметила. После этого на телефон пришёл код, в окошке отобразился только «хвост» суммы, на которую я заказывала, — 908 ₽. Мне показалось, что всё верно, и я оплатила заказ. И тут мне пришло СМС о том, что с моей кредитной карты списали 30 908 ₽.
Так я узнала, что мошенники не просто используют сайты — клоны известных компаний и списывают деньги за покупки у них, но и подставляют дополнительную сумму к реальной стоимости заказа, чтобы люди ничего не заметили. Мне ещё «повезло»: бывают случаи, когда они приписывают к исходной цифре не 30 тысяч ₽, а 300 тысяч ₽.
Ну, что гештальт-терапевт купилась на какую-то рекламу (в Facebook рекламы всякого жулья - как грязи), перешла на сайт, на котором нужно вводить платежные данные, и даже не проверила, что это вообще за сайт - оно как-то уже странновато, но бывает, да. Меня другое удивило. Механика процесса. Ну, предположим, ввела данные карты, не пришло подтверждение, нажала кнопку, ей заменили сумму на значительно большую, ей пришел на телефон код, который высылает ЕЕ БАНК, то есть Сбер, а не мошенники, и она у этого кода увидела только "хвост" суммы. А вот не бывает такого! Любой банк, высылающий код подтверждения, четко показывает сумму, которая будет списана после ввода вами кода. Так что или тетя "проэтосамое" сумму, то есть на нее просто не посмотрела (вообще спутать 908 и 30908 - это прям нужно быть гештальт-терапевтом), или там была совсем другая история.
Также мне в упор не понятно, как мошенники могут влиять на окошко с процессингом списывания с карты. Вообще обычно поддельные сайты создаются вовсе не для того, чтобы списать с карты кого-то некую сумму - они это просто не смогут сделать, потому что это нужно будет подключать какой-нибудь защищенный механизм (вот у меня, например, для этих целей используется "Робокасса"), а черта с два вы его просто так подключите, там куча требований и куча проверок. И влиять на сумму, которая с сайта ушла в процессинг, никто никак не сможет.
Поэтому мошенники действуют по-другому. Обычно суть поддельных сайтов заключается в том, что узнать у пользователя данные его карты: заставить его ввести и код, и срок действия, и CVV2. После этого они уже могут использовать данные карты для определенных покупок (далеко не всех, но тем не менее). А вот так чтобы на сайте жуликов работал процессинг снятия денег с карты - я что-то такого не встречал. Непонятная история.
Кстати, дальше в заметке гештальт-терапевт подробно пишет, как бодалась со Сбером и требовала вернуть ей деньги, списанные жуликами - со скриншотами и так далее. Ну и там содержатся полезные сведения о том, что такое вообще чарджбэк, каким образом это можно осуществить, там приводятся комментарии некоторых официальных лиц) - в общем, вот это имеет смысл почитать.
Но каким образом ее вообще "обули" - мне пока непонятно совершенно.
Рекламировали сайт, который продавал по АКЦИИ достаточно дорогую вещь за 7$
В принципе, 7 баксов не жалко, даже если пропадут ну и хрен с ними, я так рассудил.
В поле оплаты явно стояла эта сумма - 7$, но пришла смс-ка о списании 8к+ рублей.
Пришлось срочно писать в поддержку Тинькова, а они ОКАЗЫВАЕТСЯ не могут отменить операцию. Пришлось ждать 45 дней и только потом они вернули мне деньги.
PS Когда-то давно Бобук из Яндекса хвастался, что выманил у "службы безопасности вашего банка" имя и срок действия его карты. Этих данных оказалось достаточно для оплаты взноса на благотворительность на каком-то сайте, даже CCV2 не нужен был. Наверное мошенники не часто крадут деньги для благотворительности.
Плачу посредством ApplePay, кстати. Достаточно безопасно, удобно и без всяких СМС
ngs.ru
Сегодня вот узнал, по какой схеме это всё работает. Схема старая, известная, но, очевидно, до сих пор рабочая:
ngs.ru
Еще осенью, меня неожиданно выгнали на удаленку и я решил поехать на дачу.
Дачный интернет, заморожен на скорости 32кбит, то есть придется платить. (стоимость зависит от выбранной скорости, по трафику считай безлимит)
И тут приходит реклама от YOTA, месяц бесплатно на максимальной скорости интернет.
Во подфартило, подключился - тут все без обмана.
Кончился месяц, ну надо докинуть рубликов 600, что-бы поработать на средненькой скорости.
Набираю в окошечке 600 рублей, кликаю положить на счет, ввожу подтверждающие циферки, автоматически.
Приходит ошибка от банка.
Я второй раз, уже аккуратно, глядь а в запросе подтверждения стоит сумм 18 тысяч - это оплата подключение на максимальной скорости за 12 месяцев. Причем если его подключать через специальную акцию будет сильно дешевле.
А Вы говорите мошенники.
Но последняя канал - Yota, сайт - Yota, api -Yota, деньги пытались снять в размерности тарифов - Yota.
Может действительно - Yota? 😉
На нарах сидел...
:)
Этого хватит?
P.s. проблему решил, сначала переключившись на бесплатный килобитный тариф. После этого платеж прошел штатно.
Вот сайт МОШЕННИКОВ !!! lisapedi.com
Вот оригинал lisaped.ru
Жена лопухнулась при покупке велика
В то время как настоящую страницу оплаты и настоящую страницу подтверждения никто жертве не показывает (но вносят в формы на них данные плательщика и СМС-код, полученные от жертвы). Атака «человек посередине», MitM, как здесь уже неоднократно написали
www.mcafee.com
Ведь за этот метод дали нобелевскую премию! 😉
p.s. нет, это не шутка.
А нам виднее, да. Захотим с тобой проконсультироваться - обязательно спросим.
ru.wikipedia.org
А жертвой мошенников может стать любой, даже человек прекрасно знающий все популярные разводы. У меня у мамы увели 30 штук самым тупейшим образом, причем она знала что нельзя ничего говорить и никого слушать, но нет, случилось.
Да и не сильно к тому же.
Ваш код ХХХХ. Не сообщайте никому, включая сотрудников банка.
Есть неплохая книга: "Сначала скажите "НЕТ"..." Так вот там одним из первых примеров идет история про бизнесменов, которые заключили договор, но не предусмотрели всех ньюансов, и оказалось, что по договору им придется работать в минус. Первое, что они сделали - пошли на переговоры с противоположной стороной, признали ошибку, и договорились о пересмотре условий.
Мое мнение, что по любому не выгодному для себя договору, нужно принимать все усилия, что бы его расторгнуть. Доносить до второй стороны, что договор не выгоден, переговариваться, саботировать, находить законные основания не выполнять, банкротиться.
Партнерские отношение - это когда дело выгодно двум сторонам. Если вы вынуждены терять - то вас имеют, а этого нельзя позволять с собой делать.
Яркий пример с кредитами. У нас куча людей не могут вносить ежемесячные платежи, но вместо того, чтобы сразу перестать платить, начать переговоры с банком и судиться, он берут еще один кредит на оплату процентов по старому.
Если говорить о псевдо-финансовых инструментах, то там тупо рисуют котировки и также, как и в букмекерских конторах блокируют успешные стратегии. Например есть стратегия со 100% вероятностью выигрыша, называется она арбитраж, но всех арбитражников банят навсегда.
Но самое интересное - это вывод денег. Даже если вам повезет, вам никогда не дадут вывести 100.000 долларов на свой счет.
Все ошибаются. И обвинять их, что сами виноваты, можно в той же степени, что и человека задержавшегося на работе и решившего срезать путь через темную подворотню, чтобы быстрее попасть домой.
И вот чарджбэк - это последний шанс для таких людей. Их обманули, украли деньги, но они могут заставить свой банк начать процедуру по чарджбэку и за пол года вернуть все украденное.
А основания разные: не получил услугу, отказались вернуть деньги. Лохотрон никогда не сможет оправдать исчезновение нескольких тысяч долларов со счета клиента.
По ней банк должен был вернуть деньги
По ней банк должен был вернуть деньги. И зачем ему про этот закон и статью кому-то рассказывать? 😉
* Ну, что гештальт-терапевт купилась на какую-то рекламу (в Facebook рекламы всякого жулья - как грязи),
Это как вечное соревнование "пушка-броня". Люди становятся все умнее, но и жулики все хитрее. Вечный процесс.
* Также мне в упор не понятно, как мошенники могут влиять на окошко с процессингом списывания с карты.
Сайт был жуликов, процессинг сбера, сумма была 30908, но дама увидела 908, т.к. цифр очень много, а кушать хотелось сильно.
* Кстати, дальше в заметке гештальт-терапевт подробно пишет, как бодалась со Сбером и требовала вернуть ей деньги
Да, обычно возвращают, да и читать об этом полезно.
Привели кучу статей, типа «неосновательное обогащение» и проч. По которым, конечно же, все вернут. Даже пример судебного решения фигурировал))
То есть, по сути берут банковскую страницу (например, вот такую), но делают другой дизайн и добавляют "фиксированную(ые)" карту(ы) получателя(ей) денег.
И только в SMS или push-уведомлениях видно, что это - не "покупка", а "перевод денег на другую карту".
Например, у Сбера и других это выглядит примерно так: "Списание 777.00 RUB WalletShop. Код: 202742. Никому не сообщайте код".
А в нашем пламенно-голубом очень лаконично: "Вы делаете перевод. Никому не сообщайте код: 032066"
В этом случае в журнале будет видно, что код в 3DS был введён с IP адреса отличного от IP жертвы.
Хотя опять же я могу только говорить об опыте работы с Fraud Control и полицией в UK. К сожалению (хотя, наверное, к счастью) когда я жил в России я с этим не сталкивался.
морозить? Ну, это вы прям черезчур! 😄
В UK у меня не один раз карту блокировали, когда я совершал покупки через VPN.
journal.tinkoff.ru
а тут смысл операции непонятен. Ну, получит пиццерия не 900руб, а 30900руб, а мошенникам от этого что?в случае MitM жертва работает только со страничками мошенников и не видит реальных страниц магазина и банка - их заполняют мошенники и покупки они могут совершать в совершенно других магазинах. Под мошенниками я имею в виду не физических человеков, а скрипт, конечно.
1) Мошенники генерируют транзакцию по переводу денег на свой счет и получают реальную форму 3D secure для заполнения со стороны банка.
2) Банк отправляет запрос на телефон жертвы
3) Мошенники генерируют поддельную страницу 3D Secure для отображения на стороне жертвы.
4) Жертва получает код на телефон и вводит его на поддельной странице.
5) Скрипт получает одноразовый код подтверждения с поддельной страницы и заполняет его в реальной форме 3D Secure.
4) Profit
В этой схеме есть несколько подводных камней для мошенников:
- На генерацию страниц уходит время, так же как и уходит время на получение кода подтверждения от жертвы. Время валидности формы 3D Secure - ограничено, так что скрипт, ожидающий кода подтверждения с поддельной страницы может не успеть отработать.
- Реальный 3D secure проверяет кучу параметров. Если есть что-то подозрительное (IP адрес принадлежит другому региону, чем регион карты, множественные подтверждения с одного и того же IP адреса, etc.), то антифрод система банка должна транзакцию отменить, а эту карту заморозить.
Разумеется это не панацея. Но это гораздо надёжнее, чем проверка по CVV/CSV.
Если есть подозрения в том, что вас обманули с 3D Secure - можно всегда потребовать у банка "разбора полётов". Все журналы операций 3D Secure хранятся какое-то время, и можно проверить параметры запроса/ввода кода подтверждения.
А себе тридцаточку "за беспокойство" возьмут.
Насколько я понимаю в данном случае мошенники использовали идентификацию 3D Secure, которая проводится самим банком выпустившим карту. Эту форму подменить невозможно (ну или технически сложно), поскольку она генерируется на стороне самого банка. Всё что мошенники могут сделать - это подставить другую сумму перевода, что в данном случае и было сделано. Оспорить операцию подтвержденную через 3D Secure - гораздо сложнее.
Как они это делают, хз.
Пару раз за год было такое.
Я, конечно, сразу видел подлог, но гештальт-терапевта сложно обвинить в некомпетентности, т.к. разводка сделана довольно качественно. Я специально проходил до конца процесса, вплоть до ввода нецензурных посланий автору сайта вместо адреса, но спутать с настоящим сайтом совершенно не сложно.