Як викрити шахраїв з маркетплейсу за кілька кроків: реальний випадок

Мене звати Дмитро Дзюбенко, я один зі співзасновників та CTO фінтех-проєкту Corefy. За 7 років роботи з платіжними сервісами та різними видами бізнесу я бачив чимало спроб та схем інтернет-шахрайства. Велике різноманіття онлайн-платформ та бізнесів, що використовують платежі онлайн, відкриває широкий простір для маневрів. Сьогодні я хочу поділитись ситуацією, з якою зіткнувся особисто та ледь не став жертвою інтернет-шахраїв.

Ця стаття буде корисною для кожного, хто використовує онлайн-платежі. І користувачі, і власники онлайн-платформ зможуть зрозуміти «слабкі місця» в процесі оплат, якими користуються шахраї для втілення своїх намірів, а також знайдуть декілька порад, як убезпечити себе та свій бізнес від таких випадків.

Як усе почалося

Приблизно місяць тому я розмістив оголошення на OLX — продавав дитячий візочок у досить хорошому стані за середньою ціною. Уже за півгодини отримав перше повідомлення. Розпочалося досить стандартне спілкування з потенційним покупцем. За бажанням покупця, з месенджера на маркетплейсі ми перенесли спілкування в інший додаток. Варто зазначити, що месенджер маркетплейсу — це перший рубіж вашого захисту від шахрайських повідомлень. Повідомлення модеруються в автоматичному або/та напівавтоматичному режимі.

Після швидкого обговорення деталей замовлення ми підійшли до завершення угоди. Я отримав посилання на сайт, який мав використати для отримання грошей. Сайт за посиланням був дуже схожий на оригінальний сайт маркетплейса: такий самий дизайн, структура й моє оголошення з моїм фото візочка. На сайті була платіжна форма, яку я мав заповнити для отримання грошей, але вона містила дивне додаткове поле «Картковий баланс». Професійний інтерес узяв гору і я вирішив заповнити інформацію, яку вимагав зловмисник. Звісно, я використав дані неактивної картки, й отримав від банку сповіщення 3D Secure. Такі сповіщення банк надсилає для підтвердження списання коштів із картки.

Лайфхак. Якщо ви натрапите на такий випадок й матимете бажання так само розібратись у ситуації, можете використовувати картку, у якої закінчився термін дії, і ввести замість справжнього терміну будь-яку майбутню дату. Якщо ви оплачуєте по терміналу із 3DS, то перевірка expiration date/year відбувається після проходження 3DS. Якщо ж термінал буде non-3DS, то кошти у вас не знімуться.

Як я викрив шахраїв

Передусім, я вирішив отримати максимум інформації про «хакерів». Для цього змінив HTML, на якому підробив помилку валідації на формі введення карткових даних та зробив знімок екрану. Далі «підняв» вебсервер, який містив скрипт для збору даних з метою зібрати максимум інформації про девайс користувача. Опублікував знімок екрану із помилкою валідації та викинув вебсервер у світ через ngrok, приховав посилання за допомогою bit.ly і відправив його покупцеві. До відправки посилання треба було протестувати, щоби месенджер не зробив прев’ю. Адже таким чином шахрай зміг би одразу побачити зміст посилання й необхідність переходити просто б зникла. Як наслідок, я не міг би отримати необхідні мені дані, а лише інформацію про якийсь із сервісів Viber’а.

Поки я проводив усі ці маніпуляції, покупець почав відверто нервувати: підганяти мене та наполягати на тому, щоби я якнайшвидше використав його посилання та забрав гроші. Цікаво, про які гроші мова, якщо навіть адреси для відправки товару не надали? Після затягування часу із мого боку та повідомлення про те, що їх розкрито, шахраї видалили всю переписку в месенджері, а посилання на «моє» оголошення перестало працювати. Тобто, схема в них така — активують одне або декілька фейкових оголошень одночасно, а спроби перейти на будь-яку іншу сторінку приводять на справжній сайт маркетплейса. Людина без досвіду роботи із вебом навіть не побачить нічого незвичайного.

Далі, я зберіг всю доступну інформацію по сайту, щоби дізнатись усі технічні деталі. Я визначив, де зареєстрований хост та домен і зв’язався з адміністраторами, використовуючи сервіс Whois. Реєстратор домену і провайдер хостингу досить швидко відреагували на звернення та заблокували сайт.

Тим часом з front-end частини я отримав source code та зміг проаналізувати, як працює сайт. Виявилось, що це звичайний «спагетті-код», створений нашвидкуруч. Він був написаний із використанням старого синтаксису для старих браузерів, без жодних babel. У коді було багато VAR, класи були реалізовані по-старому. Зате можна на сервері правити і все буде працювати. Потрібно віддати належне авторові — код місцями доречно документований.

Весь вихідний код сторінки можна знайти в репозиторії.

Email-адреса, яку використали для реєстрації домену, дозволила знайти багато інформації про власника фейкової платіжної сторінки — знайшлись його акаунти в соціальних мережах та на різних тематичних форумах. Я трохи заморочився і знайшов у колись популярній соціальній мережі «ВКонтакте» його однокласників. Бажання реєструватися й шукати більше інформації в мене не було, тому наробив скріншотів і цей етап завершив.

Аналізуючи сайт із платіжною формою, я помітив багато посилань на оригінальний сайт маркетплейсу, але всі вони містили атрибут rel="noopener noreferrer", тож адміністратори не могли побачити, звідки переходить користувач. Головний інсайт — якщо для здійснення оплати ви використовуєте посилання, яке перенаправляє вас за межі офіційного сайту, адміністрація нічим не зможе допомогти в подібній ситуації.

Але тут є інший момент, який мав бути тригером для команди моніторингу — це наявність прямого переходу на не зовсім популярні сторінки зареєстрованого користувача. Адже, погодьтесь, дуже мала імовірність, що хтось буде переходити за прямим посиланням на сторінку «Допомога». Не із пошукової системи, не з іншого сайту, а відразу на сторінку «Допомога».

Як зберегти гроші в таких випадках

Слід пам’ятати, що така шахрайська схема може бути використана для будь-якої платформи, адже сторінки оплати не складно підробити. І буде дуже проблематично підтвердити факт шахрайства чи повернути кошти. Адміністратори маркетплейсу не можуть ніяк вплинути на дії, вчинені поза їхньою платформою. Банк також буде безсилий, адже транзакції відображаються без додаткової інформації. Якщо функція 3D Secure не активована, єдиний вихід — запросити chargeback.

У декількох словах, chargeback — це примусове повернення грошей клієнту. Цей процес може бути ініційований власником картки або банком-емітентом. У ньому задіяні 5 гравців: клієнт, банк-емітент, платіжна система, банк-еквайр та продавець. Сама процедура не складна та складається з 4 кроків, але для вирішення справи на вашу користь потрібно дотриматись ряду вимог. Наприклад, обов’язковим є дотримання термінів подачі заявки та наявність доказів, що ви намагалися домовитись із продавцем про повернення грошей.

Що ви можете зробити, аби не стати жертвою шахраїв

Встановити картковий ліміт на платежі онлайн. Цей простий крок допоможе запобігти списанню грошових сум понад ліміт, а власник картки обов’язково отримає повідомлення про такі спроби.

Встановити 3D Secure. Активуйте 3DS-сповіщення та не підтверджуйте невідомі оплати.

Звертати увагу на сторінки оплати. Не слід вносити карткові дані на незнайомих сайтах. Якщо помітили щось незвичне на сайті чи в платіжній формі — перевірте двічі та переконайтеся, що цьому сайту можна довіряти, перш ніж вводити свої дані.

Поради з безпеки для маркетплейсів

Вдоскональте систему сповіщень. Сповіщення — це дуже дієва функція, яка повідомляє користувачеві про певні дії. Наприклад, продавці мають пройти верифікацію та заповнити свої карткові дані тільки один раз в особистому кабінеті, та побачити відповідне сповіщення.

Запобігайте кіберсквотингу. Менеджери технічної безпеки повинні періодично контролювати домени, які дуже схожі на оригінальний. Цей процес має бути спрямований на визначення того, хто та з якою метою зареєстрував домен.

Додайте більше інформації про безпеку платежів. Багато користувачів не мають достатньо інформації про безпеку онлайн платежів та платіжний процес. Декілька інформативних статей на цю тему можуть підвищити обізнаність користувачів та зменшити кількість шахрайських випадків.

Також варто зазначити, що за цей час маркетплейс ввів систему оцінки продавців, що значно покращує ситуацію та зменшує кількість фейкових продавців.

👍НравитсяПонравилось14
В избранноеВ избранном4
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Я отримав посилання на сайт, який мав використати для отримання грошей

От тут одразу шахраї паляться — для отримання грошей потрібен тільки номер картки. Якщо хтось просить ще щось додатково, то це не для отримання, а для списання

Мне как-то пришла скам смс от имени olx, а это такое, лайтец:)

Два рази з інтервалом у тиждень спілкувався з такими «покупцями» на ОЛХ. Обидва рази у п’ятницю тому мені було весело розвезти тих дятлів. Коли вони вже майже були впевнені що «к успєху прішлі» я питав в них «як годують у буцегарні?» Ну і потім блокував бо дивитися як там палає вже було не цікаво. Звісно, реєстратору та хостеру абузу кидав — відреагували за кілька днів, що теж приємно.

За бажанням покупця, з месенджера на маркетплейсі ми перенесли спілкування в інший додаток.

Дальше можно не читать :)))

Здійснив декілька успішних продажів в телеграмі після оголошення на olx. Основне — зберігати інформаційну гігієну.

Ціль статті — вчергове підсвітити проблему яка є. Якщо вона допоможе хоча б 1 людині побачити маркери які можуть привести її до страти коштів, то я вже буду радий. Також є люди старшого віку для яких треба проводити курси інтернет гігієни і ця проблема стоїть особливо гостро. Мені гидко згадувати це відчуття, коли із того боку екрану люди думають, що ти лох і зараз вони тебе розведуть на певну суму. Притому, що я розумів, що мені нічого не загрожує.

Ну для них это работа, лохов искать, и раз такой банальный развод до сих пор эффективно работает, при том что большинство знает, что это развод, значит мошенники правы, рассчитывая что на том краю провода — лох.

Первое правило маркетплейсов: ведите переписку в рамках маркетплейса. Для этого есть все инструменты.

Но с квитанциями — хороший заход)

Контроль якості контенту та хоча би базова перевірка користувачів (продавців та покупців) в маркетплейсі — правильний тренд. При чому, на мою думку, це має бути якась жива валідація як покупця, так і продавця. Жива форма звісно передбачає певний рівень суб’єктивності (помилковості), але і неживі технічні системи помиляються.

Парадокс, маючи такі величезні людські ресурси, кількість живих, людських (які тримаються на зусиллях людей) систем скорочується.

Автоматизовані системи референсів / відгуків показують себе слабо, бо, ходять чутки, 80% відгуків в гуглі пишуться за гроші. Тож навіть відгуки треба в живому форматі якось аналізувати, в пошуках вмотивованого їх написання (умовна пов’язаність відгуків, анонімність користувачів, джерела трафіку, відсутність реального досвіду, на основі якого написано відгук тощо).

Скорочу до змісту: старе як світ шахрайство, з яким зтикнувся вже майже кожен. Писано в Росії, скоріше за все атака також звідти.

Зверни увагу: як хостинг картинок використано imgur.com, який видаляє картинки, якщо екаунт не платний. Оскільки вони прямо в хардкоді, найвірогідніше, преміум екаунт куплений власником усієї мережі. І саме за цей хвостик можеш із цікавості потягнути. Якщо виявиться, що краї таки в Україні, можеш звернутися до поліції, чувачка можуть взяти за яйця, якщо він розгільдяй і не входить до ОПГ.

PS. Якщо виявиться, що це МінЦифри — не дивуйся.

Хостинг був російським справді, але ініціатор конкретно цього випадку з славного міста під Києвом — Фастів. Маючи трохи більше наполегливості можна було б ім’я реальне знайти. Маю групу його класу вк, старі оголошення на певних майданчиках і акаунт телеграму. Стосовно imgur.com — цікавий момент, дякую.

сайт із платіжною формою

Там мала бути інформація про мерчанта
Доцільніше ж відправити скамера в бан на боці провайдеру цих послуг
І ідеально, щоб він відправився в чс у його банку

Але краще цю історію все ж розказувати в стилі — «було ввечері нудно і я вирішив потролити»
На олх же банер висить згори
< НЕ оформлюйте OLX Доставка за сторонніми посиланнями! Обговорюйте угоди в чаті додатку OLX.>

Це було б прекрасно і можна було б взяти когось за яйки. На жаль, в такій схемі інфи немає, бо дані карти йдуть на їхній сервер, і там вже «оператор» ручками проходить 3DS допоки користувачу малюється фейкова сторінка із 3DS. Тобто мерчантських даних ніде не видно.

Дані переказу знає ваш банк
Йому можна надати ці речі і якщо сб там не ліниве...

Подписаться на комментарии