Як викрити шахраїв з маркетплейсу за кілька кроків: реальний випадок
Мене звати Дмитро Дзюбенко, я один зі співзасновників та CTO фінтех-проєкту Corefy. За 7 років роботи з платіжними сервісами та різними видами бізнесу я бачив чимало спроб та схем інтернет-шахрайства. Велике різноманіття онлайн-платформ та бізнесів, що використовують платежі онлайн, відкриває широкий простір для маневрів. Сьогодні я хочу поділитись ситуацією, з якою зіткнувся особисто та ледь не став жертвою інтернет-шахраїв.
Ця стаття буде корисною для кожного, хто використовує онлайн-платежі. І користувачі, і власники онлайн-платформ зможуть зрозуміти «слабкі місця» в процесі оплат, якими користуються шахраї для втілення своїх намірів, а також знайдуть декілька порад, як убезпечити себе та свій бізнес від таких випадків.
Як усе почалося
Приблизно місяць тому я розмістив оголошення на OLX — продавав дитячий візочок у досить хорошому стані за середньою ціною. Уже за півгодини отримав перше повідомлення. Розпочалося досить стандартне спілкування з потенційним покупцем. За бажанням покупця, з месенджера на маркетплейсі ми перенесли спілкування в інший додаток. Варто зазначити, що месенджер маркетплейсу — це перший рубіж вашого захисту від шахрайських повідомлень. Повідомлення модеруються в автоматичному або/та напівавтоматичному режимі.
Після швидкого обговорення деталей замовлення ми підійшли до завершення угоди. Я отримав посилання на сайт, який мав використати для отримання грошей. Сайт за посиланням був дуже схожий на оригінальний сайт маркетплейса: такий самий дизайн, структура й моє оголошення з моїм фото візочка. На сайті була платіжна форма, яку я мав заповнити для отримання грошей, але вона містила дивне додаткове поле «Картковий баланс». Професійний інтерес узяв гору і я вирішив заповнити інформацію, яку вимагав зловмисник. Звісно, я використав дані неактивної картки, й отримав від банку сповіщення 3D Secure. Такі сповіщення банк надсилає для підтвердження списання коштів із картки.
Лайфхак. Якщо ви натрапите на такий випадок й матимете бажання так само розібратись у ситуації, можете використовувати картку, у якої закінчився термін дії, і ввести замість справжнього терміну будь-яку майбутню дату. Якщо ви оплачуєте по терміналу із 3DS, то перевірка expiration date/year відбувається після проходження 3DS. Якщо ж термінал буде non-3DS, то кошти у вас не знімуться.
Як я викрив шахраїв
Передусім, я вирішив отримати максимум інформації про «хакерів». Для цього змінив HTML, на якому підробив помилку валідації на формі введення карткових даних та зробив знімок екрану. Далі «підняв» вебсервер, який містив скрипт для збору даних з метою зібрати максимум інформації про девайс користувача. Опублікував знімок екрану із помилкою валідації та викинув вебсервер у світ через ngrok, приховав посилання за допомогою bit.ly і відправив його покупцеві. До відправки посилання треба було протестувати, щоби месенджер не зробив прев’ю. Адже таким чином шахрай зміг би одразу побачити зміст посилання й необхідність переходити просто б зникла. Як наслідок, я не міг би отримати необхідні мені дані, а лише інформацію про якийсь із сервісів Viber’а.
Поки я проводив усі ці маніпуляції, покупець почав відверто нервувати: підганяти мене та наполягати на тому, щоби я якнайшвидше використав його посилання та забрав гроші. Цікаво, про які гроші мова, якщо навіть адреси для відправки товару не надали? Після затягування часу із мого боку та повідомлення про те, що їх розкрито, шахраї видалили всю переписку в месенджері, а посилання на «моє» оголошення перестало працювати. Тобто, схема в них така — активують одне або декілька фейкових оголошень одночасно, а спроби перейти на будь-яку іншу сторінку приводять на справжній сайт маркетплейса. Людина без досвіду роботи із вебом навіть не побачить нічого незвичайного.
Далі, я зберіг всю доступну інформацію по сайту, щоби дізнатись усі технічні деталі. Я визначив, де зареєстрований хост та домен і зв’язався з адміністраторами, використовуючи сервіс Whois. Реєстратор домену і провайдер хостингу досить швидко відреагували на звернення та заблокували сайт.
Тим часом з front-end частини я отримав source code та зміг проаналізувати, як працює сайт. Виявилось, що це звичайний «спагетті-код», створений нашвидкуруч. Він був написаний із використанням старого синтаксису для старих браузерів, без жодних babel. У коді було багато VAR, класи були реалізовані по-старому. Зате можна на сервері правити і все буде працювати. Потрібно віддати належне авторові — код місцями доречно документований.
Весь вихідний код сторінки можна знайти в репозиторії.
Email-адреса, яку використали для реєстрації домену, дозволила знайти багато інформації про власника фейкової платіжної сторінки — знайшлись його акаунти в соціальних мережах та на різних тематичних форумах. Я трохи заморочився і знайшов у колись популярній соціальній мережі «ВКонтакте» його однокласників. Бажання реєструватися й шукати більше інформації в мене не було, тому наробив скріншотів і цей етап завершив.
Аналізуючи сайт із платіжною формою, я помітив багато посилань на оригінальний сайт маркетплейсу, але всі вони містили атрибут rel="noopener noreferrer"
, тож адміністратори не могли побачити, звідки переходить користувач. Головний інсайт — якщо для здійснення оплати ви використовуєте посилання, яке перенаправляє вас за межі офіційного сайту, адміністрація нічим не зможе допомогти в подібній ситуації.
Але тут є інший момент, який мав бути тригером для команди моніторингу — це наявність прямого переходу на не зовсім популярні сторінки зареєстрованого користувача. Адже, погодьтесь, дуже мала імовірність, що хтось буде переходити за прямим посиланням на сторінку «Допомога». Не із пошукової системи, не з іншого сайту, а відразу на сторінку «Допомога».
Як зберегти гроші в таких випадках
Слід пам’ятати, що така шахрайська схема може бути використана для будь-якої платформи, адже сторінки оплати не складно підробити. І буде дуже проблематично підтвердити факт шахрайства чи повернути кошти. Адміністратори маркетплейсу не можуть ніяк вплинути на дії, вчинені поза їхньою платформою. Банк також буде безсилий, адже транзакції відображаються без додаткової інформації. Якщо функція 3D Secure не активована, єдиний вихід — запросити chargeback.
У декількох словах, chargeback — це примусове повернення грошей клієнту. Цей процес може бути ініційований власником картки або банком-емітентом. У ньому задіяні 5 гравців: клієнт, банк-емітент, платіжна система, банк-еквайр та продавець. Сама процедура не складна та складається з 4 кроків, але для вирішення справи на вашу користь потрібно дотриматись ряду вимог. Наприклад, обов’язковим є дотримання термінів подачі заявки та наявність доказів, що ви намагалися домовитись із продавцем про повернення грошей.
Що ви можете зробити, аби не стати жертвою шахраїв
Встановити картковий ліміт на платежі онлайн. Цей простий крок допоможе запобігти списанню грошових сум понад ліміт, а власник картки обов’язково отримає повідомлення про такі спроби.
Встановити 3D Secure. Активуйте 3DS-сповіщення та не підтверджуйте невідомі оплати.
Звертати увагу на сторінки оплати. Не слід вносити карткові дані на незнайомих сайтах. Якщо помітили щось незвичне на сайті чи в платіжній формі — перевірте двічі та переконайтеся, що цьому сайту можна довіряти, перш ніж вводити свої дані.
Поради з безпеки для маркетплейсів
Вдоскональте систему сповіщень. Сповіщення — це дуже дієва функція, яка повідомляє користувачеві про певні дії. Наприклад, продавці мають пройти верифікацію та заповнити свої карткові дані тільки один раз в особистому кабінеті, та побачити відповідне сповіщення.
Запобігайте кіберсквотингу. Менеджери технічної безпеки повинні періодично контролювати домени, які дуже схожі на оригінальний. Цей процес має бути спрямований на визначення того, хто та з якою метою зареєстрував домен.
Додайте більше інформації про безпеку платежів. Багато користувачів не мають достатньо інформації про безпеку онлайн платежів та платіжний процес. Декілька інформативних статей на цю тему можуть підвищити обізнаність користувачів та зменшити кількість шахрайських випадків.
Також варто зазначити, що за цей час маркетплейс ввів систему оцінки продавців, що значно покращує ситуацію та зменшує кількість фейкових продавців.
15 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів