Мошенничество в интернет-магазинах:

Как работают основные мошеннические схемы
и как от них защититься

Управлением «К» МВД России при активном содействии Group-IB задержаны двое киберпреступников, занимавшихся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний. От рук мошенников пострадали десятки компаний, среди них – «Юлмарт», «Биглион», «Купикупон», «PayPal», «Групон» и многие другие. Всего хакеры скомпрометировали около 700 000 учетных записей.

Злоумышленники собирали на хакерских форумах скомпрометированные учетные данные от различных интернет-сервисов и с помощью специальных программ проводили автоматический перебор паролей к «учеткам» на сайтах интернет-магазинов.

Киберпреступники пользовались тем, что многие пользователи используют одну и ту же связку "логин-пароль" на нескольких сайтах. Если логины и пароли подходили на сайте атакуемого магазина, происходил взлом личного кабинета. Злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от $5 за аккаунт. В дальнейшем «покупатели» использовали их для оплаты товара бонусами.

Задержанные признались на месте, что заработали как минимум 500 000 рублей. Однако реальную сумму ущерба еще предстоит выяснить.

Вышеприведенный пример является одной из наиболее распространенных схем мошенничества в интернет-магазинах, к которым также можно отнести:

использование ворованных карт и электронных кошельков для покупки реальных и виртуальных товаров;
фишинговые сайты и применение социальной инженерии;
несанкционированную рекламу конкурентов на страницах официального сайта.

Как воруют бонусы и электронные кошельки

Типичная схема кражи бонусов включает в себя три основных шага (рис.1):

С помощью фишинговых сайтов, троянских программ или ботов для перебора или проверки паролей, мошенник подбирает логины и пароли к личным кабинетам.
Мошенник, используя анонимизирующие сервисы, заходит в личный кабинет, чтобы узнать состояние бонусных счетов клиентов. На стороне сайта его действия видны как активность разных пользователей.
Если мошенник не использовал бонусы сам, он выставляет идентификаторы доступа в личные кабинеты на продажу.

Рис.1. Типичная схема кражи бонусов.

Для подбора паролей к личным кабинетам существуют специальные программы, распространяемые мошенниками на форумах (рис.2):

Рис.2. Пример распространения ПО для кражи аккаунтов.

Кроме того, в сети есть целые «магазины», которые постоянно пополняются новыми украденными аккаунтами с бонусами (рис.3):

Рис. 3. Реклама онлайн-магазина по продаже аккаунтов.

А для обналичивания бонусных баллов из взломанных личных кабинетов интернет-магазинов мошенниками создаются отдельные сайты перепродажи, доступные публично.

Кража денег через фишинговые сайты

Фишинговый ресурс используется для получения логина/пароля к личным кабинетам и хищения денежных средств с платежных карт (рис.4).

Рис. 4. Фишинговая схема.

Мошенник создает подложный сайт, который использует дизайн оригинала. Часто мошенники просто делают копию сайта.
Пользователи вводят логины и пароли к личным кабинетам на подложном сайте и нередко производят оплату со своих платежных карт в пользу мошенника.

Рис. 5. Пример фишингового сайта интернет-магазина.

Для хищения денег во время оплаты товаров и услуг мошенники нередко используют публично доступные сервисы по переводу с карты на карту: либо делают запрос к таким сервисам напрямую через их web API, либо встраивают на свой подложный сайт модифицированную p2p-страницу, подделывая ее под прием карточного платежа. В обоих вариантах в качестве получателя выступает мошенник.

Рис.6. Использование p2p для хищения при оплате товаров и услуг на сайтах ритейлеров.

Несанкционированная конкурентная реклама

Кроме схем, направленных на прямое хищения средств, можно выделить такой тип мошенничества, как размещение конкурентной рекламы на сайте компании, которая может привести к значительной упущенной выгоде.

Рис.7. Схема размещения adware.

Зловредное Adware, рекламное программное обеспечение, показывает клиенту рекламу с товарами конкурентов при просмотре официального сайта интернет-магазина.
Клиент может соблазниться более «выгодными» условиями и произвести покупку товара у конкурента или компании-"однодневки".

Рис.8. Реклама аналогичных товаров при посещении официального сайта, которая уводит покупателя на сайт конкурента.

Как защититься от мошенничества – решение Group-IB

В Group-IB создали систему раннего предотвращения мошенничества на корпоративных, государственных порталах и в интернет-магазинах Secure Portal, которая выявляет:

несанкционированный доступ в личный кабинет;
сбор и использование ворованных карт, электронных кошельков, бонусов и промокодов для покупки;
фишинговые сайты;
применение социальной инженерии;
использование ботов для перебора паролей.

Рис.9. Схема работы Secure Portal.

Secure Portal загружается незаметно для пользователя как JavaScript-модуль вместе со страницами сайта, либо вместе с мобильным приложением магазина как Mobile SDK .

Модуль контролирует отсутствие зловредной активности, собирает идентификационные данные клиентского устройства и другую информацию, которая помогает выявить мошеннические действия. Работа модуля никак не сказывается на скорости работы веб-сайта или мобильного приложения.

Далее, обезличенные данные по защищенному каналу передаются в серверную инфраструктуру Secure Portal, где обрабатываются с использованием следующих технологий:

идентификация по цифровому "отпечатку" устройства;
поведенческий анализ (UEBA);
безагентное обнаружение вредоносных программ;
кросс-канальная аналитика;
глобальный профиль пользователя;
продвинутый конструктор правил.

Для корреляции и классификации полученных данных используется ежедневно обновляемая база данных Group-IB Threat Intelligence: идентификаторы зараженных устройств в бот-сетях, скомпрометированные банковские карты, индикаторы нового вредоносного ПО и сведения об активности преступных групп.

В случае выявления фактов мошенничества, Group-IB информирует о них службу безопасности портала в режиме реального времени.

Secure Portal помогает Центру круглосуточного реагирования на инциденты информационной безопасности (CERT-GIB) автоматизировать процесс выявления фишинга и ускорить скорость реакции на угрозы, оперативно блокируя фишинговый ресурс.

JavaScript-модуль SP на страницах вашего сайта блокирует несанкционированную рекламу в браузере посетителя, предотвращая перехват покупки конкурентами.

Преимущества Secure Portal

Работа скрипта Secure Portal происходит незаметно для пользователя и не сказывается на скорости загрузки страниц. Мобильная версия Secure Portal Mobile SDK дает возможность контролировать риски, возникающие на стороне мобильного приложения, позволяя защищать покупки на смартфонах, планшетах и других устройствах под управлением операционных систем iOS и Android.

В дополнение, продвинутый конструктор правил, API для интеграции с антифрод-системами и IT-инфраструктурой портала позволяют настраивать уведомления и запускать процедуры реагирования по отработанным схемам в режиме реального времени.

Secure Portal предоставляет возможность:

Предотвратить кражу бонусных баллов, снизить репутационные риски для бренда.
Уменьшить потери от действий оптовиков и третьих лиц, пользующихся несколькими аккаунтами на ресурсе.
Повысить лояльность за счет эффективной защиты клиентов от подложных сайтов и сократить количество скомпрометированных данных личных кабинетов.
Снизить объем возмещений денежных средств (chargeback) после оплаты товаров и услуг ворованными платежными картами.