Що ви робите, коли збираєтеся купити авіаквитки? Можна зайти в фізичний офіс авіакомпанії на кшталт «Аерофлоту» і купити їх там. Можна заощадити час і заглянути на сайт того ж перевізника. Можна зайти на сторінку якогось агрегатора і пошукати на ній - є шанс, що це дозволить заощадити.
А ще можна вбити запит «Дешеві квитки туди-то» в пошуковик і подивитися видачу - є надія, що знайдеться маловідомий агрегатор, що дозволяє заощадити ще більше. На жаль, це небезпечно.
Користувач порталу Geektimes з ніком xbox поділився історією свого знайомого, який вирішив купити квитки саме таким чином. Рекламна посилання в першому рядку видачі пошуковика обіцяла дешеві квитки в потрібному напрямку - і користувач по ній клікнув. Але сайт виявився фішингових.
Пройшовши по посиланню, користувач потрапив на сайт aviapromo.eu (зараз сайт не працює), на якому в цілком стандартну форму ввів дані про шуканому перельоті, і сайт видав йому відповідні рейси. Користувач вибрав найбільш вдалий з них, перейшов на сторінку оплати, ввів дані банківської картки, отримав, як і належить, SMS з одноразовим кодом 3D Secure, ввів його і сплатив квитки.
На пошту прийшли маршрут-квитанції - все як при роботі зі звичайним сайтом з продажу квитків. На перший, так і на другий погляд ніщо не видає в сайті фішингову сторінку.
Але на наступний день почалися дива. Спочатку на телефон користувача прийшло SMS про списання суми 2 рубля, потім ці 2 рубля негайно повернулися назад. Те ж саме повторилося через годину. А потім з карти послідовно списали 17 700 рублів, потім ще 17 700, а потім спробували списати 11 800, але гроші на карті до того моменту вже скінчилися.
Користувач заблокував карту, але навіть після цього хтось намагався списувати з неї кошти. А квитки, як з'ясувалося, він в результаті так і не купив - маршрут-квитанції виявилися підробкою.
Як це відбулося?
Автор поста на Geektimes проаналізував код тоді ще працював сайту, на якому було придбано виріб, і виявив чимало цікавого.
Пошук авіаквитків за допомогою сайту дійсно працює. Схоже, що сайт передавав отриману від користувача інформацію якомусь справжньому агрегатору, отримував від нього відомості про доступні рейсах, прибирав зайве і віддавав назад користувачеві.
Форма на сторінці оплати при цьому насправді є цілком запозиченої з сайту одного з великих російських банків формою для переказів з картки на картку. Просто поля з даними одержувача в ній попередньо заповнені і приховані від очей відвідувачів. Після заповнення такої форми користувачеві приходить SMS з одноразовим кодом 3D Secure для перекладу на карту, яке мало чим відрізняється від аналогічного SMS з кодом для здійснення покупки.
Тобто, по суті, невдачливі користувачі замість покупки квитків просто переводили гроші на карту зловмисникам. До речі, в коді сторінки є спеціальний скрипт - він підставляє дані іншої картки, якщо переклад на першу чомусь не пройшов. Так зловмисники перестраховуються. При перезавантаженні сайту дані карти невидимого одержувача також змінюються.
Маршрут-квитанції, відповідно, виявилися просто згенерував PDF-документом, за яким нічого не варто. Гроші йдуть шахраям, а не авіакомпанії, яка в результаті навіть гадки не має ні про які транзакції з боку даного користувача, а тому і думати не думала випускати для нього квитки.
Користувач xbox провів розслідування і з'ясував, що подібних сайтів в Інтернеті не один і не два, а набагато більше. Схема їх роботи у всіх випадках однакова: сайти виводяться на верх видачі за допомогою контекстної реклами, дані про авіаперельоти беруться з справжніх агрегаторів, а на сторінці оплати ховається форма card-to-card-переказів. Список виявлених шахрайських сайтів, які працюють за цією схемою, ви можете знайти в оригінальному пості на Geektimes .
Як не втратити гроші при купівлі авіаквитків?
В даному випадку все ускладнюється тим, що фішингові сайти дійсно дуже схожі на справжні сторінки якихось маловідомих агрегаторів. Звідки звичайному користувачеві знати, що конкретно цей агрегатор - липовий? При бажанні, звісно, можна звірити наведені в підвалі сайту дані з державними реєстрами та з'ясувати, що такої компанії насправді не існує, але це якось надто складно.
Тому ми б радили ось що:
1. Купуйте квитки тільки безпосередньо у авіакомпаній або у відомих великих агрегаторів. І обов'язково стежите за тим, що ви потрапили дійсно на їх сторінку, а не на фішингових сайтів, прикидається офіційним.
2. При отриманні SMS з одноразовим кодом підтвердження звертайте увагу не тільки на сам код, а й на решту тексту повідомлення. В даному випадку, по-перше, замість заявленої на сайті суми 5900 рублів було списано 5988. Ще 88 рублів - це комісія банку за здійснення переказу, якої при покупці бути не повинно. По-друге, в SMS зустрічалося поєднання букв P2P, що як раз таки і означає card-to-card-переклад. Якщо бачите щось таке в SMS з підтвердженням, двічі подумайте, чи варто вводити код.
3. При перших же ознаках підозрілої активності звертайтеся в банк, щоб заблокувати карту. В описаній ситуації це варто було зробити відразу ж після отримання SMS про списання 2 рублів і повернення їх на карту. Так, перевипускати карту - зайва морока, але так ви напевно захистіть свої гроші.
Як це відбулося?Як не втратити гроші при купівлі авіаквитків?
Що ви робите, коли збираєтеся купити авіаквитки?
Як це відбулося?
Як не втратити гроші при купівлі авіаквитків?
Звідки звичайному користувачеві знати, що конкретно цей агрегатор - липовий?