Поддельные сайты для покупки авиабилетов воруют деньги

Что вы делаете, когда собираетесь купить авиабилеты? Можно зайти в физический офис авиакомпании вроде «Аэрофлота» и купить их там. Можно сэкономить время и заглянуть на сайт того же перевозчика. Можно зайти на страничку какого-нибудь агрегатора и поискать на ней — есть шанс, что это позволит сэкономить.

А еще можно вбить запрос «Дешевые билеты туда-то» в поисковик и посмотреть выдачу — есть надежда, что найдется малоизвестный агрегатор, позволяющий сэкономить еще больше. К сожалению, это небезопасно.

Пользователь портала Geektimes с ником xbox поделился историей своего знакомого, решившего купить билеты именно таким образом. Рекламная ссылка в первой строчке выдачи поисковика обещала дешевые билеты в нужном направлении — и пользователь по ней кликнул. Но сайт оказался фишинговым.

Пройдя по ссылке, пользователь попал на сайт aviapromo.eu (сейчас сайт не работает), на котором во вполне стандартную форму ввел данные о искомом перелете, и сайт выдал ему подходящие рейсы. Пользователь выбрал наиболее удачный из них, перешел на страницу оплаты, ввел данные банковской карты, получил, как и положено, SMS с одноразовым кодом 3D Secure, ввел его и оплатил билеты.

На почту пришли маршрут-квитанции — все как при работе с обычным сайтом по продаже билетов. На первый, да и на второй взгляд ничто не выдает в сайте фишинговую страницу.

Но на следующий день начались чудеса. Сначала на телефон пользователя пришло SMS о списании суммы 2 рубля, потом эти 2 рубля немедленно вернулись обратно. То же самое повторилось через час. А потом с карты последовательно списали 17 700 рублей, затем еще 17 700, а затем попытались списать 11 800, но деньги на карте к тому моменту уже кончились.

Расследование из песочницы: https://t.co/koCX1Ud9wx. Дешёвые авиабилеты, или Как сеть мошеннических сайтов ворует деньги с карт. pic.twitter.com/TpAL7pddjW

— Гиктаймс (@GeekTimes_ru) September 26, 2016

Пользователь заблокировал карту, но даже после этого кто-то пытался списывать с нее средства. А билеты, как выяснилось, он в результате так и не купил — маршрут-квитанции оказались подделкой.

Как это произошло?

Автор поста на Geektimes проанализировал код тогда еще работавшего сайта, на котором была совершена покупка, и обнаружил немало интересного.

Поиск авиабилетов с помощью сайта действительно работает. Похоже, что сайт передавал полученную от пользователя информацию какому-то настоящему агрегатору, получал от него сведения о доступных рейсах, убирал лишнее и отдавал обратно пользователю.

Форма на странице оплаты при этом на самом деле является целиком позаимствованной с сайта одного из крупных российских банков формой для переводов с карты на карту. Просто поля с данными получателя в ней предварительно заполнены и скрыты от глаз посетителей. После заполнения такой формы пользователю приходит SMS с одноразовым кодом 3D Secure для перевода на карту, которое мало чем отличается от аналогичного SMS с кодом для совершения покупки.

То есть, по сути, незадачливые пользователи вместо покупки билетов просто переводили деньги на карту злоумышленникам. Кстати, в коде страницы есть специальный скрипт — он подставляет данные другой карты, если перевод на первую почему-то не прошел. Так злоумышленники перестраховываются. При перезагрузке сайта данные карты невидимого получателя также меняются.

Не публикуй онлайн фотографии билетов или документов. Это может сыграть на руку преступникам https://t.co/xEDQfdpln9 pic.twitter.com/EdfqD8sg35

— Kaspersky Lab (@Kaspersky_ru) January 28, 2016

Маршрут-квитанции, соответственно, оказались просто сгенерированным PDF-документом, за которым ничего не стоит. Деньги уходят мошенникам, а не авиакомпании, которая в результате даже понятия не имеет ни о каких транзакциях со стороны данного пользователя, а потому и думать не думала выпускать для него билеты.

Пользователь xbox провел расследование и выяснил, что подобных сайтов в Интернете не один и не два, а намного больше. Схема их работы во всех случаях одинаковая: сайты выводятся на верх выдачи с помощью контекстной рекламы, данные об авиаперелетах берутся с настоящих агрегаторов, а на странице оплаты прячется форма card-to-card-переводов. Список выявленных мошеннических сайтов, работающих по этой схеме, вы можете найти в оригинальном посте на Geektimes.

Как не потерять деньги при покупке авиабилетов?

В данном случае все осложняется тем, что фишинговые сайты действительно очень похожи на настоящие страницы каких-то малоизвестных агрегаторов. Откуда обычному пользователю знать, что конкретно этот агрегатор — липовый? При желании, конечно, можно сверить приведенные в подвале сайта данные с государственными реестрами и выяснить, что такой компании на самом деле не существует, но это как-то чересчур сложно.

Почему никогда (НИКОГДА!) не стоит выкладывать в Сеть фотографии билетов и всего такого: https://t.co/ToAKtqWzmz pic.twitter.com/p7c9fFHAUB

— Kaspersky Lab (@Kaspersky_ru) July 27, 2016

Поэтому мы бы советовали вот что:

1. Покупайте билеты только непосредственно у авиакомпаний или у известных крупных агрегаторов. И обязательно следите за тем, что вы попали действительно на их страницу, а не на фишинговый сайт, прикидывающийся официальным.

2. При получении SMS с одноразовым кодом подтверждения обращайте внимание не только на сам код, но и на остальной текст сообщения. В данном случае, во-первых, вместо заявленной на сайте суммы 5900 рублей было списано 5988. Еще 88 рублей — это комиссия банка за осуществление перевода, которой при покупке быть не должно. Во-вторых, в SMS встречалось сочетание букв P2P, что как раз таки и означает card-to-card-перевод. Если видите что-то такое в SMS с подтверждением, дважды подумайте, стоит ли вводить код.

3. При первых же признаках подозрительной активности обращайтесь в банк, чтобы заблокировать карту. В описанной ситуации это стоило сделать сразу же после получения SMS о списании 2 рублей и возвращения их на карту. Да, перевыпускать карту — лишняя морока, но так вы наверняка защитите свои деньги.