В Рунете распространилась схема онлайн-мошенничества с использованием P2P-шлюзов банков
Схема основана на том, что мошенник создает, например, сайт по проведению платных опросов, после участия в которых пользователю приходит ссылка на получение крупного выигрыша. Для получения денег пользователю нужно заполнить несколько форм, после чего его просят уплатить небольшую комиссию, введя данные своей банковской карты.
В итоге деньги поступают на банковские карты мошенников. По данным АППСИМ, до 80% трансакций на мошеннических сайтах идут через P2P-шлюзы банков, в остальных 20% используются подставные онлайн-магазины. Проблема может затрагивать многие российские банки, но в первую очередь — Московский Индустриальный Банк и Всероссийский Банк Развития Регионов, утверждается в обращении.
В результате проверочных мероприятий МИнБанк выявляет сайты, на которых организуется указанный вид мошенничества, подтвердил изданию начальник управления информационной безопасности МИнБанка Игорь Плотников. Он отметил, что доступ по IP от подобных серверов блокируется на стороне банка. При этом за последнее время были выявлены сайты, на которых ввод информации о карте осуществлялся без перехода на страницу как банка, предоставляющего сервис переводов, так и банка-эмитента, указывает он. В ВБРР не ответили на запрос «Коммерсанта».
Собеседник газеты в одном из банков утверждает, что помимо упомянутых организаций подобные случаи нередко отмечаются в «Открытии» и QIWI. В пресс-службе «Открытия» сообщили, что схема выманивания средств через фишинговые сайты не новая, и назвали ее больной темой для всей индустрии, подчеркнув, что большая часть мошеннических трансакций проходит через системы платежей других банков.
«Действительно, социальная инженерия — самый популярный и доходный вид мошенничества в Интернете, предполагающий относительно низкие затраты на его реализацию. Подобная проблема не связана исключительно с P2P-шлюзами для проведения трансакций между картами физических лиц — она затрагивает еще множество различных технологий, позволяющих производить прямой перевод денежных средств между клиентами», — отметил технический директор QIWI Кирилл Ермаков, чей комментарий поступил в Банки.ру. «Мы в QIWI знаем о такой схеме выманивания средств не первый год, активно с ней боремся и стремимся сделать антифрод-систему на наших картах и кошельках максимально эффективной, чтобы предотвращать несанкционированный перевод средств как с наших карт и кошельков, так и в их пользу. Мы оцениваем как динамику переводов, так и множественные технические параметры платежа для определения его легитимности. Для минимизации подобных атак мы активно взаимодействуем с антифрод-службами других банков, что позволяет оперативно выявлять инциденты и предотвращать несанкционированный вывод денежных средств», — подчеркнул он.
Описанная проблема — общая для банков, у которых есть эквайринговые сервисы переводов с карты на карту и оплаты услуг, подтвердили в Тинькофф Банке. Обнаружив появление этой схемы, Тинькофф Банк во второй половине 2019 года внедрил ряд технологий и пересмотрел алгоритм работы антифрод-системы, рассказал «Коммерсанту» его представитель.
Ранее СМИ написали о новой схеме фишинга под названием «Белый кролик»: клиент сначала привлекается на безобидные брендированные сайты с опросами, где обещается вознаграждение, а получив письмо о выигрыше с вредоносной ссылкой, переводит деньги злоумышленнику. Каждый отдельный этап не вызывает подозрений, и его сложно отследить службе безопасности банка. Атаки по такой схеме адресные, и для конкретного пользователя формируется одноразовая ссылка, а когда владелец службы безопасности отправит жалобу регистратору сайта на неправомерное использование бренда или фишинг, ссылка, по которой открывался мошеннический портал, просто не сработает.
Реализация шлюза P2P операций перевода с карты на карту
Для своего проекта мне потребовалось реализовать возможность перевода с карты на карту. Для официального подключения к интерфейсу любого банка необходимо заключение договора и выполнение ряда условий. Поэтому было принято решение сделать шлюз к публичной странице банка. Для этих целей были выбраны два банка Тинькофф и БИН Банк предоставляющие возможность перевода на “свои” карты без комиссии. Подробней о тарифах и ограничениях на перевод вы можете ознакомиться на соответствующих страницах банков. В этой статье краткое описание работы шлюза, реализующего функциональность приема платежей на карту.
Требуется реализовать перевод с любой карты на заранее выбранную карту, с поддержкой процедуры авторизации 3DSecure. 3DSecure это защищенный протокол авторизации пользователей для CNP-операций (без присутствия карты). Подробней вы можете почитать на специализированных сайтах, ниже на схеме приведена упрощенная схема, как это работает с точки зрения пользователя.
На картинке упрощенно представлен механизм авторизации транзакции, то, что происходит “под капотом”, когда вы проводите операцию оплаты или перевода с карты на карту, и вводите для подтверждения SMS код.
Для обеспечения бесшовной работы шлюза, чтоб не торчали уши сайта, через который производится перевод, необходимо встроиться в этот процесс переадресации браузера между MPI и ACS. Для этого нужно заменить адрес (TermUrl) полученный от MPI. Это адрес, на который будет переадресован PaRes после завершения пользователем авторизации, в качестве TermUrl в запрос вписывается адрес шлюза. Это позволит шлюзу получить ответ (RaRes) отправить его серверу MPI и обработав ответ MPI направить пользователя на страницу успешного или не успешного завершения транзакции.
Шлюз работает между браузером пользователя и страницей банка, реализует функции ввода/вывода эмулируя страницу банка, дополняет и изменяет данные, и обрабатывает ответы и ошибки от сервисов банка.
Протокол взаимодействия с каждым из банков выяснялся вручную путем back engineering взаимодействия между броузером и сайтом банка, в целом логика одна и та же, разница в переменных и методах передачи. В целом это является узким местом, и работоспособность софта зависит от неизменности API, как только банк изменит работу сервиса, придется менять и логику работы шлюза.
Рассмотрим подробней логику работы.
Для обеспечения проведения операций в шлюзе реализована платежная страница, вызов к которой осуществляется по адрес:
В URL содержатся следующие переменные:
payid– ID операции необходимое для идентификации результатов запроса на оплату после завершения транзакции;
sum – сумма операции;
text – информационное поля “Назначение платежа”.
После заполнения карточных данных, согласия с условиями выполнения, производится запрос комиссии на проведение операции. Размер комиссии и банк (один из двух Тинькофф и БИН), через который будет произведен перевод, зависит от карты, указанной в настройках шлюза как приемник перевода и доступности сервиса банка. В шлюзе реализован простой механизм маршрутизации и обработки ошибок: выбирается всегда Тинькофф, если страница банка не доступна, то выбирается страница БИН Банка.
После нажатия кнопки перевести, происходит переадресация на страницу банка эмитента, выпустившего карту (ACS), с которой будет производиться операция списания. Шлюз произведет запрос PaReq параметров у MPI, заменит TermUrl и направит данные пользователю, предварительно запомнив параметры транзакции в кэш (Redis).
После завершения авторизации, PaRes поступят в шлюз, и он на основании данных кэша направит их соответствующему МPI, обработает ответ и перенаправит пользователя на одну из страниц (ERROR_PAGE, SUCCESS_PAGE), указанных в параметрах настройки шлюза.
URL вызова страницы успешного завершения операции содержит переменную payid, передающую результаты выполнения операции в виде JWT c ЭЦП.
Верифицируя содержимое JWT, можно получить достоверную информацию об успешности выполнения операции, JWT токен выполняет функцию аналогичную PaReq и обеспечивает возможность интеграции с внешней системой.
Данное решение представляет из себя прототип платежного шлюза, с помощью которого можно реализовать интернет эквайринг (прием оплаты по карте) на своем сайте или странице в соцсети. Платежную страницу можно параметризировать или написать свою, творчески доработать софт, главное передавать на вход сумму и id операции и проверять на выходе, что ничего не было творчески изменено еще кем-то. Исходники и рабочие примеры доступны на github.
Там же размещен шлюз, для пополнения своего кошелька VK.pay, который также может быть использован в качестве платежного шлюза. В целом, реализует те же самые принципы, для реализации части функционала использовался Selenium, с помощью которого реализуется авторизация на сайте и авторизация для доступа к кошельку.
ВАЖНО! Любые интернет транзакции потенциально опасны, ваши данные могут быть украдены, необходимо принимать меры предосторожности при проведении интернет транзакций.
ВАЖНО! За кражу средств с чужих банковских карт предусмотрена уголовная ответственность (ст. 159.3, 159.6 УК РФ).
Что такое p2p
Наверное, многие из вас уже слышали о возможности быстро и просто перевести деньги любому держателю банковской карты. Раньше, чтобы отправить любую сумму другому человеку, приходилось лично посещать отделение банка, заполнять заявления, ждать несколько дней. Современные онлайн-переводы – это возможность мгновенно отправить финансовые средства. Однако и перевод денег с карты на карту раньше требовал заполнения многих полей, а ввод цифр отнимал кучу свободного времени. Сейчас онлайн-переводы p2p – это действительно быстрая и удобная система перевода средств.
Что это такое? Как пользоваться
Сервис p2p предлагает вам перевести денежные средства практически в течение нескольких секунд. Чтобы осуществить операцию, необходимо:
Находясь в любой точке мира, вы сможете легко перевести деньги, заполнив всего лишь несколько полей.
Это важно!
В принципе, сейчас наблюдается активное распространение использования сервиса среди представителей малого бизнеса, которые запрашивают оплату за услуги или товары посредством перевода денег с карты на карту или расчетный счет.
Очевидные преимущества p2p
P2p имеет огромное количество плюсов. Ваше удобство – это:
Благодаря сервису p2p, вы можете переводить деньги в любое время, в любом месте, любому получателю.
Сейчас сервис активно используют практически все платежные системы и организации, осуществляющие свою деятельность в интернете.
p2p-перевод денежных средств
01 октября 2016 г. мною был осуществлен перевод денежных средств по p2p с карты другого банка на карту Сбербанка. По истечению 10 календарных дней, денежные средства не поступили получателю. Банк, через которого был осуществлен перевод сообщил, что с их стороны все сделано и денежные средства Сбербанк должен был получить (имеется номер перевода p2p, так же платежное поручение, распечатанное с мобильного банка, заверенное печатью и подписью, о том, что платеж исполнен). 11 октября 2016 г. мною было написано в отделении Сбербанка заявление на розыск платежа, в котором я указал все данные перевода: номер транзакции (перевода), номер карты получателя и номер своей карты. Так же я приложил вместе с заявлением копию платежного поручения, о том что оно исполнено со стороны Банка отправителя. Заявление мое приняли, по смс мне пришел номер обращения № 1610110061863400. 14 октября 2016 г. мне поступил звонок от работника Сбербанка и сообщил, что платеж не найден, потому что у вас вместо банк получателя стоит банк отправителя. На что я ответил, что это внутреннее платежное поручение распечатанное с мобильного банка отправителя и надо искать по номеру перевода (reference number), который мне предоставил банк отправитель. Сотрудник сбербанка ответил, что отправит на повторное рассмотрение заявление и по смс я получил новый номер обращения № 1610140205758300 от 14.10.2016.
По настоящий день я не получил ответа от Сбербанка, денежные средства до сих пор не дошли до получателя. Я получаю только отписки, смс о том, что банку требуется дополнительное время и вот вчера получил еще одно такое смс, что банку требуется еще МЕСЯЦ дополнительного времени. В общем срок получения ответа продлен до 60 дней с даты регистрации обращения. Не уж то так сложно найти перевод? Подскажите, как быть с данной проблемой, как ускорить процесс..
Простая интеграция сервиса P2P переводов на сайт и в приложение
Появление сервисов перевода с карты на карту повлекло за собой взрывной рост P2P платежей и развитие сервисов, использующих возможности коллективного финансирования. Согласно данным Альфа-Банка, лидера P2P переводов в России, общий объем срочных денежных переводов с карты на карту увеличился в 2013 году по сравнению с соответствующим периодом 2012 года на 385% в рублевом эквиваленте. Количество переводов увеличилось на 250%.
Год назад на Хабре уже проводили сравнение сервисов P2P-переводов денег с карты на карту Visa и MasterCard. В посте рассматривался и P2P сервис PayOnline. Сегодня мы представляем хабрасообществу этот сервис в новом формате: свободный и бесплатный, доступный для интеграции на сторонние сайты и в мобильные приложения.
С его помощью можно легко предоставить пользователям возможность отправлять деньги друг другу, можно принимать платежи на свою карту, не отправляя никому свои данные, можно зарабатывать на комиссии. Подробности – под катом.
Предыстория
Сервис перевода с карты на карту был запущен в 2013 году для участников программы лояльности клиентов процессингового центра. Уже через полгода без какого-либо дополнительного пиара и продвижения сервисом стали массово пользоваться владельцы банковских карт, совершавшие покупки в интернет-магазинах, принимающих платежи через PayOnline, и те, кто узнал о сервисе через «сарафанное радио» социальных сетей и интернет-ресурсов, в том числе — Хабры. Пользователей привлекла возможность совершать переводы между картами, выпущенными любыми банками-эмитентами, и адекватная ставка комиссии.
Параллельно с этим стали поступать запросы на интеграцию сервиса в мобильные и веб сервисы коллективного финансирования и коллективного кредитования. Именно там P2P сервисы оказались максимально востребованы. Сейчас мы решили выпустить наш P2P сервис «в свободное плавание» и предоставить разработчикам возможность адаптировать его под свои потребности. Первыми пользователями сервиса стали приложение FriendsMoney, позволяющее взять у друга денег в долг или одолжить ему денежные средства в обход банков, и виртуальная финансовая площадка «БезБанка».
Как это работает
В стандартной практике для совершения перевода необходимо вводить данные банковских карт отправителя (полностью) и получателя (только номер). А вводиться такие данные могут только на защищенных платежных страницах сайтов, обладающих сертификатом PCI DSS, и приложений, сертифицированных по стандарту PA DSS. Но с появление нашего P2P сервиса проблема наличия сертификата стала неактуальной. Сервис P2P переводов можно реализовать на любом сайте, а платежные данные будут обрабатываться в процессинговом центре.
А для тех, кто не является обладателем сертификата безопасности, мы реализуем простую схему привязки карты. Пользователь, который хочет совершить перевод, должен один раз перейти на страницу PayOnline для привязки своей карты к аккаунту на вашем ресурсе: после этого ему присваивается уникальный RebillAnchore. Так выглядит процедура привязки банковской карты.
Для совершения последующих переводов пользователю не понадобится переходить на защищенную страницу процессингового центра и вновь вводить данные карты. С точки зрения пользователя, перевод будет совершаться прямо между аккаунтами пользователей сайта или приложения. А уже к аккаунтам будет «привязана» карта на стороне процессингового центра. Так выглядит процедура совершения перевода между двумя «привязанными» картами.
Пользователю, совершающему перевод, потребуется лишь пройти проверку с помощью 3-D Secure. Стоит отметить, что привязать к аккаунту можно только карту, подписанную на протокол 3-D Secure.
Возможности использования сервиса
Получение переводов на свою карту
Здесь все просто. Вы хотите получать переводы на свою карту: от клиентов, друзей, партнеров, сочувствующих вашему творчеству и т.д. Вы привязываете свою карту и даете пользователям сайта возможность совершать на нее переводы. За проведение перевода системой взимается 1,5% + 20 рублей. Напоминаем: карта, с которой производится перевод, должна быть подписана на 3D-Secure.
Также хотим обратить внимание на то, что предпринимательская деятельность в России подлежит налогообложению. И по закону оказывать услуги и продавать товары без уплаты налогов нельзя. А получение переводов на карту не облагается налогами, следовательно, мы должны отметить, что получение коммерческих платежей на карту нелегитимно.
Предоставление пользователям возможности совершать P2P переводы
Существует много причин, по которым люди переводят друг другу деньги, даже если исключить коммерческие отношения. Мы отправляем деньги родителям и детям, «скидываемся» на подарки и поездки, занимаем друзьям до зарплаты и т.д.
Создав на сайте или в приложении сервис перевода с карты на карту, вы предоставите пользователям удобный инструмент, который не только увеличит полезность ресурса, но и даст пользователям повод возвращаться на него снова и снова. Все вопросы по переводам, которые могут возникнуть у пользователей P2P сервиса, будут задаваться не вам, а специалистам круглосуточной службы поддержки процессингового центра.
Использование P2P сервиса для решения своих бизнес задач
Коллективное финансирование и коллективное кредитование – именно так зовут современных «убийц банков». Одним из первых клиентов, использовавших наш P2P сервис, стал разработчик мобильного приложения, позволяющего «друзьям» из социальных сетей занимать друг другу деньги под произвольные проценты.
Зарабатывать на P2P переводах могут только юридические лица, в том числе – индивидуальные предприниматели. Предоставив своим пользователям возможность совершать P2P переводы, вы сможете назначить свою агентскую комиссию.
Существуют ограничения минимального размера комиссии и стандартная схема расчета агентской комиссии. Минимальный размер комиссии «на выходе» (minimum sell rate) не должен быть менее 1,5% + 20 рублей за один перевод. Сервис продает агентам комиссию за 1,3% + 20 рублей (buy rate). Заработок агента – это [(sell rate – buy rate)/2].
Получение технической документации, контроль и управление платежами
Получить техническую документацию и обсудить детали реализации сервиса P2P переводов можно, подав заявку на сайте нашего процессингового центра или связавшись со специалистами по телефону. После подачи заявки вы получите персональный идентификатор, техническую документацию и доступы к «Личному кабинету», в котором можно отслеживать переводы, совершенные на сайте или в приложении.
Если разработчик планирует зарабатывать на сервисе, ему потребуется юридическое лицо для заключения агентского договора с процессинговым центром.