Поле чудес: почему на популярных маркетплейсах покупать небезопасно
Эксперты по информационной безопасности обнаружили сразу пять «уязвимостей» торговых онлайн-площадок eBay и AliExpress. Все они грозят покупателям утратой конфиденциальности и потерей денег, заявили в компании «Газинформсервис». О том, как с ними бороться, как защитить от утечки свои данные и как не потерять деньги, — в материале «Известий».
Когда масштабные атаки непредсказуемы
Во второй половине текущего года сохраняется пандемийный тренд повышенного интереса людей ко всевозможным торговым онлайн-площадкам. Компании, занимающиеся информационной безопасностью продолжают обновлять свою неутешительную статистику. По данным портала Purplesec.us, из-за COVID-19 в мире количество киберпреступлений выросло на 600%, а Webroot Brightcloud в своем отчете по текущему году указал, что на первом месте по количеству фишинговых атак стоит площадка для онлайн-торговли eBay. Ну а поскольку самый большой рост спроса продолжают ощущать на себе именно площадки для онлайн-торговли, аналогичные угрозы затрагивают и самый главный интернет-магазин в мире — AliExpress, подчеркивают эксперты.
— И eBay, и AliExpress — давние участники различных bug bounty программ — щедро оплачивают выявленные уязвимости, а также крайне дорожат своей репутацией, потому что альтернативы есть, — говорит технический директор компании «Газинформсервис» Николай Нашивочников. — С другой стороны, если злоумышленник обнаружит уязвимость в подобном сервисе, он совсем необязательно станет ею делиться, даже за солидное вознаграждение. Возможно, уязвимости нулевого дня прямо сейчас ждут нужного момента для проведения масштабной атаки.
Член Ассоциации юристов России Дмитрий Семеников напоминает, что на иностранные интернет-магазины, ориентированные на нашего потребителя, распространяются нормы российского законодательства о защите прав потребителей. Из разъяснений Роспотребнадзора следует, что российские правила применяются, если сайт переведен на русский язык или содержит описание товаров на русском языке, на нем можно оплачивать товары рублями, возможно исполнение договора (доставка товара) на территорию России, реклама размещается на русском языке.
Итак, в чем состоит опасность для пользователей eBay и AliExpress? Аналитики компании «Газинформсервис» по просьбе «Известий» выявили и разобрали целых пять наиболее агрессивных схем мошенничества на торговых онлайн-площадках.
Если продавец получил деньги и не собирается отправлять товар
Это самый простой и самый частый вид мошенничества, уверяет эксперт GIS Николай Нашивочников. Вы оплатили товар, а в ответ тишина, а через некоторое время продавец просто исчезает. Неприятно, но по идее вас должна защищать программа eBay Money Back Guarantee. С ней, к сожалению, тоже не так всё просто. Если вы купили какую-то услугу, или, например, готовый веб-сайт, или билеты на поездку, то никаких денег вы не увидите. Это особенно неприятно, если вы потратили кучу времени на изучение отзывов о продавце. Такие мошенники играют вдолгую — совершают большое количество небольших продаж, получают хорошие отзывы, а затем продают вам несуществующий товар за крупную сумму. По словам эксперта, всё, что вы можете сделать, это не рисковать своими деньгами на таких покупках, которые не покрываются программами страховки.
— Самым распространенным мотивом выбора цифровых площадок в качестве альтернативы магазинам остается цена, — говорит генеральный директор NGR Softlab Дмитрий Пудов. — Люди пытаются сэкономить, реагируя на распродажи, специальные предложения и т.п. И этим активно пользуются мошенники, предлагая уникальные условия «только сегодня и только сейчас». Популярность этой схемы весьма высока. Будьте бдительнее и поищите отзывы о продавце.
— Что касается программы защиты покупателей eBay Money Back Guarantee, то она покрывает подавляющее большинство товаров, приобретаемых российскими покупателями eBay, так как доля цифровых товаров и услуг от общего объема покупок на площадке в России незначительна, — подчеркнули в пресс-службе eBay.
В чем опасность поддельных сайтов
Злоумышленники могут создавать поддельные сайты, копирующие внешний вид популярных интернет-магазинов, а затем оставлять ссылки на товары в соцсетях и на форумах. Например, в группе в соцсети люди обсуждают покупку новой игровой консоли, злоумышленник оставляет сообщение со ссылкой на поддельный сайт AliExpress, где, как он утверждает, купил эту консоль за копейки. Покупатель переходит по ссылке, делает покупку и просто теряет деньги.
— Если вы используете мобильный телефон, то, скорее всего, пользуетесь официальным мобильным приложением, — говорит эксперт в области безопасности банковских систем Максим Костиков. — Скорее всего, вы замечали, что при переходе из браузера по ссылке, сразу открывается отдельное мобильное приложение для дальнейшей работы с товаром. У злоумышленников же все действия будут происходить внутри мобильного браузера. Так что если вы замечаете, что при переходе по ссылке вы остались в браузере и приложение не открылось, то, скорее всего, это мошенники. Иногда поддельный сайт виден сразу, так как часть злоумышленников нацелена только на пользователей компьютера и при отображении сайта на мобильном устройстве можно заметить, что сайтом совершенно невозможно пользоваться и он разительно отличается от официального.
Если невозможен возврат денег после закрытия спора
Это немного более сложная схема. Вы покупаете товар, оплачиваете его, но так и не получаете долгожданную посылку. Вы пишете продавцу, а тот соглашается, что ситуация вышла некрасивая, обещает всё перевести на ваш PayPal, но очень просит закрыть спор, чтобы не портить статистику. Вы соглашаетесь и даете реквизиты вашего PayPal-аккаунта, а затем получаете свои деньги назад. Казалось бы, всё решено, но нет. Далее продавец ждет истечения времени работы программы защиты покупателя и делает возврат средств с вашего PayPal с комментарием non delivery of goods or service. И с точки зрения PayPal это не возврат денег вам от продавца, а просто оплата услуги или товара, которые не были получены от вас продавцом.
— В такой ситуации нужно всегда помнить, что ни при каких условиях нельзя закрывать спор с продавцом до получения денег на то платежное средство, которое вы использовали при покупке, — говорит Николай Нашивочников. — Спор закрывается автоматически при возврате денег от продавца.
В чем вредоносность сторонних приложений
Зачастую мы используем сторонние приложения для отслеживания наших покупок. Это удобно — вот наша посылка пересекла границу, вот она путешествует по бесконечным сортировочным центрам, а вот и прибыла в наше почтовое отделение. Злоумышленники могут воспользоваться этим, прислав SMS-сообщение или сообщение в WhatsApp, которое будет крайне похоже на те, что вы получаете от почтовой службы.
— Чтобы избежать проблем, достаточно просто в отдельном окне открыть основной сайт и зайти под своими учетными данными, далее обновить интересующую вас страницу, — говорит Максим Костиков. — В случае если это легитимный сайт, вам покажут, что вы авторизовались, а в случае с мошенническим сайт так и продолжит показывать, что ждет от вас ввода логина и пароля.
Как быть с недобросовестными объявлениями
К сожалению, это реальная ситуация, когда вместо клавиатуры вы получаете только накладки на кнопки, вместо игры только инструкцию к ней, а вместо новенького ноутбука только упаковку. eBay даже выпустила заявление по этому поводу и пообещала очистить площадку от подобных объявлений. Стоит ли говорить, что объявления так никуда и не делись.
Обычно это происходит, когда какой-то товар очень популярен и редок, цена на него взлетает, а отдельные недобросовестные продавцы начинают выставлять стоимость товара ниже рынка, надеясь, что в порыве ажиотажа покупатель не будет внимательно читать описание товара. К сожалению, как правило, в описании всё-таки указано, что конкретно вы покупаете. На изображении может быть нарисован красивый макбук, но вот в тексте явно указано — коробка от макбука в хорошем состоянии.
— Как избежать? Никогда не делайте покупок в спешке, — советует Николай Нашивочников. — Внимательно читайте описание товара перед покупкой. Подозрения должны сразу вызывать неадекватная цена и количество товара в наличии. Доказать, что вы хотели купить ноутбук, потом будет просто невозможно. Внутренние службы безопасности интернет-магазинов редко отслеживают подобные нарушения, потому что формально никакого нарушения просто нет.
Мнения компаний
В пресс-службе eBay сообщили, что «компания eBay оперирует в России в соответствии с законодательством РФ».
— На своей платформе eBay отслеживает недобросовестных продавцов и покупателей и своевременно блокирует им доступ к операциям на маркетплейсе, — говорят в пресс-службе eBay. — Для гарантии безопасности покупок на eBay существует система рейтинга продавцов, а также программа по мониторингу недобросовестных продавцов и покупателей в службе поддержки. При выборе товара и оформлении покупки на платформе компания eBay рекомендует покупателям всегда обращать внимание на рейтинг продавца и отзывы других покупателей, а при проблемах с покупкой – открывать диспут с продавцом для решения.
При этом в пресс-службе eBay отметили, что «доля покупок с диспутами, открытых российскими покупателями на eBay, очень низкая и не превышает 2,6% от общего объема».
В пресс-службе AliExpress Россия обращают внимание, что речь идет не об уязвимостях платформ, а о случаях фишинга и бизнес-аспектах торговых отношений, которые можно применить к любому интернет-магазину или сайту.
— Скорее, это потенциальные случаи, которые могут произойти на любом сайте или инлайн-магазине, а не конкретные истории именно на нашей площадке, — уверяют в компании. —
AliExpress Россия ответственно относится к безопасности своих покупателей. Платежи на платформе осуществляются через международные платежные системы. Это значит, что платежные данные покупателей защищены в соответствии с международными стандартами безопасности. Также наша площадка использует современные системы защиты пользовательских данных и лучшие практики информационной безопасности международных коллег из Alibaba Group. Программный код постоянно проверяется на наличие уязвимостей.
По словам пресс-службы AliExpress Россия, «чаще всего компрометация платежных или персональных данных происходит на уровне пользовательского доступа». «Поэтому всем покупателям, совершающим покупки в интернете, необходимо следовать правилам цифровой гигиены: совершать покупки на сайтах с защитным протоколом https://, внимательно проверить адрес сайта до момента оплаты товара — в интернете встречаются сайты-двойники, названия которых от оригиналов отличаются, например, всего одной буквой, а их дизайн полностью скопирован», — замечают в AliExpress.
— Также нельзя пренебрегать защитными мерами своих аккаунтов в интернет-магазинах: необходимо использовать надежный пароль, менять его периодически, не использовать одинаковый пароль на разных ресурсах, — советуют в пресс-службе AliExpress Россия. — Для еще большей надежности необходимо использовать двухфакторную аутентификацию, например, привязывать к аккаунту номер телефона и получать дополнительную проверку.
