Купля-пропажа: как мошенники обманывают россиян на маркетплейсах
Мошенники на российских маркетплейсах стали обманом выяснять логины и пароли пользователей под предлогом подтверждения доставки — об этом рассказали эксперты компаний из сферы информационной безопасности. Получив доступ к аккаунту пользователя, злоумышленники привязывают к нему свою банковскую карту, отменяют заказ и забирают себе вернувшиеся на счет деньги. Как защититься от мошеннических схем — разбирались «Известия».
Бум маркетплейсов
Маркетплейсы начали активно развиваться с середины 2010-х годов, когда на онлайн-площадки стали постепенно переезжать многие (в том числе крупные) магазины. А с началом пандемии COVID-19 в 2020 году этот процесс и вовсе принял лавинообразный характер. Как говорит в беседе с «Известиями» главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников, те сферы торговли, которые ранее работали только оффлайн и для которых традиционно требовалось посещение магазина — к примеру, торговля одеждой, — также стали массово перемещаться в онлайн-торговлю.
— Если посмотреть финансовые отчеты крупных маркетплейсов за 2021–2022 годы, можно увидеть существенный рост оборота и прибыли, — рассказывает специалист. — Всё это сделало маркетплейсы популярными площадками для мошенников разного вида.
По словам Овчинникова, способов обмана пользователей на маркетплейсах сегодня много: они постоянно меняются и мутируют. Как объясняет руководитель группы аналитиков Центра противодействия киберугрозам компании Innostage CyberART Ксения Рысаева, мошенникам интересны данные из пользовательских аккаунтов, которые можно использовать для финансовых афер — например, получения доступа к средствам на банковских картах или оформления кредитов на чужое имя.
— Кроме того, злоумышленники могут продавать данные пользователей маркетплейсов, — объясняет Рысаева. — В целом кража аккаунтов несет в себе серьезные риски для клиентов маркетплейсов и требует оперативной реакции со стороны этих площадок.
Способы обмана
По словам экспертов, опрошенных «Известиями», все схемы мошенничества на маркетплейсах можно свести к нескольким основным направлениям: классическому мошенничеству с кражами денег, кражам платежной информации банковских карт и кражам учетных записей пользователей на маркетплейсах.
— В случае классической кражи жертву зачастую просят перейти в отдельный чат в мессенджере и/или провести оплату переводом или по фишинговой ссылке, что чревато потерей денег за товар, — рассказывает Дмитрий Овчинников. — Кроме того, при использовании фишинговых сайтов у пользователей маркетплейсов также могут похитить платежную информацию от их банковских карт.
По словам собеседника, обычно мошенники создают свой магазин и ждут заказа от клиента на дорогой товар, но после получения оплаты отменяют заказ — деньги возвращаются пользователю. Однако на этом этапе всё только начинается.
— После отмены на пользователя выходит мнимый продавец и предлагает использовать для общения WhatsApp (принадлежит компании Meta, признанной в РФ экстремистской) или Telegram, — объясняет Ксения Рысаева. — В мессенджере мошенник сообщает о том, что запасы товара на складе интернет-магазина якобы закончились.
Впрочем, могут использоваться и другие варианты убеждения потенциальной жертвы — к примеру, рассказы о том, что покупка в обход маркетплейса якобы будет дешевле. «Продавец» также может сказать, что отменил заказ случайно и теперь, в качестве извинения, предоставит скидку в 10%. После этого клиенту предлагают совершить покупку на стороннем ресурсе и отправляют на него фишинговую ссылку. На такое, как правило, соглашаются немногие покупатели, но те, кто всё же выполняет указания мошенников, после «покупки» через фишинговую ссылку остаются и без денег, и без товара, а «продавец» предсказуемо исчезает.
— Эта схема чаще всего применяется с дорогими товарами, — отмечает Дмитрий Овчинников. — Воровать на заказе носков никто не будет, а вот покупка игровой приставки или телевизора для мошенников значительно интереснее.
Охота за аккаунтами
Аккаунты пользователей маркетплейсов также очень интересны для злоумышленников — доступ к ним обычно пытаются получить при помощи методов социальной инженерии. Как объясняет в беседе с «Известиями» ведущий юрист Европейской юридической службы Олег Черкасов, потенциальной жертве могут позвонить и сказать, что оплата за товар якобы не прошла — а потому данные от личного кабинета маркетплейса нужно ввести в ручном режиме там, где скажут мошенники.
— Хищение логинов, паролей и других данных на маркетплейсах может привести к тому, что злоумышленники, получив доступ к личному кабинету, смогут совершить покупку от имени клиента или подадут заявку на возврат денег за товар, но уже с указанием данных своей карты, — рассказывает эксперт.
Специалист предупреждает, что при «угоне» аккаунта на маркетплейсе мошенники, среди прочего, могут получить доступ к сведениям о банковской карте жертвы. Кроме того, похищенные аккаунты могут применяться и непосредственно для покупок: аферисты заказывают товары на имя их владельца и даже не сообщают об их получении.
— Неприятным моментом может стать и то, что персональные данные клиента торговой площадки могут быть позже использованы в других преступных схемах — например, по ним могут быть оформлены какие-либо займы, — говорит Олег Черкасов.
По словам Дмитрия Овчинникова, ущерб для пользователя при краже его аккаунта на маркетплейсе бывает самым разнообразным — всё зависит от самой торговой площадки и разнообразия ее функционала. Злоумышленники могут потратить даже бонусные баллы, накопленные жертвой, хотя, конечно, деньги будут для них куда интереснее. Эксперты считают, что защитить аккаунты пользователей на маркетплейсах, с одной стороны, можно, строго соблюдая все правила цифровой безопасности. Другая сторона относится уже к самим торговым площадкам: это принятие всех необходимых мер для борьбы с мошенничеством.
Механизмы защиты
Для того чтобы защитить свой аккаунт на маркетплейсе от мошенников, пользователю необходимо соблюдать ряд простых правил. Как говорит Дмитрий Овчинников, прежде всего общаться с продавцами необходимо только в официальных чатах самих торговых площадок.
— Не стоит переходить в чаты в мессенджерах, если продавец предлагает это, — предупреждает собеседник «Известий». — В противном случае маркетплейс снимает с себя всякую ответственность за проведение сделки — такие положения можно найти в пользовательских соглашениях.
Второй момент — в том, чтобы оплачивать товар только из маркетплейсов: использование переводов и сторонних сайтов чревато обманом. По словам Дмитрия Овчинникова, весь смысл использования торговых площадок с точки зрения покупателя как раз и состоит в том, чтобы перекладывать на них все риски общения с продавцами.
— Не переходите по ссылкам в чате маркетплейса — вся информация о товаре и доставке уже содержится на торговой площадке, — отмечает эксперт. — Если продавец не может грамотно оформить свои товары и ссылается на получение дополнительной информации на своем сайте, то это говорит о том, что он не очень профессионален. Значит, стоит поискать другого, более ответственного продавца.
В свою очередь, Олег Черкасов рекомендует всегда проверять информацию о продавце. К примеру, по ИНН или ОГРН на сайте налоговой в разделе «Риски бизнеса. Проверь себя и контрагента» можно получить выписку из ЕГРИП и ЕГРЮЛ. Из их содержания возможно увидеть, как давно лицо зарегистрировано в качестве ИП или создано юридическое лицо, а также каким видом деятельности оно занимается. Кроме того, полезно анализировать отзывы о продавце на разных сетевых ресурсах.
— При звонках от продавцов нельзя сообщать никакие пароли и коды, если они не относятся к конкретной покупке, — предупреждает специалист. — А если вы уже стали жертвой мошенников, первое, что необходимо сделать, — это обратиться в банк за отменой трансакции и применением процедуры чарджбек, если оплата производилась картой.
Далее Черкасов советует подать заявление в полицию по ст. 159 УК РФ («Мошенничество»). Делать это можно в любом отделе, но лучше по месту совершения преступления — то есть по месту передачи денег. В рамках уголовного дела пользователь может заявить гражданский иск о возмещении ущерба, причиненного преступлением.
— Положительные примеры взыскания ущерба в практике встречаются, — заключает эксперт. — Чтобы увеличить шансы на возврат денежных средств, необходимо делать скрины страниц, сохранять чеки-оплаты и номера карт при переводах.