Формы соучастия: на маркетплейсах появились фейковые продавцы
Мошенники создают фальшивые аккаунты для хищения денег у пользователей
Мошенники стали использовать на маркетплейсах очередную схему обмана пользователей — об этом предупредили в МВД. Злоумышленники задействуют в ней фейковые аккаунты продавцов, которые необходимы для хищения денег у потенциальных жертв. Подробности о том, как работает новый мошеннический сценарий и какие способы защиты существуют, читайте в материале «Известий».
Взлом и фейк
Информация о том, что мошенники стали использовать на маркетплейсах очередную схему обмана пользователей, появилась в официальном Telegram-канале Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России.
«Аферисты взламывают личные кабинеты пользователей, оформляют заказы у фейковых продавцов и списывают таким образом средства с привязанных к чужим профилям банковских карт», — говорится в сообщении.
Маркетплейсы могут стать удобным местом для обмана пользователей, поскольку мошенники применяют привычные им методы манипуляции, рассказывает в беседе с «Известиями» консультант по информационной безопасности компании R-Vision Александр Черненко.
По словам специалиста, многие покупатели привязывают свои банковские карты к маркетплейсам, чтобы упростить процесс покупки товаров. Однако такой способ оплаты не всегда безопасен. Дело в том, что при этом не требуется вводить проверочный код от банка и подтверждать оплату. Это дает возможность мошенникам оформлять заказы на маркетплейсах и красть деньги покупателей.
— Также многие операции, например оплата с карты, могут происходить автоматически и отображаться только в личном кабинете, а значит, если у человека не установлены уведомления, то эти операции для него будут не видны в обычном режиме, — дополняет ведущий GR-менеджер, специалист по нормативно-правовому регулированию ИБ компании «Код безопасности» Александра Шмигирилова.
Продавцы с подвохом
Мошенническая схема на маркетплейсах, описанная управлением МВД России, связана со взломом учетных записей покупателей — именно это отличает ее от многих других популярных схем обмана, где злоумышленники пытаются обвести жертву вокруг пальца без использования учетных данных.
— Это связано с тем, что взламывать личные кабинеты в принципе может быть сложнее, особенно если подключены двухфакторная аутентификация и все необходимые защитные меры, — поясняет «Известиям» руководитель направления аналитических исследований в Positive Technologies Ирина Зиновкина.
В свою очередь, эксперт Kaspersky Fraud Prevention Кирилл Кулаков обращает внимание, что в новом сценарии злоумышленники используют комбинированный подход с сочетанием фишинга и фейковых продавцов. Такие продавцы могут казаться легитимными и даже иметь какое-то количество положительных отзывов, которые, впрочем, также могут являться фейковыми.
В итоге для того, чтобы новая схема работала, мошенникам нужно, с одной стороны, создать фейковый аккаунт продавца, прописать его в системе, чтобы операция выглядела правдоподобно, а потом уже, взломав личный кабинет клиента, оформить «покупку» у данного продавца на максимально возможную сумму, отмечает Александра Шмигирилова.
— Здесь многое зависит от процессов верификации и отслеживания деятельности продавцов на конкретных маркетплейсах, — говорит Кирилл Кулаков. — Использование таких платформ для проведения транзакций затрудняет дальнейшее обнаружение и отслеживание мошенников.
Арсенал уловок
Между тем схема с фальшивыми продавцами — опасный, но далеко не единственный инструмент, при помощи которого злоумышленники пытаются обманывать пользователей. В частности, по словам Александра Черненко, раньше мошенники активно рассылали фишинговые письма со скидками.
— В них содержались ссылки, переходя по которым пользователи могли сделать заказ и тем самым перевести деньги мошенникам, — говорит собеседник «Известий».
Кроме того, злоумышленник мог притвориться сотрудником технической поддержки — увидеть отзыв клиента и написать ему по доступным контактным данным с выгодным предложением или извинениями. В сообщении также могут быть вложены QR-код или фишинговая ссылка для оплаты доставки и других списаний средств.
Еще одна схема в арсенале мошенников с маркетплейсов выглядит следующим образом: потенциальным жертвам предлагали заработать на отзывах или заказывать товары, а затем отменять заказы для повышения рейтинга магазина. Для этого нужно было внести первоначальный депозит и указать платежные данные для перевода «зарплаты». После этого люди теряли внесенные деньги или даже средства с банковской карты.
— Не стоит забывать и про продажу реплик под видом настоящих товаров с большой скидкой, — отмечает Александр Черненко.
Все эти разнообразные схемы несут в себе большое количество рисков для пользователей, говорит Кирилл Кулаков. В первую очередь это финансовые потери: покупатели могут заплатить за товар, который не будет отправлен, или получить подделку вместо оригинального продукта. Также возможна кража персональных данных пользователей: злоумышленники могут получить доступ к личной информации, такой как номера кредитных карт, адреса и телефоны.
— Это в свою очередь может привести к кражам и другим видам мошенничества, — подчеркивает эксперт. — В результате таких действий возникает угроза потери доверия пользователей как к конкретному маркетплейсу, так и к сфере интернет-торговли в целом.
Механизмы защиты
Для того чтобы защититься от мошенников на маркетплейсах, специалисты советуют соблюдать определенные правила безопасности. Так, по словам Ирины Зиновкиной, в первую очередь необходимо подключить к аккаунту на маркетплейсе (да и вообще к любому аккаунту на всех ресурсах) все предлагаемые меры по безопасности, например двухфактурную аутентификацию.
— В этом случае, даже если у злоумышленника будет ваш логин и пароль, то он не сможет зайти в учетную запись без дополнительного фактора, — поясняет собеседница «Известий».
Кроме того, специалист напоминает о важности соблюдения правил кибергигиены: не стоит переходить по сомнительным ссылкам, даже если там обещают большие скидки, а также не нужно никому сообщать конфиденциальную информацию, в том числе коды из СМС. В свою очередь, Кирилл Кулаков советует завести отдельную банковскую карту для совершения покупок онлайн и перед каждой покупкой переводить на нее нужную сумму.
— Не используйте однотипные пароли для разных сайтов, а существующие пароли лучше регулярно менять, — рекомендует эксперт. — Также не стоит забывать об использовании защитных средств, которые позволят своевременно предотвратить фишинговые атаки.
По словам Александра Черненко, непосредственно на маркетплейсах перед совершением покупки важно изучить рейтинг и отзывы о поставщиках — причем не только на самой торговой площадке, но и в других источниках в интернете. Это поможет избежать покупки в фейковых магазинах.
В случае если с пользователем связывается техническая поддержка через мессенджеры, телефон или почту, то лучше перезвонить в маркетплейс и написать на электронную почту, указанную на сайте маркетплейса в разделе «Контакты». Также, если аккаунт уже взломан и производятся списания денежных средств, необходимо заблокировать банковскую карту, написать и позвонить в поддержку банка, а также в поддержку маркетплейса, заключает специалист.