5 опасностей онлайн‑шопинга: как мошенники могут вас обмануть и как от них защититься

Общая схема обмана любителей интернет-шопинга выглядит до обидного примитивно:

1) покупатель заходит на сайт и находит интересующий его товар;

2) после оплаты товара деньги уходят к преступникам;

3) покупатель лишается не только денег, но и данных банковской карты.

Самое сложное в этой схеме — убедить покупателя в том, что он попал на официальный сайт магазина, заставить ввести данные карты и произвести «заказ». Для этого используются технические приемы в чистом виде или в сочетании с социальной инженерией.

Фальшивые магазины

Чтобы убедить покупателя купить что-то на фальшивом сайте, без сайта не обойтись. Для создания подделки требуется:

• доменное имя, например, magazin.ru;

• содержимое сайта magazin.ru.

Cкопировать официальный сайт — довольно простая задача, а вот с доменным именем все несколько сложнее, ведь это имя уже зарегистрировано брендом, страницу которого имеет намерение подделать злоумышленник, так что использовать его не получится.

Чтобы обмануть покупателей, мошенникам приходится включать воображение. Прием, который они используют, называется тайпсквоттинг — так называют регистрацию доменного имени с опечаткой, дополнительными символами или в другой доменной зоне. Например:

• aple.com вместо apple.com или mikrosoft.com вместо microsoft.com;

• m-video.ru или mvideo.moscow (скажем, «специально для покупателей в столичном регионе») вместо mvideo.ru;

• mts-shop.ru вместо shop.mts.ru;

• h0ff.shop вместо hoff.ru.

Но зачем придумывать похожие имена доменов, если можно заменить английскую букву «a» в слове «apple» на русскую «а» и зарегистрировать домен «аpple.com», в котором первый символ будет кириллический.

Похожим образом поступил китайский исследователь кибербезопасности Сюйдун Чжэнь. Он не только зарегистрировал домен, в имени которого смешаны символы разных алфавитов, но и сделал сайт и даже выпустил SSL-сертификат для него. Так что в строке браузера демонстрируется заветный «замочек»:

Такая разновидность мошенничества называется гомографической атакой или атакой Punycode.

Punycode — это способ приведения доменных имен, содержащих в себе unicode-символы (таких как .рф), к виду, содержащему только символы ASCII, как того требует система доменных имен (DNS) (подробнее о ней сказано в разделе «Вредоносный DNS»). Например, домен мвидео.рф в Punycode-представлении выглядит так: xn--b1aedksq.xn--p1ai

В DNS и других программных системах такие домены хранятся в особом формате и преобразуются в читаемую форму только при отображении на экране пользователя. И наоборот, когда вы вводите такой домен в адресную строку браузера, он преобразуется в специальный код Punycode и используется в этом виде.

Как распознать подделку

Откровенно халтурные сайты-подделки можно распознать и без дополнительных советов. Орфографические ошибки, неработающие элементы дизайна, отсутствие реквизитов компании и не отвечающие телефоны — повод для того, чтобы закрыть сайт.

Если подделка качественная, распознать ее значительно сложнее. Например, популярный совет по поводу защищенного соединения (https://) и символа замочка в строке адреса давно пора вычеркивать из рекомендаций, потому что бесплатно получить SSL-сертификат может каждый владелец домена. Наличие замочка всего лишь гарантирует, что трафик между вашим устройством и сайтом зашифрован. К подлинности сайта это не имеет никакого отношения.

Но если вы собираетесь купить дорогую вещь, лучше убедиться, что магазин настоящий — то есть сайт действительно принадлежит тому магазину, который указан на сайте, и что этот магазин действительно продает и доставляет товары, если речь идет не о повсеместно известном ретейл-бренде. Вот что можно сделать:

Проверьте доменное имя

Наберите в поисковике название магазина и слова «официальный сайт» и сверьте полученную ссылку с тем, что у вас в адресной строке. Проверьте адрес сайта в специальном сервисе Google — «Безопасный просмотр: статус сайта» или в аналогичном сервисе «Яндекса» «Проверка статуса сайта».

Проверьте способы оплаты

Как правило, в фальшивых магазинах имеется единственный способ оплаты — картой на сайте или переводом на электронный кошелек. Вариантов с оплатой при получении или рассрочкой обычно не предусмотрено.

Проверьте варианты доставки

Мошенники ничего не собираются вам доставлять, поэтому ни точек самовывоза, ни других вариантов получения товара, кроме курьерской доставки, не имеется.

Проверьте возраст сайта и данные о владельце

Возраст сайта является лишь косвенным свидетельством его безопасности, однако если домен зарегистрирован месяц назад, а сайт выглядит как солидный интернет-магазин с давней историей, стоит насторожиться: скорее всего, это фальшивка.

Если же домен зарегистрирован недавно на частное лицо, но сайт заявляет о себе как принадлежащий юридическому лицу, доверять такому ресурсу не стоит.

Еще один способ проверить возраст сайта и увидеть, что размещалось на нем, — воспользоваться веб-архивом.

Если вы увидите, что совсем недавно на этом сайте продавали курсы по личностному росту, а пару недель назад внезапно обнаружился интернет-магазин электроники, якобы созданный 10 лет назад, лучше поискать нужный вам товар в другом месте.

Проверьте контакты

Телефоны на фальшивом сайте, как правило, указаны лишь для красоты, поэтому работать они не будут. Позвоните в магазин, введите адрес организации в картах «Яндекс» или Google и посмотрите, числится ли компания по этому адресу. Если графа с контактами на сайте не заполнена или данные в ней недействительны, не стоит доверять этому ресурсу.

Проверьте компанию

На сайте Федеральной налоговой службы есть сервис для проверки по ИНН или ОГРН. Если наименование компании отличается от указанного на сайте, а зарегистрированный вид деятельности не связан с тематикой сайта, скорее всего, вы имеете дело с фальшивкой.

Аттракционы невиданной щедрости

Когда фальшивый сайт создан, мошенники могут не только использовать его в «регулярном» режиме, но и проводить на нем разнообразные «акции» к праздничным датам, а также инфоповодам типа победы футболистов на чемпионате мира или (вернемся в реальный мир) юбилея компании.

На сайте-фальшивке делается специальный раздел или даже целая страница, на которую направляется трафик из соцсетей, мессенджеров и с рекламных баннеров. Беспроигрышные лотереи, крупные выигрыши за прохождение опроса, суперскидки и акции для лояльных клиентов, предзаказы новых айфонов за половину стоимости и прочие аттракционы бесконечной удачи.

Цель всех этих кампаний вполне понятная: вызвать у человека сильные эмоции (жадность), чтобы отключить рациональное мышление и выманить деньги.

Вот как это работает.

По социальным сетям и в мессенджерах рассылают сообщение, например: «Подарок к 8 Марта уже ждет вас! Уникальный купон на сумму до 8 888 руб. от ''Л'Этуаль''». Сообщение нужно разослать не менее чем пяти друзьям, а потом перейти по ссылке на страницу поддельного сайта и там для получения подарка принять участие в опросе:

По прохождении опроса вам сообщат, что для получения подарка надо установить приложение. После установки оно похитит все логины и пароли в онлайн-банки, подключит ваш телефон к ботнету и даже предоставит удаленный доступ преступникам.

Есть и другой вариант: не надо ставить никаких приложений, достаточно оплатить «налог на выигрыш» рублей в триста-четыреста. Учитывая массовость акции и доверчивость людей, мошенники могут получить вполне серьезный доход.

Чтобы усилить воздействие, у всех этих суперакций обычно имеется ограничение по времени, например: «только сегодня», «осталось 5 часов 43 минуты» и т. п.

Как распознать фальшивку

Первое и главное действие — успокоиться. Сильные эмоции — плохой помощник. Если полученная информация вызвала неудержимое желание бежать на сайт и заказывать/проходить опрос/оплачивать предзаказ, остановитесь. Полистайте соцсети, поговорите с друзьями или коллегами.

Второе действие — идти на официальный сайт компании (как его распознать, смотрите в предыдущем разделе) и проверять там наличие суперакции. Если на официальном сайте тишина, значит, вас атаковали мошенники. Вы, конечно, можете попытать счастье и оплатить предзаказ или купить что-то по суперцене, но когда поймете, что попались, вспомните, что мы вас предупреждали.

Отравление поисковой выдачи

Отравление поисковой выдачи (SEO poisoning) — это вредоносная атака, в ходе которой киберпреступники, используя определенные ключевые слова и фразы, выводят мошеннические сайты на первые места в поисковой выдаче, так что они выглядят более релевантными и заслуживающими доверия, чем легитимные ресурсы. В результате люди переходят на эти мошеннические сайты, которые в точности копируют настоящие. Попав на такой ресурс, люди не сразу понимают, что имеют дело с мошенниками, и могут передать преступникам персональную информацию или данные банковской карты, загрузить вредоносное ПО или оформить дорогостоящую подписку на ненужную услугу.

Как происходит отравление поисковой выдачи

Когда пользователь набирает в поисковой системе ключевое слово или фразу, поисковик ищет сайты, соответствующих этим ключевым словам. Злоумышленник создает вредоносный сайт, содержащий те же ключевые слова, что и исходный сайт, который он хочет атаковать. Чтобы повысить эффективность отравления, используется не один, а десятки, сотни или даже тысячи таких сайтов. Поскольку ресурсы злоумышленника содержат те же ключевые слова, они будут отображаться в результатах поиска выше, чем настоящий сайт.

Вот какие пять приемов используют злоумышленники для продвижения своих страниц на первое место в результатах поиска:

• Стратегия Whitehat SEO — создание объемных, интересных и полезных оригинальных материалов, которые соответствуют теме и привлекают читателей и поисковые системы.

• Черные методы SEO — «набивка» ключевых слов на страницах сайтов, покупка обратных ссылок, размещение ссылок на форумах и в соцсетях, накрутка просмотров статей.

• Атаки настоящих сайтов с помощью «негативного» SEO, чтобы заставить поисковики «пессимизировать» их за поисковый спам и уронить их позиции в рейтинге.

• Покупка рекламы в поисковых системах.

• Устрашающие баннеры, которые предупреждают посетителей сайта о том, что их компьютеры заражены вирусами. Баннер предлагает загрузить онлайновую антивирусную программу, которая на самом деле является вредоносным ПО.

Как не попасться

Даже если вы перешли на сайт из поисковой выдачи, не торопитесь оплачивать покупки или участвовать в акциях. Проверьте, всё ли в порядке с ресурсом, и только если всё нормально, действуйте!

Вредоносный DNS

DNS — это адресный справочник интернета. Именно в DNS записано, что сайт mvideo.ru имеет IP-адрес 185.71.67.88. Когда браузеру нужно перейти на сайт, он обращается в DNS за IP-адресом и потом подключается к нему, чтобы получить веб-страницы.

Чтобы обращаться к DNS, на устройствах, которые работают с сетью, настраивается специальный параметр — IP-адрес DNS-сервера. Именно по этому адресу отправляются запросы, когда нужно выяснить, по какому IP расположен тот или иной сайт.

Представим теперь, что злоумышленники установили на компьютер или смартфон вредоносное ПО, которое заменило адрес настоящего DNS-сервера на адрес DNS-сервера, подконтрольного преступникам. В этом случае они могут изменить записи DNS так, что домен mvideo.ru будет указывать на копию оригинального сайта на сервере преступников. Все, кто будет использовать этот сервер, будут попадать на поддельный сайт в полной уверенности, что попали на настоящий.

Как защититься

Вредоносный DNS для сайтов был актуален, пока сайты в интернете не использовали шифрование — тот самый протокол https://, использование которого обозначено замочком в адресной строке. Сейчас, когда все магазины имеют SSL-сертификат, подмена DNS не сработает, и в строке адреса будет показан перечеркнутый замок.

Однако ситуация может измениться, если, помимо подмены DNS, преступники установили на устройство поддельный корневой SSL-сертификат. Тогда они смогут использовать поддельные сертификаты для сайтов, а владелец устройства не заметит ничего необычного, пока не решит по каким-то причинам заглянуть в свойства SSL-сертификата магазина.

Защититься от такой атаки поможет регулярная установка обновлений ОС и программ, надежный и проверенный антивирус. И разумеется, ни в коем случае не стоит устанавливать непроверенное ПО из сомнительных источников. Если речь о домашнем интернете, то к этому добавим рекомендацию регулярно обновлять встроенное ПО роутера и отключить доступ к его администрированию из интернета.

Взлом настоящих магазинов

Самое опасное в онлайн-шопинге — это покупки в интернет-магазинах, взломанных хакерами MageCart.

Для взлома обычно используются уязвимости популярных движков интернет-магазинов PrestaShop, Magento, WooCommerce и Shopify. После взлома на сервер добавляется небольшой фрагмент кода, который и выполняет хищение. Украденная информация отправляется к злоумышленникам, которые могут перепродать ее в даркнете или попытаться списать с карт все деньги.

Другими словами, вы заходите в совершенно официальный интернет-магазин, оплачиваете покупку, а через какое-то время обнаруживаете, что на карте не осталось денег.

Как не попасться

Проверки сайта не помогут, потому что сайт настоящий. Единственное, что можно сделать — минимизировать возможные потери. Для этого нужно завести отдельную банковскую карту для интернет-покупок. Сейчас такую возможность предлагают практически все банки, причем карту можно выпустить виртуальную, и займет это буквально несколько минут.

Чтобы оплатить покупку, переведите нужную сумму на карту и расплатитесь. Даже если реквизиты карты похитят, списать с нее деньги не получится, потому что их там не будет.

Что нужно для безопасного шопинга

Онлайн-шопинг — это очень удобно и комфортно. Но чтобы не стать жертвой мошенников, следуйте простым рекомендациям:

1) прежде чем оплачивать покупку, проверьте, действительно ли вы зашли на настоящий сайт;

2) не доверяйте слишком выгодным акциям и распродажам, проверяйте, есть ли такая акция на официальном сайте,

3) помните, что поисковая выдача — не самый надежный способ убедиться в добропорядочности сайта — используйте специализированные инструменты от Google и «Яндекса», чтобы убедиться, что вас не пытаются обмануть;

4) устанавливайте антивирус и обновления на все свои устройства, не ставьте софт из непроверенных источников;

5) заведите отдельную карту для оплаты интернет-покупок и переводите на нее нужную сумму непосредственно перед покупкой, не расплачивайтесь кредиткой, особенно с большим кредитным лимитом.