Однажды в интернете
В конце марта москвич Олег [имя изменено] увидел в продаже на Ozon новую гарнитуру виртуальной реальности PlayStation VR2 (PS VR2) по привлекательной цене. У продавца новинка стоила 37 тыс. руб., тогда как у других – 50-60 тыс. руб.
После оплаты маркетплейс зарезервировал сумму покупки на Ozon-карте (виртуальная банковская карта от маркетплейса, – прим. ред.) Олега. Деньги автоматически перевелись бы продавцу после подтверждения Олегом получения товара, однако этого так и не случилось.
Примерно через час Олегу перезвонили. Человек на том конце провода представился сотрудником магазина, у которого он купил PS VR2. Сказал, что нужно подтвердить данные для доставки – обычная процедура.
«Дальше начали происходить странности. Продавец сказал, что он ввел мой номер телефона в систему для курьера и сейчас его нужно подтвердить. Для этого мне нужно было его повторно проговорить, а после произнести цифры из SMS или уведомления, которое сразу же пришло на телефон. Я несколько раз сказал, что никаких сообщений не получал, после чего продавец бросил трубку», – рассказал Олег «Газете.Ru».
Очевидно, что с Олегом связался мошенник. Цифры, которые он попросил назвать, были нужны для сброса пароля от аккаунта Олега в Ozon. Достигнув этой цели, злоумышленник получил бы доступ к личному кабинету жертвы на маркетплейсе.
Олег пожаловался на продавца в службу поддержки Ozon. Через несколько часов мошенника заблокировали на платформе, а пользователю вернули деньги за покупку.
Воля случая
Эксперт центра аналитики внешних цифровых рисков «РТК-Солар» Александр Вураско считает, что Олегу повезло с интуицией, ведь если бы он сообщил код из SMS, то наверняка лишился бы 37 тыс. руб., которые заплатил за PlayStation VR2.
«Схема монетизации в данном случае предельно проста. Когда злоумышленники получают доступ к аккаунту, они привязывают к нему свою банковскую карту и отменяют заказ, после чего деньги за товар возвращаются, но уже не на счет жертвы, а на счет мошенника», – сказал он.
По словам Вураско, данная схема актуальна не только для Ozon, но и для других маркетплейсов, где есть так называемый гарант-сделки, буферный счет, на котором хранятся деньги покупателя до завершения сделки.
Руководитель отдела реагирования и цифровой криминалистики в компании Angara Security Никита Леокумович отметил, что мошенничество на торговых площадках – явление старое, однако злоумышленники часто придумывают новые схемы, цель которых — кража денег.
«Подобные схемы не новы, они появились еще два-три года назад.
В социальных сетях и мессенджере Telegram мошенниками покупается реклама, в которой говорится о том, что многие популярные товары продаются за полцены, либо вообще за «рубль».
В тексте рекламы приведена ссылка, которая ведет на маркетплейс. Пользователь переходит по ссылке, после чего покупает товар по сильно заниженной стоимости, а после с ним связываются мошенники», – объяснил Леокумович.
Дальше сценарии могут быть очень разными.
«Например, жертве сообщают, что купленный товар закончился, возвращают деньги и предлагают перейти в WhatsApp для того, чтобы отправить «с другого склада». Человек соглашается, так как наличие продавца магазина на маркетплейсе вызывает доверие, переводит деньги на другой счет, после чего продавец «пропадает», – сказал он.
При краже чужого аккаунта мошенники могут на конспиративный адрес заказать дорогие товары за счет жертвы, получить его, и после перепродать.
Перечисленные схемы, по словам Леокумовича, актуальны для всех популярных среди россиян маркетплейсов.
«Продавцы-мошенники регистрируются на маркетплейсе, как обычные селлеры. Но затем начинают проворачивать определенную схему», – добавила руководитель группы аналитиков Центра противодействия киберугрозам Innostage CyberART Ксения Рысаева.
По ее словам, взломы аккаунтов на Ozon участились после введения Ozon-карты. Украденные учетные записи и данные из них используются для различных финансовых мошенничеств, включая оформления кредитов на имя жертвы.
Кто прав, кто виноват
По словам Вураско, подобные мошенники активно выявляются администраторами онлайн-платформ и часто блокируются до свершения ими злодеяний. Мошенники это понимают и стараются действовать быстро.
«Они стараются за короткий срок обмануть как можно больше жертв. С учетом того, что даже 50% стоимости PlayStation VR2 составляют солидную сумму, появляется возможность быстро «заработать» пару сотен тысяч рублей», – объяснил он.
Эксперт отметил, что передача доступа к аккаунту третьим лицам является прямым нарушением условий использования Ozon ID, поэтому жертве в таких ситуациях приходится винить только себя.
В пресс-службе Ozon «Газете.Ru» сообщили, что не передают личные данные покупателей продавцам. В частности, продавцы видят только подменные номера телефонов.
«Для подтверждения заказа не требуется совершать дополнительные звонки и называть какую-либо контактную информацию», – предупредили в компании.
Однако, как показал опыт Олега, механизм подмены номера легко обходится при помощи социальной инженерии – при звонке жертву просят назвать номер телефона, закрепленный за аккаунтом якобы для подтверждения доставки.
«Мы всегда просим наших клиентов общаться с продавцом и совершать оплату только внутри нашей площадки. Даже если вам предлагают передать данные от своего аккаунта, оплатить заказ по внешней ссылке, интерфейс которой похож на известные платформы, не делайте этого», – предупредили в Ozon.
Глава Общественной потребительской инициативы и кандидат юридических наук Олег Павлов сказал «Газете.Ru», что в случае добровольной передачи авторизационных данных третьему лицу, маркетплейс не несет ответственности за последствия.
«При этом следует помнить, что агрегатор обязан предоставлять потребителям исчерпывающую и достоверную информацию о продавцах. Соответственно, если в ходе обращения в правоохранительные органы выяснится, что на торговой площадке орудовала несуществующая или недействующая организация, возникшие у покупателя убытки можно будет взыскать с маркетплейса в претензионном или судебном порядке», – сказал он.
Это означает, что, если в ходе расследования выяснится, что мошенник с онлайн-платформы не был зарегистрирован как юрлицо или ИП, маркетплейс все же может понести ответственность за его действия.