Доставка проблем. Как мошенники крадут деньги россиян на маркетплейсах

Россиян предупредили о мошенничестве с «подтверждением доставки» на маркетплейсах

«Газета.Ru»
Россияне столкнулись с еще одной мошеннической схемой на известных маркетплейсах: злоумышленники выманивают у людей логины и пароли от аккаунтов на онлайн-платформах, отменяют оформленные покупки и возвращают за них деньги на свои банковские карты. «Газета.Ru» рассказывает, как распознать мошенника и защитить свои права в случае обмана.

Однажды в интернете

В конце марта москвич Олег [имя изменено] увидел в продаже на Ozon новую гарнитуру виртуальной реальности PlayStation VR2 (PS VR2) по привлекательной цене. У продавца новинка стоила 37 тыс. руб., тогда как у других – 50-60 тыс. руб.

После оплаты маркетплейс зарезервировал сумму покупки на Ozon-карте (виртуальная банковская карта от маркетплейса, – прим. ред.) Олега. Деньги автоматически перевелись бы продавцу после подтверждения Олегом получения товара, однако этого так и не случилось.

OZON

Примерно через час Олегу перезвонили. Человек на том конце провода представился сотрудником магазина, у которого он купил PS VR2. Сказал, что нужно подтвердить данные для доставки – обычная процедура.

«Дальше начали происходить странности. Продавец сказал, что он ввел мой номер телефона в систему для курьера и сейчас его нужно подтвердить. Для этого мне нужно было его повторно проговорить, а после произнести цифры из SMS или уведомления, которое сразу же пришло на телефон. Я несколько раз сказал, что никаких сообщений не получал, после чего продавец бросил трубку», – рассказал Олег «Газете.Ru».

Очевидно, что с Олегом связался мошенник. Цифры, которые он попросил назвать, были нужны для сброса пароля от аккаунта Олега в Ozon. Достигнув этой цели, злоумышленник получил бы доступ к личному кабинету жертвы на маркетплейсе.

Олег пожаловался на продавца в службу поддержки Ozon. Через несколько часов мошенника заблокировали на платформе, а пользователю вернули деньги за покупку.

Воля случая

Эксперт центра аналитики внешних цифровых рисков «РТК-Солар» Александр Вураско считает, что Олегу повезло с интуицией, ведь если бы он сообщил код из SMS, то наверняка лишился бы 37 тыс. руб., которые заплатил за PlayStation VR2.

«Схема монетизации в данном случае предельно проста. Когда злоумышленники получают доступ к аккаунту, они привязывают к нему свою банковскую карту и отменяют заказ, после чего деньги за товар возвращаются, но уже не на счет жертвы, а на счет мошенника», – сказал он.

По словам Вураско, данная схема актуальна не только для Ozon, но и для других маркетплейсов, где есть так называемый гарант-сделки, буферный счет, на котором хранятся деньги покупателя до завершения сделки.

Руководитель отдела реагирования и цифровой криминалистики в компании Angara Security Никита Леокумович отметил, что мошенничество на торговых площадках – явление старое, однако злоумышленники часто придумывают новые схемы, цель которых — кража денег.

«Подобные схемы не новы, они появились еще два-три года назад.

В социальных сетях и мессенджере Telegram мошенниками покупается реклама, в которой говорится о том, что многие популярные товары продаются за полцены, либо вообще за «рубль».

В тексте рекламы приведена ссылка, которая ведет на маркетплейс. Пользователь переходит по ссылке, после чего покупает товар по сильно заниженной стоимости, а после с ним связываются мошенники», – объяснил Леокумович.

Дальше сценарии могут быть очень разными.

«Например, жертве сообщают, что купленный товар закончился, возвращают деньги и предлагают перейти в WhatsApp для того, чтобы отправить «с другого склада». Человек соглашается, так как наличие продавца магазина на маркетплейсе вызывает доверие, переводит деньги на другой счет, после чего продавец «пропадает», – сказал он.

При краже чужого аккаунта мошенники могут на конспиративный адрес заказать дорогие товары за счет жертвы, получить его, и после перепродать.

Перечисленные схемы, по словам Леокумовича, актуальны для всех популярных среди россиян маркетплейсов.

«Продавцы-мошенники регистрируются на маркетплейсе, как обычные селлеры. Но затем начинают проворачивать определенную схему», – добавила руководитель группы аналитиков Центра противодействия киберугрозам Innostage CyberART Ксения Рысаева.

По ее словам, взломы аккаунтов на Ozon участились после введения Ozon-карты. Украденные учетные записи и данные из них используются для различных финансовых мошенничеств, включая оформления кредитов на имя жертвы.

Кто прав, кто виноват

По словам Вураско, подобные мошенники активно выявляются администраторами онлайн-платформ и часто блокируются до свершения ими злодеяний. Мошенники это понимают и стараются действовать быстро.

«Они стараются за короткий срок обмануть как можно больше жертв. С учетом того, что даже 50% стоимости PlayStation VR2 составляют солидную сумму, появляется возможность быстро «заработать» пару сотен тысяч рублей», – объяснил он.

Эксперт отметил, что передача доступа к аккаунту третьим лицам является прямым нарушением условий использования Ozon ID, поэтому жертве в таких ситуациях приходится винить только себя.

В пресс-службе Ozon «Газете.Ru» сообщили, что не передают личные данные покупателей продавцам. В частности, продавцы видят только подменные номера телефонов.

«Для подтверждения заказа не требуется совершать дополнительные звонки и называть какую-либо контактную информацию», – предупредили в компании.

Однако, как показал опыт Олега, механизм подмены номера легко обходится при помощи социальной инженерии – при звонке жертву просят назвать номер телефона, закрепленный за аккаунтом якобы для подтверждения доставки.

«Мы всегда просим наших клиентов общаться с продавцом и совершать оплату только внутри нашей площадки. Даже если вам предлагают передать данные от своего аккаунта, оплатить заказ по внешней ссылке, интерфейс которой похож на известные платформы, не делайте этого», – предупредили в Ozon.

Глава Общественной потребительской инициативы и кандидат юридических наук Олег Павлов сказал «Газете.Ru», что в случае добровольной передачи авторизационных данных третьему лицу, маркетплейс не несет ответственности за последствия.

«При этом следует помнить, что агрегатор обязан предоставлять потребителям исчерпывающую и достоверную информацию о продавцах. Соответственно, если в ходе обращения в правоохранительные органы выяснится, что на торговой площадке орудовала несуществующая или недействующая организация, возникшие у покупателя убытки можно будет взыскать с маркетплейса в претензионном или судебном порядке», – сказал он.

Это означает, что, если в ходе расследования выяснится, что мошенник с онлайн-платформы не был зарегистрирован как юрлицо или ИП, маркетплейс все же может понести ответственность за его действия.