110 000 тенге украли за 10 минут: как покупка авиабилета дала карты в руки мошенникам

В ситуации разобралась корреспондент медиапортала Caravan.kz.

Всё началось внезапно. Андрей находился на работе, в тот момент у него шло собрание, и вдруг ему пришло СМС: «Никому не говорите код! Даже сотруднику банка». Поскольку он не совершал никаких операций, он ожидал звонка от службы безопасности банка, но звонка не последовало.

Зайдя в приложение, он увидел пять однотипных списаний через Glovo, каждое с интервалом в пару минут. Выбравшись с собрания, он заблокировал карту в приложении и позвонил в банк. Там объяснили, что карта, вероятно, скомпрометирована, и предложили писать заявление в отделении. Только после заполнения всех документов менеджер сообщил: «Проверка и возврат средств займут от двух недель до трёх месяцев».

Однако Андрей решил обратиться напрямую в Glovo. Оказалось, именно здесь можно было решить проблему быстрее. После предоставления последних четырёх цифр карты, сумм списаний и точного времени транзакций финансовый отдел Glovo отклонил мошеннические списания, и деньги вернули. При этом карту порекомендовали перевыпустить.

Андрей подозревает, что всё началось за день до инцидента, когда он купил авиабилеты на британском сайте Expedia. Он ввёл данные карты на открытой странице. На следующий день их уже использовали мошенники. Важная деталь: на сайте не нужно было предварительно регистрироваться. Достаточно было указать мобильный телефон, электронную почту и данные карты. Это очень странно для такого крупного агрегатора. Так что же произошло? Попробуем разобраться.

Сценарий 1. Фишинговый сайт

Можно было предположить, что сайт был не настоящий, а фишинговый. То есть это некий клон сайта Expedia с похожим адресом. В таком случае данные карты могли напрямую уйти мошенникам. Но Андрей все-таки купил билет на самолет и даже получил подтверждение на почту. Значит, сайт был настоящий, а не подделка.

Сценарий 2. Взломанный Wi-Fi

Даже если сайт легальный, данные можно перехватить через общий, свободный Wi-Fi. Представим, что человек покупает билет, сидя в кафе или аэропорту, подключившись к бесплатной сети. Если эта сеть без защиты или поддельная (например, с названием «Airport_Free_WiFi»), злоумышленники могут перехватывать трафик между устройством и сайтом. Это называется атака «Man-in-the-middle» (человек посередине) — когда кто-то вклинивается между вами и сайтом. Но Андрей уверяет, что никаким общим Wi-Fi в момент покупки билета не пользовался, только домашним.

Сценарий 3. Троян или вирус на устройстве

Ну а самый банальный и, пожалуй, самый частый способ — перехват данных на телефоне. Вредоносное приложение, полезное расширение браузера или троян работают так, что мошенники видят, что человек вводит в поля оплаты. То есть данные могли уйти в тот же момент, когда Андрей нажал кнопку «Оплатить» в телефоне или компьютере.

Сценарий 4. Через международные платежные системы или местных эквайеров

Есть еще варианты обмана. Дело в том, что, когда вы платите картой онлайн, ваша карточка проходит длинный путь. Деньги сначала идут с вашего счёта через платёжную форму сайта, потом через платёжный шлюз, а дальше до банка. И где угодно на этом пути может появиться «чужая рука».

Когда человек покупает билет на Expedia, платёж обрабатывает не сама Expedia, а один из её партнёров. Например, Worldpay, Adyen, Stripe, Braintree. Это международные системы, которые принимают данные карты и передают платёж авиакомпаниям или агентствам. Если в этот момент в одном из таких шлюзов или их партнёрских API произошла утечка данных, то злоумышленники получили доступ к информации. Кстати на платформе Reddit пользователь рассказывал историю утечки данных через Stripe. По его словам, у него украли 41 тысячу долларов, и никакой реальной помощи от службы поддержки он не получил.

Загвоздка в том, что все эти громкие международные платёжные системы вроде Worldpay, Adyen, Stripe или Braintree напрямую с Казахстаном не работают. Между Expedia и международной системой, скорее всего, было ещё одно звено — казахстанский эквайер, то есть местная компания, которая принимала оплату.

Схема выглядит примерно так: человек вводит данные карты на сайте Expedia, система передаёт их в международный платёжный шлюз, скажем, в тот же Adyen или Stripe. Тот, в свою очередь, обращается к казахстанскому эквайеру — посреднику, который связывается с вашим банком. Эквайер спрашивает: «Можно списать вот такую сумму с карты клиента?» Банк (в данном случае Halyk Bank) отвечает «да» или «нет». После этого деньги проходят по цепочке обратно к Expedia.

И если где-то по дороге (на стороне шлюза, эквайера или даже у банка) защита дала сбой, данные карты могли утечь.

Есть один очень важный нюанс. Если бы карта засветилась за границей, списания шли бы через зарубежные платформы, такие как Amazon или Google Ads. А у Андрея деньги ушли через Glovo, в тенге. То есть, скорее всего, утечка случилась внутри Казахстана, где-то в звене между банком и платёжным посредником.

Это могли быть партнёрские процессинговые центры, такие как Processing.kz или PayGate. То есть у этих подрядчиков банка могли быть какие-то уязвимости.  Мы, конечно, ничего не утверждаем, а только строим предположения. Но вероятность такой утечки данных есть.   

Зачем мошенникам Glovo?

Glovo — это удобный инструмент для обналички чужих денег. Мошенники заводят фальшивый аккаунт, привязывают туда чужую карту и делают несколько мелких заказов. Так проверяют, что карта «живая». Затем отвязывают её, привязывают свою карту и оформляют возвраты за те самые заказы. Система возвратов часто зачисляет деньги на ту карту, которая в последний момент была привязана. Получается, что деньги ушли не на счёт жертвы, а на счёт мошенника. Для банка такие списания выглядят как обычные платежи через зарегистрированный сервис, так что тревогу никто не бьёт. Подозрения возникают только после серии однотипных списаний, когда становится очевидно, что что‑то не так. Что касается службы доставки, то она видит, что заказы не доставлялись, и может вернуть деньги намного быстрее, чем банк.

Как сработала схема в данном случае, неизвестно, мы можем только строить предположения. Ясно одно, что Андрей купил билет, данные карты оказались у мошенников, они использовали их на сайте Glovo и попытались быстро вывести деньги. Выходит, даже подкованный пользователь может оказаться жертвой, если где‑то в цепочке передачи денег есть «дыра».

Что делать, чтобы не попасть в такую же историю? Во‑первых, проверяйте адрес в браузере и по возможности заходите на крупные сайты напрямую, а не по рекламным ссылкам. Во‑вторых, если покупаете с телефона, внимательно смотрите, какие приложения установлены, и держите систему и антивирус в актуальном состоянии. И ещё. Не пренебрегайте перевыпуском карты, если были подозрительные списания. Это реальная защита от повторных попыток. Наконец, в спорных ситуациях не ограничивайтесь банком. Иногда быстрее и эффективнее сначала связаться с тем сервисом, через который прошло списание. В случае Андрея это сработало.

P. S. После инцидента Андрей также получил странное голосовое сообщение на английском в Telegram и заметил попытки взлома своего Instagram. Этот случай напоминает, насколько уязвимы данные при онлайн-оплате, даже на крупных и официальных сайтах.