Читатель рассказал Т⁠—⁠Ж, как чуть не заплатил мошенникам за фальшивые билеты на поезд.

Через поисковик он нашел сайт по продаже билетов на «Сапсан», выбрал дату и время и ввел данные карты, чтобы оплатить билет. Но оплата не прошла. Зато на телефон стали приходить смс о подозрительных операциях. Банк оказался на высоте: заблокировал две такие операции, а потом и саму карту.

Сначала было непонятно, как такое могло произойти. Присланный читателем сайт ничего не продавал, а только предлагал купить билеты на сайте РЖД. Тогда читатель прислал короткое видео, как сайт работает у него.

Адрес сайта тот же, что читатель прислал в журнал, но у него он работал иначе: там действительно предлагали купить билеты на «Сапсан»

Оказалось, в этот раз мошенники постарались больше обычного. Вот по каким признакам их все-таки удается распознать:

  1. Для оплаты билета не нужно вводить данные о пассажире и выбирать места.
  2. При вводе заведомо неверных данных сайт все равно разрешает перейти к оплате.
  3. Оплата происходит на том же сайте, а не на сайте банка или платежного шлюза.
  4. На сайте указана ложная информация о компании, которая продает билеты.
  5. Сайт меняет внешний вид и содержимое в зависимости от ситуации. Это нужно для того, чтобы было сложнее распознать остальные признаки.

А теперь подробнее.

Сайт шифруется и меняет содержимое

Когда я открыл сайт из видео, там были только кнопки перехода на официальный сайт РЖД и общая информация о компании.

Читатель нашел сайт через поисковик, поэтому я попробовал сделать так же. Ввел запрос «купить билет на сапсан» — и увидел ссылку на тот самый сайт на первом месте.

Так выглядела страница с результатами поиска
Так выглядела страница с результатами поиска

У ссылки есть пометка «Реклама». Мошенники разместили рекламное объявление в Гугле по повышенным расценкам, чтобы ссылка на их сайт оказалась на первом месте по запросам, связанным с билетами на «Сапсан».

Когда я перешел по этой ссылке, невинный сайт со ссылками на РЖД волшебным образом превратился в тот самый мошеннический сайт, о котором рассказывал читатель. На нем нашелся поиск поездов в расписании, выбор вагона и места, оплата билетов. Если попытаться купить здесь билет, мошенники украдут данные карты и попробуют снять с нее деньги.

Оказалось, что сайт выглядит и работает по-разному в зависимости от ситуации. Если его открывают из дома, в спокойной ситуации, по прямой ссылке или вставив адрес в строку браузера, то мошенники не пытаются ничего украсть. Видимо, слишком велик шанс, что подделку распознают. А вот если человек трясется в вагоне метро по дороге на вокзал и набирает в телефоне «купить билеты на сапсан», ему сложнее заметить подозрительные признаки.

Вот что я увидел, когда просто вставил адрес сайта в строку браузера
Вот что я увидел, когда просто вставил адрес сайта в строку браузера
А так выглядел этот сайт, если зайти на него по рекламной ссылке. Адрес тот же, но к нему прилагается длинный «хвост» — это специальные маркеры, по которым сайт понимает, откуда пришел посетитель
А так выглядел этот сайт, если зайти на него по рекламной ссылке. Адрес тот же, но к нему прилагается длинный «хвост» — это специальные маркеры, по которым сайт понимает, откуда пришел посетитель

Что еще не так с сайтом

А вот как распознать мошенников, если фокус с подменой сайта остался вне поля зрения — например если вы попали на него из рекламы.

Можно перейти к оплате без ввода данных о пассажирах. После выбора даты, номера поезда и категории билета — эконом, бизнес или первый класс — можно сразу оплатить билет, не указывая данные пассажира. Сайт даже не требует перед оплатой выбрать номер места. А без этого бронирование теряет смысл, потому что другой покупатель сможет выбрать то же место.

Данные о пассажирах сайт предлагает ввести после оплаты, «но не позднее чем за час до отправления поезда». На самом деле билет всегда оформляется на конкретные реквизиты пассажира.

Расписание, номера поездов, цены на билеты и информация о наличии мест на фальшивом сайте настоящие — это помогает усыпить бдительность покупателя. На самом деле скачать расписание с сайта РЖД и заставить его показывать поезда — довольно типичная задача, которая не занимает у разработчика много времени
Расписание, номера поездов, цены на билеты и информация о наличии мест на фальшивом сайте настоящие — это помогает усыпить бдительность покупателя. На самом деле скачать расписание с сайта РЖД и заставить его показывать поезда — довольно типичная задача, которая не занимает у разработчика много времени
Выбор билета выглядит достаточно аккуратно — легко поверить, что это настоящий сайт. Но настоящий сайт никогда не попросит оплатить билет до ввода данных о пассажирах, а мошенники торопятся. Место еще не выбрано, а яркая кнопка «Оплатить сейчас» уже появилась
Выбор билета выглядит достаточно аккуратно — легко поверить, что это настоящий сайт. Но настоящий сайт никогда не попросит оплатить билет до ввода данных о пассажирах, а мошенники торопятся. Место еще не выбрано, а яркая кнопка «Оплатить сейчас» уже появилась
На сайте РЖД после выбора места кнопка оплаты недоступна. Он предлагает ввести данные пассажира — в отличие от сайта мошенников, который сразу предлагает оплатить билеты
На сайте РЖД после выбора места кнопка оплаты недоступна. Он предлагает ввести данные пассажира — в отличие от сайта мошенников, который сразу предлагает оплатить билеты

Сайт настойчиво подсовывает кнопку «Оплатить сейчас». Даже если нажать «Заполнить данные пассажира», кнопка оплаты всегда более яркая и видна на всех этапах бронирования. Мошенникам нужно как можно скорее получить данные карты, поэтому они обещают невозможное: позволить выбрать место и указать данные пассажира позднее.

Даже если нажать «Указать данные сейчас», кнопка «Оплатить» все равно видна на всех этапах без ввода данных пассажиров
Даже если нажать «Указать данные сейчас», кнопка «Оплатить» все равно видна на всех этапах без ввода данных пассажиров

Сайт не проверяет корректность вводимых данных. В разводе про пиццу мы уже рассказывали, что мошенникам важны только данные банковской карты. Остальная информация им не нужна, поэтому ввести можно все что угодно, правильность ввода сайт не проверяет. Мошенникам нужно, чтобы вы быстрее добрались до оплаты, даже если неверно ввели номер паспорта.

Сайт легко принял такие паспортные данные и дату рождения — и перевел меня на оплату
Сайт легко принял такие паспортные данные и дату рождения — и перевел меня на оплату

Ввод данных карты на том же сайте. После нажатия на любую из кнопок оплаты сайт открывает страницу ввода данных карты. Это страница того же сайта: адрес в строке браузера не меняется. Покупателю предлагают ввести данные карты не на сайте банка и не в платежном сервисе, а на этом же сайте. Это очень рискованно.

На странице оплаты нет логотипа банка или платежного сервиса, а номер заказа всегда один и тот же.

На странице нет информации о банке или платежном шлюзе, который проводит транзакциюВыбрал другое место, сумма изменилась, а номер заказа — прежний

Ложная информация о продавце билетов. В нижней части сайта нашлось наименование юридического лица, которое продает билеты. Я нашел эту компанию через поиск в ЕГРЮЛ, но, по данным налоговой, она уже закрылась.

Компания с таким наименованием нашлась только одна, и она закрылась еще в 2019 году
Компания с таким наименованием нашлась только одна, и она закрылась еще в 2019 году

«Теперь только сайт РЖД!»

Действительно, билеты на поезда надежнее покупать на сайте РЖД и у известных агрегаторов, а не у посредника, о котором вы никогда не слышали. Но, к сожалению, это все равно не гарантирует, что вы не попадете на мошенников. Они могут подделать и сайт РЖД — и подсунуть вам свою рекламу. Поэтому стоит покупать в интернете без спешки и внимательно изучать сайты, на которых вы вводите данные карты.

В 2020 году очень рискованно считать, что цифровая безопасность вас не касается.