Разводы
23K

Развод: реклама пиццы с огромной скидкой

31

Распространенность: соцсети
Риск: 🍕🍕🍕🍕

Аватар автора

Георгий Шабашев

настороже

Страница автора

В «Фейсбуке» мне предложили заказать пиццу по промокоду SIDIMDOMA со скидкой 50%. На первый взгляд, все в порядке: ссылка из рекламы ведет на сайт с пиццами, промокод по ковидным временам логичный. На сайте пицца выбирается, промокод применяется.

Но это все равно развод:

Самый простой способ в этом убедиться — ввести промокод на настоящем сайте пиццерии. Он не сработает. Но мошенников можно вычислить, даже если нет возможности проверить промокод на настоящем сайте. Вот основное, что должно насторожить:

  1. В рекламе немного другое название сайта и фейсбучной группы пиццерии.
  2. Сама группа и сайт созданы недавно.
  3. На объявление мало реакций, есть негативные.
  4. Сайт легко принимает неправильные данные — кроме данных карты.
  5. Код оплаты никогда не подходит.

Пройдемся по всем признакам подробнее.

Признаки фальшивой рекламы

Название страницы не соответствует бренду. На изображении рекламируется пицца от сети пиццерий «Папа Джонс», а рекламу разместила страница Pizza Papa. Настоящая страница называлась бы так же, как и пиццерия.

Мне также попадалась реклама страниц с названиями Papa Jhons — с опечаткой — и «Пицца Джонс».

Странный адрес сайта. Под изображением «Фейсбук» указывает адрес сайта, на который ведет рекламная ссылка. Адрес зарегистрирован в необычной зоне.club, а само название сайта — Papaspecial — только напоминает название пиццерии, но не содержит полного наименования бренда. Для сравнения, настоящий сайт этой сети пиццерий заканчивается на привычное.ru и выглядит так: papajohns.ru.

Пока я писал этот текст, мне в «Фейсбуке» встретилась похожая реклама. Рекламный текст и изображение в посте отличались, но по ссылке открывался такой же сайт, хотя и по другому адресу. Рано или поздно такую рекламу блокируют, и мошенники создают новую страницу и открывают новый сайт с другим адресом.

Похожее рекламное объявление, но с другим текстом и адресом сайта
Похожее рекламное объявление, но с другим текстом и адресом сайта
Еще вариант рекламы от тех же мошенников. Адрес сайта опять новый
Еще вариант рекламы от тех же мошенников. Адрес сайта опять новый
В некоторых объявлениях было видео аппетитных пицц вместо фотографий
В некоторых объявлениях было видео аппетитных пицц вместо фотографий

Мало реакций на пост, есть негативные. Настоящая акция с такой скидкой быстро соберет много лайков и радостных комментариев. Хотя и они могут быть оставлены с фейковых аккаунтов.

Пустая страница сообщества. Если открыть страницу, от имени которой размещено объявление, можно увидеть, что она почти пустая, а обложка установлена неаккуратно: текст не умещается в область заголовка. В ленте сообщества всего три поста: установлена фотография профиля, обложка и размещен пост с акцией. Страница появилась всего несколько дней назад, на нее никто не подписан. Часто на таких страницах встречаются грамматические ошибки.

Неправильное название пиццерии, неаккуратная обложка профиля
Неправильное название пиццерии, неаккуратная обложка профиля
У страницы нет подписчиков, в ленте всего пара сообщений: обновление обложки и анонс акции
У страницы нет подписчиков, в ленте всего пара сообщений: обновление обложки и анонс акции
Ниже указана дата создания страницы — всего несколько дней назад
Ниже указана дата создания страницы — всего несколько дней назад

Сайт «пиццерии»

Если перейти по рекламной ссылке, на сайте тоже много настораживающих сигналов.

Всего одна страница. Сайт «пиццерии» — одностраничный. Нет ссылок на список магазинов, карту доставки и контакты. Нельзя создать личный кабинет или войти в него. Есть только телефон сети в верхней части сайта. Он настоящий — это усыпляет бдительность посетителя сайта.

Ссылки в нижней части не работают. Их разместили, чтобы сайт был больше похож на сайт настоящей пиццерии. Но по ним не перейти — посетитель всегда остается на главной странице, там, где вводятся данные карты.

Сайт состоит из одной страницы
Сайт состоит из одной страницы
Все ссылки на другие разделы сайта и на мобильные приложения не работают
Все ссылки на другие разделы сайта и на мобильные приложения не работают

Несоответствия в тексте. У мошенников не так много времени до того, как сайт заблокируют, поэтому они редко заботятся о деталях. Например, в конце страницы обещают бесплатную доставку от 600 ₽, а ночью — от 1500 ₽. Но баннер вверху обещает бесплатную доставку от 499 ₽ без ограничений по времени.

Форма заказа. Мошенникам нужно только создать видимость настоящей формы заказа, введенные данные им не нужны. В поле адреса и контактов можно ввести любые данные, даже некорректные. Или не вводить их вообще.

Сайт легко согласился принять заказ на неверный номер телефона и электронную почту
Сайт легко согласился принять заказ на неверный номер телефона и электронную почту

Оплата заказа

Мошенник наследил и в процессе оплаты заказа.

Оплата на странице с пиццами. Большинство сайтов принимают оплату не сами, а через посредников — платежные сервисы. Клиент оформляет заказ, и сайт перенаправляет его на специальную страницу сервиса для ввода номера карты. Эта страница по правилам безопасности должна находиться на сайте процессингового центра, а мошенники предлагают ввести номер карты на том же сайте.

Иногда сайты получают специальную аккредитацию — и процессинговые центры разрешают им запрашивать данные карты без перехода на другую страницу. Настоящая пиццерия получила такую аккредитацию. Возможно, именно поэтому мошенники и выбрали эту сеть пиццерий.

Данные карты проверяются: только они и нужны мошенникам. По введенному номеру сайт вычисляет контрольную сумму: если она неверна, значит, где-то ошибка. Такой номер карты сайт мошенников не примет.

Поле ввода здесь выглядит как на настоящем сайте. Но оплата редко происходит на той же странице и на том же сайте, где выбираются продукты и оформляется заказ
Поле ввода здесь выглядит как на настоящем сайте. Но оплата редко происходит на той же странице и на том же сайте, где выбираются продукты и оформляется заказ

Нет информации о банке. При подтверждении оплаты нет логотипа и наименования банка или другого платежного сервиса, который проводит транзакцию. Логотипы легко подделать, но если их нет вообще — это повод остановиться и ничего не вводить.

Подтверждение оплаты на том же сайте. После нажатия на кнопку «Оплатить» открывается страница, похожая на проверку 3-D Secure — одноразового смс-кода для подтверждения оплаты. Визуально она похожа на страницу банка. На самом деле по адресу страницы видно, что вы находитесь на том же сайте. Мошенники поленились зарегистрировать отдельный адрес, который напоминает название какого-нибудь банка.

Скорее всего, в этот момент номер вашей карты вводят на странице настоящего процессингового центра. Банк отправит вам смс с кодом подтверждения этой операции. Если ввести код на поддельной странице, мошенники его получат и смогут подтвердить настоящую операцию списания с вашей карты.

Если ввели номер карты на таком сайте, нужно как можно скорее ее заблокировать в мобильном приложении или через колцентр банка.

Подтверждение оплаты происходит на том же сайте, где и продажа товаров «магазина». Нет логотипа и названия банка
Подтверждение оплаты происходит на том же сайте, где и продажа товаров «магазина». Нет логотипа и названия банка
При вводе любого кода сайт скажет, что он неверный, а мошенники каждый раз будут отправлять повторный запрос, чтобы списать с вашей карты ту же сумму еще раз
При вводе любого кода сайт скажет, что он неверный, а мошенники каждый раз будут отправлять повторный запрос, чтобы списать с вашей карты ту же сумму еще раз

Инструменты гиков

Еще есть пара чуть менее очевидных способов проверить сайт мошенника.

Проверка домена через Whois. У каждого домена — адреса сайта — есть владелец и дата регистрации. Эту информацию можно получить через специальный сервис Whois: вводите название домена — адрес главной страницы сайта без www и http — и сервис показывает техническую информацию.

Для иностранных доменов дата создания указана как Creation Date. Домен из нашего примера появился пару дней назад. Сайт настоящей пиццерии явно появился раньше.

Сервис проверки доменных имен Whois у регистратора «Рег-ру». По этим данным, сайт «пиццерии» создан два дня назад — 18 августа 2020 года. Сайт настоящей компании явно старше
Сервис проверки доменных имен Whois у регистратора «Рег-ру». По этим данным, сайт «пиццерии» создан два дня назад — 18 августа 2020 года. Сайт настоящей компании явно старше

Сертификат безопасности. Для безопасной отправки данных сайты подключают сертификаты подлинности. Отличить защищенные сайты можно по значку замка в адресной строке браузера. Если такого значка на странице ввода номера карты нет или он перечеркнут — это точно мошенники.

В нашем примере мошенники установили такой сертификат. Но это не означает, что сайт настоящий. Внимательно смотрите на адрес сайта в строке браузера. Мошенники могут установить такой сертификат на сайт timkoff.ru — вместо буквы n использована похожая буква m, — но от этого сайт не станет настоящим.

Иногда мошенники экономят и устанавливают бесплатные сертификаты. Срок действия таких сертификатов — несколько месяцев. Сертификаты на настоящем сайте выдаются на 1 или 2 года. Если нажать на значок замка, можно увидеть время действия сертификата.

Так выглядит окно информации о сертификате безопасности сайта. Если сертификат выдан лишь на несколько месяцев — это, скорее всего, сайт мошенников
Так выглядит окно информации о сертификате безопасности сайта. Если сертификат выдан лишь на несколько месяцев — это, скорее всего, сайт мошенников

Не только реклама пиццы

Перечисленные признаки помогают распознать мошенников при любой оплате картой на незнакомом сайте. По отдельности каждый из них может говорить о случайной ошибке — например при настройке сайта. Но если признаков сразу несколько — вас, скорее всего, пытаются обмануть.

Если сталкивались с другими разводами, пишите. Прищуримся.
Георгий ШабашевА вы сталкивались с подобными разводами? Чем дело кончилось?
  • Валерий ТрусевичПиццу захотелось...18
  • Алиса МаркинаТо есть проблема даже не в том, что пропадёт пара сотен, но вас от голода не спасут, а в том, что злоумышленники получат все данные вашей карты?4
  • Георгий ШабашевАлиса, верно! Да еще и ваш адрес и телефон может узнать, если их введете Плюс не пара сотен, а минимум 500 рублей. А если еще и несколько раз все время "неверный" код будете пытаться вводить, спишут кратно больше7
  • Mikhail RakelskyУ нас в местных городских СМИ буквально неделю назад писали о женщине, потерявшей 10к из-за подобной схемы. Город - Ижевск, если что.2
  • Федот Кадниковв очередной раз убеждаюсь что оплачивать надо только с виртуальной карты. или карты с жёсткими лимитами Так-же в статье не раскрыта тема ssl-сертификатов компаний, я стараюсь платить только на сайтах с такими сертификатами:9
  • Marianna AФедот, о,нас много с пунктиком проверить SSL =)2
  • Dmitry BurlakovВообще мне кажется проблема (в России она еще не настолько огромна) в том, что банки до сих пор разрешают процессинг на сайте продавца с условием PCI-DSS Compliance, которые никто не проверяет. Это не нужно ни продавцу (больше головной боли с PCI-DSS, сложным чекаутом и утечками), ни покупателю (машейники, 3я сторона, инъекции на чекаут продавца). Считаю, что платежным системам пора запрещать не-3d secure процессинг на стороне мерчанта. Рекомендую любому бизнесу отказываться от идеи принимать платежи без платежного шлюза. А вот бесплатные сертификаты никому не мешают, наверное у большинства сервисов через пару лет будет Cloudflare бесплатный сертификат, и хуже никому не станет. Сертификат для TLS это плата за воздух и вообще условные $2k за extended root CA это какой-то сюр. Хорошо что все браузеры отказались от подсвечивания таких сертификатов.10
  • Татьяна ХватининаФедот, я вообще незнакомых сайтов опасаюсь - первый заказ чего угодно всегда делаю с оплатой при получении. Даже если при получении надо наличкой оплатить. Лучше кэшбэк потерять, чем всю сумму, если вдруг сайт окажется левым...2
  • Pavla Tolokoninaобычно жму "Find support or report post" в таких случаях.3
  • МаксимDmitry, снижает конверсию. По крайней мере так считается.1
  • Andrey Kuznetsov"Если сертификат выдан лишь на несколько месяцев — это, скорее всего, сайт мошенников" - не вводите людей в заблуждение. Конечно, для нового сайта, на котором собираетесь вводить данные карты, полезно посмотреть сведения о сертификате, но в целом такое заключение некорректно, сейчас вы найдёте множество в том числе и интернет-магазинов, которые используют бесплатные let's encrypt сертификаты, например.5
  • Георгий ШабашевAndrey, я правильно понимаю, что если у "платежного шлюза" (см. последнюю иллюстрацию) будет SSL-сертификат, допустим, от того же от Let's Encrypt на 3 месяца, вы без колебаний вобьете туда номер своей пластиковой карты, на которой нет лимита на онлайн-операции? P.S. Буду рад увидеть адреса хотя бы трех интернет-магазинов с FreeSSL/Let's Encrypt, на сайте которых (не шлюзе, а сразу на сайте) вводятся данные пластика3
  • Sergey Kurilovich2020 рублей от Afla bank0
  • Павел ВолковКто что думает про телеграм каналы где за небольшую комиссию делают на твой адрес заказы из Деливери/Яндекс.Еды с огромной скидкой? Карж?3
  • Валерий Вольновchitatel, пицца то вкусная была? Может он и повар ещё1
  • Георгий ШабашевSergey, и не только от Альфы. Ещё ВТБ, любимый Сбер и далее Почта банк используют0
  • Георгий ШабашевВалера, открывайте сайты из скриншотов :))7
  • GreLIDmitry, Непонятно, как это может помочь с такими мошенническими сайтами. Нарисуют форму оплаты немного по-другому. Кардинально это ничего не изменит.1
  • GreLIchitatel, А от фирм такси тоже отказываетесь, когда таксист рассказывает, что таксует для души, а на самом деле он бизнесмен с миллионными инвестициями? Если да, то от скольких уже отказались? Сколько осталось?5
  • Чебуречная 24/7какой ты чувствительный мальчик, Томми4
  • Макс ТретьяковGreLI, всё-таки, отличить сайт твоего банка от фейка легче, чем пытаться понять, перед тобой мошеннический сайт или фирма озаботилась выполнением требованием для процессинга платежей на своем сайте3
  • Макс ТретьяковГеоргий, вы вводите в заблуждение, что это что-то плохое. Но это не так. А данные карты лучше вообще не вводить, пользуясь каким-нибудь Гугл/Эппл пей, либо на хорошо известных сайтах.1
  • Георгий ШабашевМакс, для сайтов норм. Но я не видел ещё ни одного платежного шлюза или банковского эквайринга с бесплатным сертификатом. Хотите меня разубедить? Поделитесь ссылкой.2
  • Илья РязанцевАдрес доставки г. Москва, ул. Лубянка, д.2 «оставить на проходной», а ты хорош 😁😁😁4
  • Kurikaeshi KurikaeshiПавел, из того, что мне попадалось, всё было +- легально. Правда гарантий никаких нет, что продавец выполнит свою часть сделки и не продаст или не использует потом ваши данные. Обычно там делаются заказы через особые акционные промокоды, которые люди получают путём перебора/выявления последовательности/использования других уязвимостей и так далее. Такие промокоды могут работать на определённой модели телефона, например, и чтобы покупатель не заморачивался, продавец эмулирует его сам и оформляет заказ.0
  • Павел ВолковKurikaeshi, интересно, спасибо0
  • НеОнсамое интересное, что такую рекламу никогда не отклоняют модераторы.1
  • Dmitry BurlakovМаксим, решил пересмотреть старые комменты (оказывается мне на них отвечали, ха!), сейчас же есть процессинг который формой внедряется на сайт продавца, как у Stripe. Визуально вы вроде бы никуда не уходите, а поля ввода на самом деле фреймы платёжного шлюза. Это сложнее конечно со стороны шлюза в реализации, но зря они там что ли в своих айти-галерах 300к/сек получают.0
  • Ваня ФоминЭто все лож пездеж и провакация! Мы с друзьями там 1000 раз заказывали пицу с 50 працентной наценкой и нам привозили!1