Как кошельки Ozon стали использовать для нелегальных p2p-операций

После отзыва в феврале лицензии у Киви Банка, печально известного высокорисковыми операциями по расчетам между гражданами и теневым бизнесом, злоумышленники стали искать альтернативу Qiwi-кошелькам.

В частности, одним из вариантов для них становятся аналоги от Ozon: по данным Angara Security, количество сообщений о покупке и продаже верифицированных электронных кошельков Ozon для p2p-переводов с февраля выросло в три раза.

Аналитики также фиксируют рост объявлений об их использовании для нелегальных операций, в том числе для незаконного вывода средств и снятия их за процент

В поисках альтернативы

По данным Angara Security, с которыми ознакомился Forbes, количество сообщений о купле-продаже верифицированных электронных кошельков Ozon для p2p-переводов в 2024 году выросло в три раза. На момент проведения исследования (конец апреля) аналитики зафиксировали существенный прирост сообщений, поясняют в Angara Security, не конкретизируя их число. В наличии в Сети таких объявлений убедился и Forbes.

По времени этот прирост совпадает с моментом решения ЦБ лишить Киви Банк, известный, в частности, как оператор электронных Qiwi-кошельков, права заниматься банковской деятельностью. В числе основных претензий, которые высказывал ЦБ в адрес банка, были высокорисковые операции по расчетам между гражданами и теневым бизнесом. Речь идет о переводах денег криптообменникам, нелегальным онлайн-казино и букмекерским конторам, а также о переводах похищенных средств так называемым дроперам — физическим лицам, принимающим на свои или чужие счета и карты незаконно выведенные средства и снимающим их в интересах преступников за процент. ЦБ упоминал о многочисленных прецедентах открытия электронных кошельков с использованием персональных данных физлиц без их ведома и проведения по этим кошелькам операций без согласия клиентов.

Лишившись популярного инструмента, злоумышленники стали обращать внимание на аналогичные продукты. Так, помимо объявлений о купле-продаже кошельков Ozon, аналитики Angara Security фиксируют и факты продажи личных кабинетов Ozon Банка с максимальными статусами верификации, а также предложения услуг по прямому переводу средств с «украденных личных кабинетов на другие карты для дальнейшего обналичивания».

При этом одной из основных площадок для распространения подобных сообщений в последнее время стал Telegram, указывают в компании. «Безусловно, часть данных публикуется в даркнете, но основной массив информации в данном случае собран с помощью инструментов OSINT (Open source intelligence, разведка по открытым источникам), которые позволяют мониторить и анализировать сообщения в группах и чатах, а также так называемый малвертайзинг — продвижение контента от злоумышленников с помощью рекламных инструментов платформы», — поясняют в Angara Security. Forbes направил запрос в Telegram.

Мошенники предлагают три основных способа приобретения электронных кошельков, обращают внимание в Angara Security. В первую очередь это покупка базы с данными легитимных пользователей, что, по мнению экспертов, «создает риски для действующих клиентов сервисов Ozon». Во-вторых, злоумышленники пользуются возможностями самого сервиса, который позволяет привязывать цифровые карты к анонимному счету, для регистрации которого достаточно сим-карты мобильного оператора. Третий способ — предложения о покупке электронных кошельков в Telegram и даркнете. Например, электронный кошелек Ozon Банка можно приобрести за 2599 рублей.

«Финансовые сервисы крупнейших российских маркетплейсов, изначально разработанные для целей «бесшовного» клиентского опыта, становятся объектами внимания участников серого рынка платежей. Расчеты с помощью электронных кошельков предоставляют больше возможностей для трансакций, вовлечения большего числа участников в нелегальные схемы — от обналичивания средств до финансирования нежелательных организаций», — предостерегают эксперты Angara Security.

«Отличная замена»

Мониторинг активности в дарквебе показывает, что за февраль 2024 года количество объявлений о продаже аккаунтов Ozon Банка увеличилось вдвое по сравнению с январем, сообщил источник в крупной компании, занимающейся кибербезопасностью. «В марте и апреле наблюдается небольшое, на 10-15%, снижение количества объявлений. Но в ряде случаев продавцы позиционируют кошельки Ozon Банка как отличную замену Qiwi-кошельков. Чаще всего такие аккаунты имеют заниженную стоимость, что привлекает покупателей», — продолжает он.

В середине 2023 года стоимость доступов к личному кабинету Ozon Банка в даркнете составляла 700-2500 рублей, сейчас же она варьируется в диапазоне 500-10 000 рублей и зависит от нескольких факторов, делится наблюдениями собеседник Forbes. «Это статус кошелька (анонимный, базовый, расширенный), метод верификации (через «Госуслуги», с использованием фото паспорта или через мобильного оператора), вероятность блокировки аккаунта (зависит от времени с момента регистрации и были ли в этот момент какие-либо трансакции), а также данные, получаемые покупателем (минимальный набор — номер телефона для Ozon Банка, логин и пароль от сервиса по приему смс; максимальный набор — номер телефона, кодовое слово, секретный код, паспортные данные, прокси для Ozon Банка, логин и пароль от сервиса по приему смс)», — перечисляет он.

Впрочем, по словам другого источника в крупной ИБ-компании, в даркнете продаются верифицированные кошельки всех платежных сервисов, а их количество «напрямую зависит от популярности у населения».

Передача на подставного

Как рассказали Forbes в Ozon, для выявления мошеннической активности в банке выстроен многоуровневый процесс фрод-анализа, который использует специальные выявляющие алгоритмы, машинное обучение и ряд других технологий. «Если система фиксирует любую подозрительную активность, то команда фрод-мониторинга оперативно блокирует движение средств и проводит проверку таких случаев, которая может включать в том числе и дополнительную идентификацию, а также в некоторых случаях подтверждение источника средств, — говорит представитель компании. — При этом борьба с фродом — непрерывный процесс. Мошенники постоянно изобретают новые схемы, поэтому и мы постоянно работаем над улучшением собственных правил и инструментария борьбы с фродом». Ozon также активно взаимодействует с регуляторами и другими участниками рынка, это также позволяет успешно бороться с системной мошеннической активностью, заключают в компании.

В начале года во время отзыва лицензии у «популярного сервиса электронных кошельков» количество переводов на банковские карты подставных лиц (дроперов) выросло примерно на 50% относительно среднесуточного количества, констатируют в департаменте Fraud Protection компании F.A.C.C.T.: «И примерно на столько же в объявлениях на теневых ресурсах увеличилась стоимость заказа банковских карт, оформленных на kkiqqqidrxiqukmp дроперов».

«Борьба с дропами — серьезный вызов для всего банковского сообщества, с ним сталкиваются абсолютно все игроки. В даркнете можно встретить предложение о покупке карт или скомпилированных баз из общедоступной информации любого крупного банка. После отзыва лицензии у «популярного сервиса электронных кошельков» ведущие российские банки и платежные системы усилили защиту своих систем для того, чтобы не допустить взрывного роста количества используемых дропов. Насколько нам известно, Ozon Банк также усилил меры по фрод-мониторингу в этом направлении», — резюмируют в F.A.C.C.T.