Aviasales работает с мошенниками: как у меня вытянули CCV2

в 15:21, , рубрики: aviasales, информационная безопасность, кардинг, наебизнес, обман, обман клиентов, фишинг, метки: , , , , ,

Добрый день, уважаемые.

Это пост, срывающий покровы; и я знаю, что на Хабре такому не место, и никогда бы не запостил его здесь, но:

  1. Пользователям Хабра, возможно, будут интересны современные схемы кардеров
  2. На Habrahabr представлен блог компании Aviasales, которая в этом деле так же непосредственно замешана.

В общем, в ближайшее время мне нужно было лететь в Москву. Я даже не задумывался о том, где искать билеты — Aviasales известны всем, это достаточно устоявшийся бренд, а их партнёрская программа не маячит разве что на Хабре.

Я вбил свои данные, агрегатор подобрал мне самые дешёвые варианты с минимумом пересадок:

Aviasales работает с мошенниками: как у меня вытянули CCV2

Примечание: самой дешёвой на тот момент была именно эта контора — Senturia (которая не размыта).

Далее я сразу проследовал на страницу оплаты (обратите внимание на введённые мною «верные» данные).

Aviasales работает с мошенниками: как у меня вытянули CCV2

Самое забавное, что я в первый раз ввёл верные данные, как и любой честный покупатель. Я же хотел оперативно бронировать место! К тому же, такая форма не показалась мне подозрительной: наоборот, вполне обычная форма для ввода данных платёжной карты, даже соединение по HTTPS (пролистав отзывы про эту конторку, я узнал, что раньше не было даже HTTPS).

Вот что получаем в итоге:

Aviasales работает с мошенниками: как у меня вытянули CCV2

Т.е. никаких безопасных транзакций, никаких банков, никаких списаний! Ничего! Прошло полчаса — и ничего! (как оказалось, к счастью).
Данные кредитной (в моём случае, всё-таки, слава Б-гу, дебетовой) карты просто уходят «на сторону». И самое забавное, что если бы я это делал с картой Сбера, я бы сразу заподозрил неладное: с картами Сбера, как правило, происходит авторизация через 3DSecure, а здесь такого нет и быть не может: никаких ошибок с такими «данными» просто нет (такой карты и CCV-кода просто не существует в природе). Но я пользовался другой карточкой, на которой было много больше, чем 8000 рублей…

Как только я заподозрил неладное, я сразу же помчался снимать в первый попавшийся банкомат всё, что на ней было. К счастью, деньги снять не успели, а вот данные карты, я уверен, всё-таки успели уйти «на сторону».

А вот такое письмо пришло ко мне, примерно через час-другой, когда я успел снять бабки:

Aviasales работает с мошенниками: как у меня вытянули CCV2

Вот вложение: "Payment By Credit Card Russia" (стоит посмотреть).

Итак, к чему я поставил такой громкий заголовок: Aviasales вполне позволяет затесаться в свои ряды рядовым мошенникам, не проверяя их на базовые вещи, вроде систем оплаты. Такие мошенники ловят на удочку всех, кто верит во, внимание — "скандально низкие цены". Да уж, хоть в одном не соврали — цены действительно скандальные, достаточно погуглить отзывы; но и не низкие.

Вполне возможно, что эта контора не мошенническая, просто ещё не отладила методы оплаты своих услуг. Но что-то верится мало.
А по поводу Aviasales: гоняясь за моментальным потоком сверхприбыли, привлекая адвертов, не проверяя хотя бы поверхностно каждую контору, с которой вы работаете, вы упускаете самое главное — не то чтобы удобство, а безопасность своего пользователя.

А карту мне, к сожалению, теперь придётся менять (и это, к слову, тоже стоит денег).

Автор: varg242

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js