VKDonate — история о том, как «ВКонтакте» покрывает мошенников
Всем привет! Наша команда занимается расследованием мошеннических действий в сфере онлайн платежей, а данная статья получила своё начало после разговора с моим другом, который заподозрил "что-то нечистое" в одном из популярных сервисов..
Дисклеймер!
Данная статья носит исключительно информационный характер и не имеет цели кого-то оскорбить, все мнения высказанные автором являются оценочными суждениями и не направлены на оскорбление, уничижение достоинства человека. Мнения озвученные в данной статье также не преследуют целью дискриминировать, оскорбить или запугать кого бы то ни было. Продолжив прочтение данной статьи вы подтверждаете, то что ознакомились с дисклеймером.
В нашей статье речь пойдет о проекте VKDonate (Донаты). Сервис был создан сторонним разработчиком примерно в 2018 году для удобного сбора пожертвований в сообществах ВКонтакте.
По началу все было хорошо, но потом началось самое интересное. Сейчас вы погрузитесь в мир мошенничества с банковскими картами и платежными системами.
В начале своей работы Донаты использовали платежную систему Unitpay. Несколько раз отключались от них и постоянно меняли платежные системы. Далее в России контроль над онлайн платежами становиться все сильнее и сильнее.
И вот Донаты уже не могут подключиться ни к одной из белых платежных систем. Вместо того чтобы перевести всю свою экосистему в состояние белого бизнеса, приложение Донаты решает обратиться к черным платежным системам.
Ниже на скриншотах наглядно демонстрируется процесс оплаты(процесс пожертвования) в приложении. Оплата происходила на под-домене pay.mdeposit.net, если перейти на основной домен, то увидим "страницу-заглушку" доменного регистратора reg.ru. Часто вы встречаете платежные системы, у которых доменное имя получено совсем недавно, а на основной странице нет ничего? Думаю нет. На самом под-домене pay. Мы видим пустую страницу.
Начинаем расследование про mdeposit.net и в первую очередь обратимся в Telegram-канал BadBank. В данном канале публикуют плохие банки, черные платежные системы, которые сотрудничают с мошенниками и другими представителями нелегального мира.
Пары постов уже достаточно, чтобы понять, что мы имеем дело с нелегальной платежной системой.
Продолжаем копать глубже. Посмотрим, информацию о домене.
идно, что домен создан совсем не давно, а точнее в 2020 году.
На странице оплаты mdeposit.net красиво расписано про соответствие мировым стандартам платежных систем, в том числе наличие сертификата PCI DSS (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт, учрежденным международными платежными системами Visa, MasterCard, American Express, JCB и Discover.)
Идем в официальный сайт реестра VISA, чтобы проверить это: https://www.visa.com/splisting/searchGrsp.do
Приложив все усилия так и не удается найти компанию «mdeposit» в реестре VISA, которая занимается приемом платежей для сервиса VKDonate.
В интернете мало информации о «mdeposit», а по запросам в поисковиках находим это: ...
И другие страницы подобного содержания, но найти какую либо официальную информацию о компании «mdeposit» не выходит...
Вывод: «mdeposit» - мошенническая платежная система, предположительно работающая по известной мошеннической схеме. Оплачивая через такую платежную систему данные вашей банковской карты попадают в руки злоумышленников, о последствиях можно даже не говорить.
Что мы всё говорим о платежных системах, углубимся в само приложение VKDonate. И тут оказывается, что приложение тоже незаконно хранит и обрабатывает данные банковских карт, номер телефонов и другую персональную информацию своих пользователей.
VKDonate и владелец кардер (и нет, не Павлович)
Мы уже поняли, что VKDonate сотрудничает с мошенническими платежными системами, которые не против нелегально хранить данные ваших банковских карт, а в некоторых случаях и продавать на теневых формах.
Но изучив приложение более подробно, мы видим, что VKDonate самостоятельно обрабатывает данные банковских карт.
Установив приложение VKDonate можно добавить банковскую карту, после чего данные отправлялись на сервера приложения.
а скриншотах выше мы специально замаскировали персональные данные банковских карт, они также отображаются в приложении в открыто виде.
На сайте приложения (vkdonate.ru) находим пользовательское соглашение: https://vkdonate.ru/eula
Из пункта 1.8 узнаем владельца сервиса и идем в реестр РКН.
И не находим владельца сервиса VKDonate в реестре — соответственно сервис не имеет право осуществлять какую либо обработку персональных данных пользователей, тем более обработку номеров банковских карт вместе с информацией о владельце полученной из ВК.
Даже в самой политике конфиденциальности сервиса VKDonate - https://vkdonate.ru/privacy-policy не сказано про обработку номеров банковских карт сервисом.
ИП Смирнов Владимир Юрьевич (VKDonate) на момент написания статьи отсутствует в реестре https://www.visa.com/splisting/searchGrsp.do, а соответственно не имеет сертификата PCI DSS — следовательно не имеет право на обработку данных банковских карт.
Стандарт PCI DSS ориентирован на защиту основного номера держателя карты (PAN). Для получения сертификата PCI DSS необходимо прохождение специальной процедуры проверки.
Письмо в Роскомнадзор о нарушениях VKDonate
Один из участников нашей команды направил обращение в Роскомнадзор о нарушениях VKDonate.
Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведении (ст. 22 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»). Это и было основной причиной для обращения в Роскомнадзор.
Был получен официальный ответ с запросом дополнительных сведений. Собрана необходимая информация и направлена в Роскомнадзор. Сейчас обращение еще в процессе обработки. Но мы продолжаем надеяться, что Роскомнадзор примет его во внимание и будут приняты соответствующие меры в сторону приложения VKDonate.
Также по нашим данным Роскомнадзор направили информацию о сервисе в ФНС Санкт-Петербурга.
Обращение в официальную поддержку ВКонтакте
Также мы обратились в официальную поддержку ВКонтакте.
Получили первичный ответ и начали ждать. Совсем скоро поступили вопросы с уточнением некоторых сведений на который мы дали ответы.
Еще немного ожидания и получаем ответ от поддержки.
Мы можем выразить отдельную благодарность конкретным лицам со стороны поддержки ВКонтакте, которые занимались данным вопросам. Все ответы были получены оперативно.
Скоро поступила первая реакция от VKDonate.
Ссылка на пост https://vk.com/wall-166154096_8140
Как мы видим в официальном сообществе сервиса VKDonate был опубликован пост, вероятно с реакцией на действия поддержки ВКонтакте. По заявлению приложения были удалены все номера кошельков, а привязка банковской карты будет осуществляться на стороне платежного шлюза, имеющего на это право.
Казалось бы почти все нарушения исправлены? Но не все так просто в нашем мире.
Мы подождали пока сервис вернется к работе, чтобы подробно изучить новую схему работы VKDonate, а как оказалось позже мошенническую схему :)
Совсем скоро, а точнее 19 июля был опубликован новый пост в официальном сообществе сервиса, в котором говориться о том, что система выплат переделана, с учетом новых требований ВКонтакте. Когда это соблюдение законов стали требованиями ВКонтакте? Но теперь мы четко понимаем, что вероятнее всего это реакция на работу поддержки ВКонтакте.
Ссылка на пост https://vk.com/wall-166154096_8190
Новая схема работы мошенников 2.0
Пробуем сделать новый донат. Выберем способ оплаты банковской картой.
Видим подозрительно похожую платежную форму, но раньше домен был
mdeposit.net, а теперь форма расположена на pay.cypix.ru. Еще добавили логотип CYPIX. Уже по форме оплаты можно понять, что это старая платежная система, только на новом домене. Смена доменов уже является причиной для подозрения. Но мы идем дальше.
Изучив api.cypix.ru и api.mdeposit.net мы видим, что их сервера находятся в Finland у HETZNER. Возможно и совпадение, что оба сервера находятся у одного облачного провайдера. Но это еще один + к тому, что оба домена принадлежат одному и тому же человеку.
Хорошо, теперь мы знаем, что скорее всего cypix.ru это просто новый домен старого mdeposit.net. Может быть и они исправились и теперь обрабатывают платежи законно? Посмотрим...
Не долго думая нажимаем на логотип CYPIX в платежной форме и попадаем на сайт платежной системы https://cypix.ru/.
Идём в раздел "Официальные документы", находим публичную оферту CYPIX
Продолжение
Весь текст расследование не помещаться на пикабу, дочитать можете статью на VC.RU
https://vc.ru/claim/276056-vkdonate-istoriya-o-tom-kak-vkontakte-pokryvaet-moshennikov