Попался тут в ленте "Дзена" анонс заметки о том, как некая дама, пострадавшая от действия мошенников, пыталась сделать чарджбэк в "Сбербанке" - "Личный опыт: как я вернула списанные мошенниками 30 тысяч за пиццу".

Дама отрекомендовалась психологом и гештальт-терапевтом, что бы это ни означало, и сам процесс развода описала несколько странноватым образом. Процитирую, там немного.

27 июля 2020 года я увидела на Фейсбуке рекламу пиццерии «Папа Джонс», они предлагали большую скидку при заказе пиццы. Я была постоянным покупателем «Папа Джонс», и ранее они уже предлагали мне подобные скидки в середине недели. Так что в этой акции меня ничего не насторожило.

Я перешла по ссылке на заказ, сайт выглядел как официальный, в нём не было ничего подозрительного. На странице оплаты ввела все данные своей банковской карты, но мне так и не пришёл код для подтверждения операции. Там была кнопка, на которую нужно нажать, если вы не получили код. Я на неё кликнула, и, видимо, в этот момент произошёл перезапуск окошка на оплату. В результате чего туда была подставлена другая сумма, а я этого не заметила. После этого на телефон пришёл код, в окошке отобразился только «хвост» суммы, на которую я заказывала, — 908 . Мне показалось, что всё верно, и я оплатила заказ. И тут мне пришло СМС о том, что с моей кредитной карты списали 30 908 .

Так я узнала, что мошенники не просто используют сайты — клоны известных компаний и списывают деньги за покупки у них, но и подставляют дополнительную сумму к реальной стоимости заказа, чтобы люди ничего не заметили. Мне ещё «повезло»: бывают случаи, когда они приписывают к исходной цифре не 30 тысяч , а 300 тысяч .

Ну, что гештальт-терапевт купилась на какую-то рекламу (в Facebook рекламы всякого жулья - как грязи), перешла на сайт, на котором нужно вводить платежные данные, и даже не проверила, что это вообще за сайт - оно как-то уже странновато, но бывает, да. Меня другое удивило. Механика процесса. Ну, предположим, ввела данные карты, не пришло подтверждение, нажала кнопку, ей заменили сумму на значительно большую, ей пришел на телефон код, который высылает ЕЕ БАНК, то есть Сбер, а не мошенники, и она у этого кода увидела только "хвост" суммы. А вот не бывает такого! Любой банк, высылающий код подтверждения, четко показывает сумму, которая будет списана после ввода вами кода. Так что или тетя "проэтосамое" сумму, то есть на нее просто не посмотрела (вообще спутать 908 и 30908 - это прям нужно быть гештальт-терапевтом), или там была совсем другая история.

Также мне в упор не понятно, как мошенники могут влиять на окошко с процессингом списывания с карты. Вообще обычно поддельные сайты создаются вовсе не для того, чтобы списать с карты кого-то некую сумму - они это просто не смогут сделать, потому что это нужно будет подключать какой-нибудь защищенный механизм (вот у меня, например, для этих целей используется "Робокасса"), а черта с два вы его просто так подключите, там куча требований и куча проверок. И влиять на сумму, которая с сайта ушла в процессинг, никто никак не сможет. 

Поэтому мошенники действуют по-другому. Обычно суть поддельных сайтов заключается в том, что узнать у пользователя данные его карты: заставить его ввести и код, и срок действия, и CV2. После этого они уже могут использовать данные карты для определенных покупок (далеко не всех, но тем не менее). А вот так чтобы на сайте жуликов работал процессинг снятия денег с карты - я что-то такого не встречал. Непонятная история.

Кстати, дальше в заметке гештальт-терапевт подробно пишет, как бодалась со Сбером и требовала вернуть ей деньги, списанные жуликами - со скриншотами и так далее. Ну и там содержатся полезные сведения о том, что такое вообще чарджбэк, каким образом это можно осуществить, там приводятся комментарии некоторых официальных лиц) - в общем, вот это имеет смысл почитать.

Но каким образом ее вообще "обули" - мне пока непонятно совершенно.