В марте 2021 года ЦБ РФ опубликовал доклад "Основные типы компьютерных атак в кредитно-финансовой сфере в 2019–2020 гг". В нем утверждается, что только за 2020-й год была инициирована блокировка 7680 мошеннических сайтов, из которых более 6200 продавали фальшивые билеты на поезда и самолеты, а также маскировались под сервисы переводов и обменники.
Как выбрать сайт, которому можно доверять? Как распознать мошеннический сайт по продаже билетов, ведь такие сайты каждый час появляются и исчезают?
Роскачество подготовило универсальный чек-лист для проверки сайтов, продающих билеты, и проанализировало по нему 28 сайтов из поисковой выдачи по запросам, связанным с ж/д билетами.
По итогам анализа всем критериям удовлетворяют следующие сайты, осуществляющие продажу билетов: rzd.ru, aviakassa.com, bilet.aero, biletix.ru, grandtrain.ru, kupibilet.ru, onetwotrip.com, ozon.travel, sapsan.su, svyaznoy.travel, tinkoff.ru, trains.anywayanyday.com, travel.yandex.ru, tutu.ru, ufs-online.ru, жд-билеты.сайт.
В ходе проверки выяснилось, что:
● Подавляющее большинство проанализированных билетных сайтов соответствуют всем или почти всем критериям, что в целом ожидаемо, ведь несоответствие является серьезным поводом насторожиться и возможно даже отказаться от покупки.
● Тем не менее, некоторые сайты по продаже билетов соответствуют не всем рекомендованным критериям, в связи с чем приобретать на них билеты может быть не совсем безопасно. Среди них: sapsan-x.ru, жд-касса.сайт, 1sapsan.ru, zhd-bilety.su и zd-bilet-online.ru.
● Наиболее часто встречающиеся проблемы: отсутствие договора публичной оферты, регистрационного номера или ИНН и соответствие ИНН и юридического / физического лица. У 6 сайтов не запрашивается согласие на обработку данных.
● У 7 сайтов отсутствует форма обратной связи, а также реквизиты.
Эксперты Роскачества поясняют, по каким критериям анализировались сайты – по ним же рекомендуется проверять перед покупкой и любой другой сайт, продающий билеты онлайн.
Прежде всего, сайт билетного агентства должен иметь собственное уникальное доменное имя, не вводящее пользователя в заблуждение. В доменном имени должна отсутствовать явная ассоциация и подражание другим доменным именам. Например, среди мошеннических и уже заблокированных сайтов – 0zon-travel.online (вместо первой буквы "o" цифра 0) или kupibilet1.com, которые не имеют отношения к сайтам одноименных агентств ozon.travel и kupibilet.ru.
Билетное агентство должно иметь уникальное фирменное название и дизайн, которые не вводят пользователей в заблуждение. Если вы видите, что сайт имитирует другое известное агентство, это подозрительный признак.
Домен сайта билетного агентства должен быть зарегистрирован более двух месяцев назад. Мошеннические сайты часто регистрируют накануне сезона отпусков и затем, набрав “улов”, они исчезают до следующего сезона.
Для приема платежей от клиентов билетное агентство не должно использовать счета или банковские карты, оформленные на физические лица (в том числе, перевод с карты на карту или на электронный кошелек). Это серьезный стоп-фактор! Вернуть деньги, потраченные в ходе нечестной сделки, будет практически невозможно.
Проверьте, что именно написано в адресной строке браузера – перед именем самого сайта. Вы увидите символы http (чаще всего у таких сайтов перед названием имеется надпись "Не защищено") или https. Защищенный сайт будет использовать именно https. Лучше не вводить свои персональные или платежные данные на сайтах, которые не используют https. В некоторых браузерах, например, Google Chrome, Safari, необходимо совершить дополнительный клик по адресной строке, чтобы увидеть наличие https. Среди проверенных сайтов единственным незащищенным оказался sapsan-x.ru.
Проверьте и SSL-сертификат — это цифровая подпись, которая подтверждает безопасное зашифрованное соединение между сайтом и пользователем посредством протокола HTTPS. SSL-сертификат особенно необходим ресурсам, которые работают с пользовательскими данными (личной, платежной информацией). Шифрование таких данных обеспечит их защиту от перехвата третьими лицами. Сертификат обозначается значком закрытого замочка рядом с адресной строкой, при наведении на него браузер укажет, что соединение защищено. Среди проверенных сайтов единственным без SSL-сертификата оказался sapsan-x.ru.
Еще один способ проверить сайт билетного агентства – найти реквизиты организации (данные, позволяющие точно идентифицировать организацию). Как правило, на таких сайтах указывают название организации, ИНН, ОГРН и физический адрес организации – обычно в разделе “О нас”, “Контакты” или “О компании”. Лучше всего самостоятельно проверить указанный ИНН на государственном портале https://egrul.nalog.ru/, сверить его с названием организации, убедиться, что она не является ликвидированным предприятием.
Хорошей практикой является указание в "Контактах" или "Информации о компании" сведений о том, что продажа билетов осуществляется агентством-партнером или с использованием его технологий. Например, как у sapan.su. Среди проверенных сайтов ИНН или ОГРН юридического лица, осуществляющего продажу билетов, не указаны у: mego.travel, 1sapsan.ru, zhd-bilety.su, sapsan-x.ru, s.zhd-online.ru, жд-касса.сайт, zd-bilet-online.ru.
Никита Куликов, к.ю.н., генеральный директора АНО "ПравоРоботов":
"Покупая билеты онлайн, человек собственными руками передает сайту продавца максимум возможной информации о себе, включая ФИО, паспортные и банковские данные. Утеря последних, как отдельно, так и в совокупности с остальными данными, может нанести крайне ощутимый урон. Своего контрагента по такой сделке надо "знать в лицо", а именно – его наименование, данные из ЕГРЮЛ, юр. адрес и иные реквизиты. Их можно найти в документах оферты, сопровождающих ваш платеж. Эти сведения могут вам пригодиться при предъявлении к сервису претензий, связанных с невыполнением или некачественным оказанием услуг".
Все сайты, продающие ж/д билеты, нацелены на взаимодействие с пользователями и должны нести ответ за продаваемый ими продукт. Поэтому форма обратной связи очень важна как для решения потенциальных проблем, так и для проверки легальности ресурса. К обратной связи относятся: контактный номер телефона, форма обратной связи или электронная почта. Соответственно, чем больше способов связаться с сервисом, тем меньше вероятность, что ресурс является мошенническим. Если вас обуревают сомнения, рекомендуем "пробить указанный номер" в поисковике и позвонить по нему. Если вам в рабочее время не отвечают на звонки или номер недействителен – это скорее всего признак того, что просто взяты чужие реквизиты, и сайт может быть мошенническим. Среди проверенных сайтов номер телефона и иные контактные данные отсутствуют у 1sapsan.ru, zhd-bilety.su, sapsan-x.ru и zd-bilet-online.ru.
Есть также ряд дополнительных признаков, наличие которых позволяет с большей уверенностью сказать, что перед вами надежный (или, наоборот, потенциально небезопасный сайт):
● Платежный шлюз. Оплата онлайн должна осуществляться через платежный шлюз по стандарту PCI DSS – это указывается при совершении оплаты.
● Корректные ссылки. На сайте билетного агентства не должно быть битых и неработающих ссылок.
● Отсутствие рекламы. В рекламе на сайтах уже нет ничего нового и большинство пользователей успело к ней привыкнуть. Но реклама может быть и ценным индикатором потенциально небезопасного сайта. Некоторые сайты просто пестрят разнообразными предложениями, никак не относящимися к тематике ресурса, на котором вы находитесь. Это повод насторожиться.
Итак, краткий перечень правил, которые помогут не нарваться на мошеннический сайт по продаже билетов:
1. Даже если вы собираетесь совершить покупку на знакомом сайте, где уже много раз до этого покупали, – проверьте его доменное имя, это может быть искусная копия мошенников.
2. Не ведитесь на большие скидки и тикающие таймеры, призывающие как можно скорее совершить покупку – вероятно, это уловки мошенников.
3. Ни в коем случае не оплачивайте билет повторно, если деньги уже списались (особенно, если приходит сообщение "Повторить платеж"). Наверняка, это мошенничество, и даже первый платеж уже совершен. Уточните информацию по контактным телефонам на сайте, и, если там вместо объяснения происходящего вас убеждают заплатить еще раз, – перед вами мошенники.
4. Лучшим вариантом является использование официальных мобильных приложений, например, от РЖД или билетных агентств, так как их подделать значительно сложнее, чем сайты. При этом обязательно стоит обращать внимание на количество скачиваний, оценки и отзывы, так как фишинговые приложения все же существуют.
5. Перед покупкой билетов потратьте 5-10 минут и проверьте сайт.