Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Divorce: pizza ad with a huge discount

root

Staff member
Full members of NP "MOD"
Joined
Feb 17, 2007
Messages
678
Reaction score
1,026
Points
93
Fake food delivery service

On Facebook, I was offered to order pizza using the promo code SIDIMDOMA with a 50% discount. At first glance, everything is in order: the link from the advertisement leads to a site with pizzas, the promotional code is logical for covid times. Pizza is selected on the site, the promo code is applied.

But it's still a scam:

anFmNGEucG5n.jpg


The easiest way to make sure of this is to enter a promotional code on a real pizzeria website. It won't work. But scammers can be detected even if there is no way to check the promotional code on the real site. Here are the main things to watch out for:

  1. The advertisement has a slightly different name for the site and Facebook group of the pizzeria.
  2. The group itself and the site were created recently.
  3. There are few reactions to the ad, there are negative ones.
  4. The site easily accepts incorrect data - except for card data.
  5. The payment code never matches.
Let's go through all the signs in more detail.

Signs of fake advertising​

The page title does not match the brand . The image is advertising a pizza from the Papa John's pizza chain, and the advertisement was placed by the Pizza Papa page. The real page would have the same name as the pizzeria.

I also came across ads for pages called Papa Jhons - misspelled - and "Pizza Jones"

Weird website address. Under the image, "Facebook" indicates the address of the site to which the advertising link leads. The address is registered in an unusual .club zone, and the site name itself - Papaspecial - only resembles the name of a pizzeria, but does not contain the full brand name. For comparison, the real site of this pizzeria chain ends with the usual .ru and looks like this: papajohns.ru.

While I was writing this text, I came across a similar ad on Facebook. The advertising text and image in the post were different, but the link opened the same site, albeit at a different address. Sooner or later, such ads are blocked, and scammers create a new page and open a new site with a different address.

YXZkOWQucG5n.jpg


Similar ad, but with different text and website address

cDJ2aHMucG5n.jpg


Another version of advertising from the same scammers. Website address is new

cGZpdXcucG5n.jpg


Few reactions to the post , there are negative ones. A real promotion with such a discount will quickly collect a lot of likes and happy comments. Although they can be left from fake accounts.

Empty community page. If you open the page on behalf of which the ad is placed, you can see that it is almost empty, and the cover is not set neatly: the text does not fit in the title area. There are only three posts in the community feed: a profile photo, a cover, and a post with a promotion. The page appeared only a few days ago, no one subscribed to it. Often there are grammatical errors on such pages.

MWUxZngucG5n.jpg


Wrong name of the pizzeria, sloppy profile cover

c2xuZGIucG5n.jpg


The page has no subscribers, there are only a couple of messages in the feed: cover update and promotion announcement

bWNidmQucG5n.jpg

Below is the date the page was created - just a few days ago

Website for a pizzeria​

If you click on an advertising link, the site also has a lot of warning signals.

Just one page. The website of the "pizzeria" is one-page. There are no links to the list of stores, delivery map and contacts. You can not create a personal account or enter it. There is only a network phone at the top of the site. It is real - this lulls the vigilance of the site visitor.

The links at the bottom don't work. They were placed to make the site look more like the site of a real pizzeria. But you can’t go through them - the visitor always remains on the main page, where the card data is entered.

M3NiZnIucG5n.jpg


The site consists of one page

a3Vpc3QucG5n.jpg

All links to other sections of the site and to mobile applications do not work

inconsistencies in the text. Scammers don't have much time before a site is blocked, so they rarely care about the details. For example, at the end of the page they promise free delivery from 600 R, and at night - from 1500 R. But the banner at the top promises free delivery from 499 R with no time limits.

Order form. Fraudsters only need to create the appearance of a real order form, they do not need the entered data. In the field of address and contacts, you can enter any data, even incorrect ones. Or don't include them at all.

bmt1cmxrLnBuZw.jpg

The site easily agreed to accept an order for the wrong phone number and email

Order payment​

The fraudster also inherited in the process of paying for the order.

Payment on the page with pizzas. Most sites do not accept payment themselves, but through intermediaries - payment services. The client places an order, and the site redirects him to a special service page for entering the card number. This page, according to security rules, should be located on the website of the processing center, and scammers offer to enter the card number on the same website.

Sometimes sites receive special accreditation - and processing centers allow them to request card details without going to another page. A real pizzeria has received such accreditation. Perhaps that is why the scammers chose this pizza chain.

These cards are checked: only they are needed by scammers. Based on the entered number, the site calculates the checksum: if it is incorrect, then there is an error somewhere. The site of scammers will not accept such a card number.

cHlyZWZ5LnBuZw.jpg

The input field here looks like on the real site. But payment rarely happens on the same page and on the same site where products are selected and an order is placed.


No bank information. When confirming the payment, there is no logo and name of the bank or other payment service that conducts the transaction. Logos are easy to fake, but if they don’t exist at all, it’s an excuse to stop and not enter anything.

Confirmation of payment on the same site. After clicking on the "Pay" button, a page opens that looks like checking 3-D Secure - a one-time SMS code to confirm payment. Visually, it looks like a bank page. In fact, the page address shows that you are on the same site. Fraudsters were too lazy to register a separate address that resembles the name of a bank.

Most likely, at this moment, your card number is entered on the page of this processing center. The bank will send you an SMS with a confirmation code for this operation. If you enter the code on a fake page, the scammers will receive it and be able to confirm the real debit from your card.

If you entered the card number on such a site, you need to block it as soon as possible in the mobile application or through the bank's call center.

NGI1a3h4LnBuZw.jpg

Confirmation of payment occurs on the same site where the sale of goods "shop".
No logo or bank name

dXVmM2M4LnBuZw.jpg

When you enter any code, the site will say that it is incorrect, and scammers will send a second request every time,
to charge your card the same amount again

Instruments​

There are also a couple of slightly less obvious ways to check a scammer's site.

Domain check via Whois. Each domain - site address - has an owner and date of registration. This information can be obtained through a special Whois service: enter the domain name - the address of the main page of the site without www and http - and the service displays technical information.

For foreign domains, the date of creation is specified as Creation Date. The domain from our example appeared a couple of days ago. The site of a real pizzeria obviously appeared earlier.


c3FpOGp6LnBuZw.jpg

Whois domain name verification service at Reg-ru registrar.
According to these data, the site of the "pizzeria" was created two days ago - on August 18, 2020. The real company's website is obviously older

Certificate of safety. To send data securely, sites attach certificates of authenticity. Protected sites can be distinguished by the padlock icon in the address bar of the browser. If there is no such icon on the page for entering the card number or it is crossed out, these are definitely scammers.

In our example, scammers installed such a certificate. But this does not mean that the site is real. Carefully look at the site address in the browser line. Fraudsters can install such a certificate on the timkoff.ru site — a similar letter m is used instead of the letter n — but this will not make the site real.

Sometimes scammers save money and install free certificates. These certificates are valid for several months. Certificates on this site are issued for 1 or 2 years. If you click on the padlock icon, you can see the validity period of the certificate.

ZnQ0Z2J6LnBuZw.jpg

This is how the site's security certificate information window looks like.
If the certificate is issued only for a few months, this is most likely a scam site

Not just pizza ads​

The listed signs help to recognize scammers when paying with a card on an unfamiliar site. Separately, each of them can talk about a random error - for example, when setting up a site. But if there are several signs at once, they are most likely trying to deceive you.

Georgy Shabashev, Tinkoff—Journal
 
Original message
Поддельный сервис доставки еды

В «Фейсбуке» мне предложили заказать пиццу по промокоду SIDIMDOMA со скидкой 50%. На первый взгляд, все в порядке: ссылка из рекламы ведет на сайт с пиццами, промокод по ковидным временам логичный. На сайте пицца выбирается, промокод применяется.

Но это все равно развод:

anFmNGEucG5n.jpg


Самый простой способ в этом убедиться — ввести промокод на настоящем сайте пиццерии. Он не сработает. Но мошенников можно вычислить, даже если нет возможности проверить промокод на настоящем сайте. Вот основное, что должно насторожить:

  1. В рекламе немного другое название сайта и фейсбучной группы пиццерии.
  2. Сама группа и сайт созданы недавно.
  3. На объявление мало реакций, есть негативные.
  4. Сайт легко принимает неправильные данные — кроме данных карты.
  5. Код оплаты никогда не подходит.
Пройдемся по всем признакам подробнее.

Признаки фальшивой рекламы​

Название страницы не соответствует бренду. На изображении рекламируется пицца от сети пиццерий «Папа Джонс», а рекламу разместила страница Pizza Papa. Настоящая страница называлась бы так же, как и пиццерия.

Мне также попадалась реклама страниц с названиями Papa Jhons — с опечаткой — и «Пицца Джонс»

Странный адрес сайта. Под изображением «Фейсбук» указывает адрес сайта, на который ведет рекламная ссылка. Адрес зарегистрирован в необычной зоне .club, а само название сайта — Papaspecial — только напоминает название пиццерии, но не содержит полного наименования бренда. Для сравнения, настоящий сайт этой сети пиццерий заканчивается на привычное .ru и выглядит так: papajohns.ru.

Пока я писал этот текст, мне в «Фейсбуке» встретилась похожая реклама. Рекламный текст и изображение в посте отличались, но по ссылке открывался такой же сайт, хотя и по другому адресу. Рано или поздно такую рекламу блокируют, и мошенники создают новую страницу и открывают новый сайт с другим адресом.

YXZkOWQucG5n.jpg


Похожее рекламное объявление, но с другим текстом и адресом сайта

cDJ2aHMucG5n.jpg


Еще вариант рекламы от тех же мошенников. Адрес сайта опять новый

cGZpdXcucG5n.jpg


Мало реакций на пост, есть негативные. Настоящая акция с такой скидкой быстро соберет много лайков и радостных комментариев. Хотя и они могут быть оставлены с фейковых аккаунтов.

Пустая страница сообщества. Если открыть страницу, от имени которой размещено объявление, можно увидеть, что она почти пустая, а обложка установлена неаккуратно: текст не умещается в область заголовка. В ленте сообщества всего три поста: установлена фотография профиля, обложка и размещен пост с акцией. Страница появилась всего несколько дней назад, на нее никто не подписан. Часто на таких страницах встречаются грамматические ошибки.

MWUxZngucG5n.jpg


Неправильное название пиццерии, неаккуратная обложка профиля

c2xuZGIucG5n.jpg


У страницы нет подписчиков, в ленте всего пара сообщений: обновление обложки и анонс акции

bWNidmQucG5n.jpg

Ниже указана дата создания страницы — всего несколько дней назад

Сайт «пиццерии»​

Если перейти по рекламной ссылке, на сайте тоже много настораживающих сигналов.

Всего одна страница. Сайт «пиццерии» — одностраничный. Нет ссылок на список магазинов, карту доставки и контакты. Нельзя создать личный кабинет или войти в него. Есть только телефон сети в верхней части сайта. Он настоящий — это усыпляет бдительность посетителя сайта.

Ссылки в нижней части не работают. Их разместили, чтобы сайт был больше похож на сайт настоящей пиццерии. Но по ним не перейти — посетитель всегда остается на главной странице, там, где вводятся данные карты.

M3NiZnIucG5n.jpg


Сайт состоит из одной страницы

a3Vpc3QucG5n.jpg

Все ссылки на другие разделы сайта и на мобильные приложения не работают

Несоответствия в тексте. У мошенников не так много времени до того, как сайт заблокируют, поэтому они редко заботятся о деталях. Например, в конце страницы обещают бесплатную доставку от 600 Р, а ночью — от 1500 Р. Но баннер вверху обещает бесплатную доставку от 499 Р без ограничений по времени.

Форма заказа. Мошенникам нужно только создать видимость настоящей формы заказа, введенные данные им не нужны. В поле адреса и контактов можно ввести любые данные, даже некорректные. Или не вводить их вообще.

bmt1cmxrLnBuZw.jpg

Сайт легко согласился принять заказ на неверный номер телефона и электронную почту

Оплата заказа​

Мошенник наследил и в процессе оплаты заказа.

Оплата на странице с пиццами. Большинство сайтов принимают оплату не сами, а через посредников — платежные сервисы. Клиент оформляет заказ, и сайт перенаправляет его на специальную страницу сервиса для ввода номера карты. Эта страница по правилам безопасности должна находиться на сайте процессингового центра, а мошенники предлагают ввести номер карты на том же сайте.

Иногда сайты получают специальную аккредитацию — и процессинговые центры разрешают им запрашивать данные карты без перехода на другую страницу. Настоящая пиццерия получила такую аккредитацию. Возможно, именно поэтому мошенники и выбрали эту сеть пиццерий.

Данные карты проверяются: только они и нужны мошенникам. По введенному номеру сайт вычисляет контрольную сумму: если она неверна, значит, где-то ошибка. Такой номер карты сайт мошенников не примет.

cHlyZWZ5LnBuZw.jpg

Поле ввода здесь выглядит как на настоящем сайте. Но оплата редко происходит на той же странице и на том же сайте, где выбираются продукты и оформляется заказ


Нет информации о банке. При подтверждении оплаты нет логотипа и наименования банка или другого платежного сервиса, который проводит транзакцию. Логотипы легко подделать, но если их нет вообще — это повод остановиться и ничего не вводить.

Подтверждение оплаты на том же сайте. После нажатия на кнопку «Оплатить» открывается страница, похожая на проверку 3-D Secure — одноразового смс-кода для подтверждения оплаты. Визуально она похожа на страницу банка. На самом деле по адресу страницы видно, что вы находитесь на том же сайте. Мошенники поленились зарегистрировать отдельный адрес, который напоминает название какого-нибудь банка.

Скорее всего, в этот момент номер вашей карты вводят на странице настоящего процессингового центра. Банк отправит вам смс с кодом подтверждения этой операции. Если ввести код на поддельной странице, мошенники его получат и смогут подтвердить настоящую операцию списания с вашей карты.

Если ввели номер карты на таком сайте, нужно как можно скорее ее заблокировать в мобильном приложении или через колцентр банка.

NGI1a3h4LnBuZw.jpg

Подтверждение оплаты происходит на том же сайте, где и продажа товаров «магазина».
Нет логотипа и названия банка

dXVmM2M4LnBuZw.jpg

При вводе любого кода сайт скажет, что он неверный, а мошенники каждый раз будут отправлять повторный запрос,
чтобы списать с вашей карты ту же сумму еще раз

Инструменты​

Еще есть пара чуть менее очевидных способов проверить сайт мошенника.

Проверка домена через Whois. У каждого домена — адреса сайта — есть владелец и дата регистрации. Эту информацию можно получить через специальный сервис Whois: вводите название домена — адрес главной страницы сайта без www и http — и сервис показывает техническую информацию.

Для иностранных доменов дата создания указана как Creation Date. Домен из нашего примера появился пару дней назад. Сайт настоящей пиццерии явно появился раньше.


c3FpOGp6LnBuZw.jpg

Сервис проверки доменных имен Whois у регистратора «Рег-ру».
По этим данным, сайт «пиццерии» создан два дня назад — 18 августа 2020 года. Сайт настоящей компании явно старше

Сертификат безопасности. Для безопасной отправки данных сайты подключают сертификаты подлинности. Отличить защищенные сайты можно по значку замка в адресной строке браузера. Если такого значка на странице ввода номера карты нет или он перечеркнут — это точно мошенники.

В нашем примере мошенники установили такой сертификат. Но это не означает, что сайт настоящий. Внимательно смотрите на адрес сайта в строке браузера. Мошенники могут установить такой сертификат на сайт timkoff.ru — вместо буквы n использована похожая буква m, — но от этого сайт не станет настоящим.

Иногда мошенники экономят и устанавливают бесплатные сертификаты. Срок действия таких сертификатов — несколько месяцев. Сертификаты на настоящем сайте выдаются на 1 или 2 года. Если нажать на значок замка, можно увидеть время действия сертификата.

ZnQ0Z2J6LnBuZw.jpg

Так выглядит окно информации о сертификате безопасности сайта.
Если сертификат выдан лишь на несколько месяцев — это, скорее всего, сайт мошенников

Не только реклама пиццы​

Перечисленные признаки помогают распознать мошенников при любой оплате картой на незнакомом сайте. По отдельности каждый из них может говорить о случайной ошибке — например при настройке сайта. Но если признаков сразу несколько — вас, скорее всего, пытаются обмануть.

Георгий Шабашев, Тинькофф—Журнал

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,180
Reaction score
2,179
Points
613
Location
Новосибирск
It has long been written that scammers advertise their sites on Facebook, but supposedly they are the Facebook team, or how Meta is working on it now, but something is not visible, judging by this article.
I recently posted an article on the same subject here. The market for fakes has skyrocketed on Instagram and Facebook
 
Original message
Давно уже пишут что на Фейсбуке мошенники рекламируют свои сайты, но якобы они - команда Фейсбук, или как сейчас "Мета" работают над этим, но что-то результатов не видно, судя по этой статье.
Недавно здесь тоже размещал статью на подобную тему В Instagram и Facebook резко вырос рынок подделок

До нового года осталось