FinNews.ru перепечатывает статью, опубликованную на сайте "geektimes.ru".

В этой публикации речь пойдёт о целой сети мошеннических сайтов, которые на протяжении долгого времени работают с единственной целью – похитить данные банковских карт и увести все доступные денежные средства с этих карт. В этой схеме используются на разных этапах сервисы известных компаний и банков. Таких как Яндекс (Поиск, Директ, YandexMoney, Карты), "Промсвязьбанк", банк "Тинькофф" и, вероятно, других.

История эта началась совсем недавно. Всего пять дней назад и, можно сказать, что пока ещё не закончилась. Один мой знакомый обратился ко мне за консультацией с вопросом, можно ли как-нибудь закрыть "нехороший сайт"…

Итак, что же случилось?

Мой знакомый захотел купить авиабилеты и решил, что самый простой для этого способ – задать вопрос Яндексу. На простой запрос типа "самые дешёвые билеты в Анапу" Яндекс одну из первых ссылок выдал на некий сайт, который служит для поиска и покупки дешёвых билетов без комиссии. Ссылка эта, вероятно, была в верхнем рекламном блоке. Перейдя по ссылке, мой знакомый нашёл себе подходящие билеты, оформил заказ, и попал на страницу оплаты с помощью банковской карты…

Сайт этот для среднего человека, если не вдаваться в детали, может оказаться совершенно обычным сайтом по поиску билетов и не вызвать подозрений. Домен _aviapromo.eu_

Мой знакомый оплатил билеты. При оплате по смс приходили коды подтверждения 3d Secure, которые, как это бывает обычно, нужно было вводить в браузере на соответствующей странице. Получив на почту "маршрутные квитанции" и считая, что билеты куплены, мой знакомый пошёл заниматься своими делами.

На следующий день на телефон стали приходить "непонятные смс". Сначала пришла смс на списание с суммой в 2 рубля, и в ту же минуту эти 2 рубля вернули на карту с примечанием "отмена покупки". Ещё через 2 часа непонятное списание и возврат 2 рублей повторились. И ещё через минуту началось что-то невероятное. С карты списали 17 700 рублей. Ещё через 10 минут списали дополнительно 17 700 рублей. Ещё через 10 минут пытались списать 11 800 рублей. Последняя операция не прошла только из-за того, что на карте кончились деньги. Я думаю, что если бы на карте был бы больший остаток, то списания бы продолжались каждые 10 минут до тех пор, пока не пришёл бы отказ.

В момент первой "непонятной смс про 2 рубля", хоть это и показалось подозрительным, карта не была заблокирована. Все последующие списания были выполнены в течение 20-30 минут. Мой знакомый в это время был в общественном транспорте. Пытался дозвониться в "Сбербанк" для блокировки карты. Но, как это обычно бывает, банк предлагал понажимать кнопочки в голосовом меню, а затем подождать в очереди. Быстро заблокировать карту через кол-центр банка не получилось. А приложение на смартфоне, через которое тоже можно было бы заблокировать карту, не было установлено. Карту потом заблокировали, но было уже поздно – деньги утекли. На следующий день мой знакомый написал заявление в "Сбербанк". На данный момент заявление находится на стадии рассмотрения. Карту перевыпустили.

Ещё через два дня, уже когда карта была заблокирована, была попытка списать с карты 11 800 рублей, а ещё через день новая попытка списать ещё 23 600 рублей. То есть это ещё раз подтверждает, что тормозов у мошенников не было.

И на десерт, ко всем этим неожиданным списания, выяснилось, что никакой брони в авиакомпании нет, и не было. То есть авиабилеты не были забронированы. Все было обманом и деньги ушли в неизвестном направлении.

В результате с карты украли (потери за оплаченные билеты и последующие списания) в общей сумме составили 47 377 рублей. А могло бы быть гораздо больше.

Теперь попробуем разобраться, что же на самом деле произошло и где можно было обнаружить подвох.

1. Домен в зоне EU должен был по крайней мере насторожить.

2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.

3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году. А само название компании в выписке ЕГРЮЛ и на сайте не совпадает, на сайте частично изменено. Проверить данные по ОГРН, ИНН и названию юридических лиц можно в базе налоговой инспекции egrul.nalog.ru.

4. Рейтинги сайта ТиЦ и PR нулевые (это видно в тех редких случаев, когда в браузере установлена панель вебмастера или что-то похожее).

5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5 900 рублей за каждый авиабилет, а в смс от банка пришло назначение "Списание 5900.00 P2P PSBANK", а после оплаты этих 5 900 рублей, приходила смс о том, что списано 5 988,50 рублей. Что такое "P2P" конечно знают не все. Можно было бы поискать. "P2P" – это сервис перевода с карты на карту. А сумма списания больше, чем сумма платежа, потому что банк, через который производился платёж, берет за это комиссию. Т.е. реально деньги, которые якобы оплачивались за авиабилеты, переводились на чью-то банковскую карту через сервис PSBANKa ("Промсвязьбанк"). При этом покупателю банк присылал проверочный код 3D Secure, который покупатель, ничего не подозревая, вводил в браузере.

6. Если с переводом на карту для меня понятно, что владельца карты ввели в заблуждение, чтобы он сам ввёл код 3D Secure, то с последующими списаниями без проверки 3D Secure, для меня ситуация не совсем понятна. Я ни разу не сталкивался с ситуацией, чтобы "Сбербанк" в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS). Единственный исключение, когда смс не запрашивается – это когда операции производятся через мобильное приложение "Сбербанк-онлайн" на телефоне. Но телефон похищен не был, и данные от личного кабинета похищены не были. Очевидно, что были получены только данные банковской карты моего знакомого. И, имея только данные карты, деньги списывались при использовании сервиса YM (Yandex.Money) в пользу Yandex.Direct (рекламная сеть Яндекса). Здесь есть явно какая-то недоработка в системе безопасности и возникает вопрос либо к "Сбербанку", либо к Яндексу, как они такое позволяют делать.

В результате складывается примерно такая картина работы мошеннического сайта:

Сайт через рекламу в Яндекс.Директ привлекает посетителей. Без рекламы таким сайтам выбраться в топ выдачи практически нереально. Выглядит сайт в чем-то похожим на нормальные сайты. Поиск рейсов и свободных мест работает отлично. Для этого сайт принимает запрос посетителя, просит его подождать, сам отправляет запрос на какой-то другой сайт, на котором есть реальные данные по авиабилетам, из полученного ответа вырезается лишнее и подготовленная информация выдаётся на своей странице. Вполне возможно, что и цены немного корректируются (цены я не проверял). Дальше посетитель оформляет заказ, вводя свои данные. Ввод данных выглядит также, как и на многих других сайтах по продаже билетов. После ввода данных и подтверждения заказа, покупателю сообщают код заказа и дают 24 часа на оплату. При оплате оригинальная страница одного из банков с сервисом перевода P2P переделывается определённым образом (об этом ниже) и встраивается на мошеннический сайт. "Покупатель" авиабилетов, если не заметит подвох, переводит деньги на какую-то чужую банковскую карту. При этом данные банковской карты "покупателя" перехватываются и в дальнейшем используются для списаний – при этом пополняется счёт какого-то аккаунта в Яндекс.Директ для последующей рекламы и поиска новых жертв. Дальше все тоже самое по кругу.

После всей этой истории было написано заявление в полицию (на рассмотрении), в "Сбербанк" (на рассмотрении), в Яндекс, хостинг-провайдеру и др.

Мошеннический сайт размещался на хостинге FirstVDS. По моему заявлению с подробным описанием аккаунт мошеннического сайта заблокировали. Правда, через полдня опять разблокировали. Но по повторному заявлению опять заблокировали (надеюсь, уже навсегда), сославшись на то, что разные отделы провайдера не разобрались. Конечно, это не полная блокировка – мошенники могут поменять хостинг.

Одержав хоть маленькую и временную, но победу с закрытием сайта, нужно было решать вопрос с авиабилетами. И какого же было удивление, когда по аналогичному поисковому запросу Яндекс на первой строчке рекламного блока выдал другой сайт, который имел слегка изменённый дизайн, но имел практически тот же функционал и похожий движок. Его цель – обман посетителей, кража денег и данных кредитных карт. То есть, после того, как один сайт задушен, тут же появляется новый сайт (точнее он и раньше работал, просто в рекламе поднимаются не все сразу). Адрес другого сайта, по "якобы продаже авиабилетов" – _avia-scanners.ru_.

То, что этот сайт мошеннический, видно сразу, даже не вникая в технические детали. Указанный ИНН не существует, указанный ОГРН не существует, указанное юридическое название не существует, указанный почтовый адрес не существует итп. ИНН вообще указан двенадцатизначный, что бывает только у ИП и физлиц.

На заглавной странице картинки, которые должны вести на страницы скачивания мобильных приложений (в AppStore, Google Play и магазине для Windows Phone). Но все эти картинки не содержат ссылок на мобильные приложения.

В этот раз было решено более детально разобрать, как же этот сайт вводит пользователей в заблуждение на странице оплаты. Технология оказалась несложная.

Посмотрим исходный код страницы. Видим подозрительные папки "...P2P..." с различными скриптами. В этих скриптах я не нашёл ничего интересного, что могло бы быть связано с похищением средств. В основном там были скорее всего не модифицированные скрипты банка, про который речь пойдёт ниже.

А вот канонический адрес страницы нам интересен. Мы здесь видим, что фактически страница сервиса банка "Тинькова" (_www.tinkoff.ru/cardtocard/_) почти полностью включена в мошеннический сайт. Причём, здесь используется не окно iframe. Здесь именно при использовании промежуточной обработки на сервере хостинг-провайдера страница скачивается с сайта "Тинькова", потом на сервере модифицируется и почти полностью с небольшими "бонусами" выкладывается.

Моё предположение было, что в HTML коде должен быть скрытый блок DIV, скрытая форма или что-нибудь похожее. А скорее всего несколько таких скрытых блоков. И предположение подтвердилось. Нажимаем в браузере F12 (средства для веб-разработки). Находим нужный нам скрытый блок. Видим в колонке справа его свойство display:none. Щелкаем по чекбоксу, чтобы отключить свойство display:none и… Тайное становится явным. Мы видим предзаполненную форму с номером чужой кредитной карты, на которую должны уйти наши деньги.

А вот так выглядит оригинальная страница банка "Тинькова". Правда похоже? То есть, что происходит? Форма частично заполняется. Из этой формы скрывается всё лишнее (блок с картой получателя), часть какая-то, может быть, даже не скрывается, а вырезается на сервере. И эта страница в изменённом виде подсовывается посетителям сайта, в надежде, что они ничего не заподозрят.

И на десерт вот исходный html код с предзаполненным номером банковской карты получателя. Давайте попробуем разобраться, что в коде происходит.

В коде задан массив с номерами карт получателей. Эти номера скриптом подставляются в форму оплаты. Теоретически может быть семь разных карт получателя и при каждой неудачной попытке оплаты номер карты должен меняться. Но, вместо семи разных номеров, задан один и тот же номер несколько раз. То есть, при неудачной попытке следующая попытка будет с тем же самым номером карты получателя.

И для того, чтобы был порядок, при каждой попытке оплаты данные передаются на страницу на этом мошенническом сайте, которая все записывает для бухгалтерии. Вечером, вероятно, придёт "бухгалтер" и проверит записи в журнале.

При каждом посещении страницы оплаты (можно, например, разными браузерами попробовать), в поле получателя платежа подставляется новый номер карты. Вот номера карт, на которые мошенники выводили деньги, крадя их у посетителей сайта по продаже авиабилетов. Этих карт точно намного больше. Привожу номера на случай, если кто-нибудь заинтересуется статьёй и захочет провести проверку…

5106 2160 0313 4297

5106 2160 0408 7015

5106 2160 0310 8804

Что в этих картах сходного? Правильно, начальные цифры 5106 21…

Попробуем поискать по базе BIN номеров банков.

Вот такой интересный результат получается:

Issuing Bank: YANDEX MONEY NBCI.LLC

Card Type: MASTERCARD

Случайным образом мошенники используют рекламу от Яндекса (Яндекс.Директ), сервис перевода денег Yandex.Money и дополнительно через сторонние банки выводят средства на банковские карты, выпущенные Яндексом. Абсолютно точно Яндекс в этих махинациях никак не замешан, но Яндекс мог бы сильно помочь в уменьшении количества мошеннических операций. Возможно для этого какие-то правила или регламенты нужно изменить. Письма в Яндекс я тоже писал. Информацию они приняли, как распорядятся ей, я не знаю. Помочь с блокировкой средств они мне не смогли, но написали, "По Вашему запросу мы провели расследование и приняли все необходимые меры..." Что меня приятно удивило в службе поддержки Яндекса, касающейся мошеннических операций, – в полтретьего ночи пишешь им письмо – через 10-15 минут приходит ответ живого человека.

Судя по сообщениям, которые я нашёл в интернете, эти сайты работают давно и количество пострадавших немаленькое. А, по прикидкам, пострадавших может быть довольно много. В интернете есть сообщения о пострадавших и годичной давности, а есть сообщения, размещённые пять дней назад, об оплаченных авиабилетах на мошенническом сайте, про который я в первой половине написал.

Но и это ещё не все. На многих мошеннических сайтах по продаже авиабилетов есть одна общая черта, однозначно объединяющая их, и указывая, что они относятся к одной группе. Здесь не буду писать, что это за особенность, чтобы не помогать злоумышленникам. Но вот только некоторые мошеннические сайты из этой группы найденные за несколько минут: _avialex.ru_, _avia-kassa.ru.com_, _flyseven.ru_, _aviasalesdirectly.ru_, _avia-run.ru_, _aviasalle.com_.

Часть из этих сайтов уже заблокирована и находится в черных списках на разных отзовиках. Последний сайт в списке сейчас прикинулся зайчиком. Это был очередной сайт, который ждал своего звёздного часа. Он тоже расположен на хостинге FirstVDS. Сайт временно отключил мошеннический функционал, после того, как я и его попросил заблокировать. Поэтому пока его не заблокировали.

То есть, мы видим, что это не разовая поделка. Мошенники годами используют отработанную схему. Используются домены в разных зонах, разные хостинги, сервисы разных банков для переводов с карты на карту (кроме "Тинькова" и "Промсвязьбанка" могут быть и другие), вывод денег производится на большое количество карт. Если только с одной карты можно легко угнать 47 000 рублей, то какие могут быть в общем объёме вороваться суммы?

Со своей стороны, я разных писем и заявлений много написал. Но всю сеть победить одному человеку затруднительно, если только не положить на это 100% своего времени.

Главное, будьте бдительны при оплате авиабилетов на незнакомых сайтах и тогда и мошенникам будет сложнее.

UDP.

Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг у этого сайта sprinthost.ru – отличается от первого). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.

Кто-то из читателей успел поиграть с ним. Но сейчас он не доступен. На главной странице "Forbidden/ You dont have permission to access / on this server. Apache/2.4.17 Server at avia-scanners.ru Port 80"

Почему _avia-scanners.ru_ стал недоступен, точной информации нет. Может не выдержал нагрузки, может представитель провайдера прочитал статью и закрыл сайт, может представители банка ТКС или "Сбербанка" прочитали статью и написал провайдеру, может Яндекс как-то посодействовал, может кто-то из представителей правоохранительных органов, а может админ этого сайта, завсегдатай geektimes и, прочитав статью, осознал, что был не прав, и решил встать на путь исправления.

В любом случае, ваша активность помогла закрыть ещё один фишинговый сайт. Я надеюсь, что это спасёт кого-нибудь из потенциальных покупателей авиабилетов, от попадания в неприятную историю

UDP2 (27.09.2016)

Как я писал, количество сайтов может быть очень большим. Спасибо пользователю triton, он в комментариях указал ещё три новых точно таких же мошеннических сайта _flying-avia.ru_, _scanner-ticket.ru_, _scanner-aero.ru_. Я уверен, что есть или появятся в ближайшее время и другие сайты. В нижней части этой публикации размещу сводную таблицу. Если кто-то ещё найдёт подобные сайты, готов добавить информацию о них в эту таблицу.

Пока три найденных новых сайта работают и те, кто не успел препарировать предыдущие сайты до того, как их закрыли, может сделать это сейчас. Эти новые три сайта работают практически одинаково, по той же самой схеме, что и разобранный в статье _avia-scanners.ru_. Минимальное изменение дизайна, минимальное изменение контактных данных. Мелочи типа девятизначного ИНН не принимаются в расчёт. Используется тот же самый сервис банка "Тинькова", что очень хорошо видно на скриншотах.

На новых трёх сайтах обнаружены следующие номера кредитных карт, на которые мошенники выводят средства:

5106 2160 0451 0834 получена на _flying-avia.ru_

5106 2160 0909 7977 получена на_scanner-ticket.ru_

5106 2160 0451 0834 получена на_scanner-aero.ru_

Два из трёх указанных сайтов, предлагают выводить средства на одну и ту же карту. Причём, эти два сайта, хоть и расположены у одного хостинг-провайдера, но работают на разных IP (см. таблицу внизу). И опять новые карты выпущены Яндекс.Банком.

Дополнительно на новых сайтах при оплате предлагается на выбор два способа оплаты. Первый – картами, второй через терминалы. На первых описываемых сайтах, если я ничего не пропустил, не было возможности оплатить "авиабилеты" через терминал. Давайте посмотрим, как же происходит оплата через терминал. На сайтах выложена подробная инструкция "как оплатить через терминал" Инструкция длинная, размещена под спойлером. В этой инструкции вообще хитростей нет. Невнимательным покупателям предлагается просто прийти к терминалу и положить деньги на чей-то QIWI кошелек. Номер телефона кошелька в инструкции указан.

Примечание по списку сайтов в таблице. Когда я начал составлять эту таблицу, я подозревал, что подобных сайтов много, но не подозревал, сколько именно. Простой поиск в поисковых системах даёт ссылки на как минимум на пару десятков подобных сайтов. Некоторые из них ещё есть в поисковиках, но уже недоступны (можно посмотреть только закешированную версию). Список ранее действовавших подобных сайтов, но уже заблокированных составляет более 400 штук. Поэтому с вашего позволения, я эту таблицу больше не буду дополнять, за исключением каких-либо особенных сайтов, разбор которых может быть интересен.

Негативные отзывы, истории кражи денег при покупке билетов, черные списки можно найти на разных интернет-сайтах. При таком масштабе, в рамках этой статьи не имеет смысла в дежурном режиме обновлять таблицу. Масштаб действий мошенников на сайтах якобы продажи авиа (и иногда жд) билетов понятен. Когда есть один сайт, то мошенника вычислить и поймать не всегда возможно. Когда есть десятки и сотни сайтов, то, наверняка, мошенники не могут работать так, чтобы не оставалось следов. Или у провайдеров, или у банков, или у интернет-компаний, или у регистраторов доменов, или ещё где-то должны оставаться следы. Поэтому если будет чьё-то волевое решение, то всю эту схему можно расследовать и найти ответственных за неё лиц.

UDP3:

Спасибо пользователю semb. В комментариях он указал ещё на один сайт _pilotavia.ru_

Этот сайт примечателен тем, что он как две капли похож, на сайт _aviapromo.eu_ (на тот сайт, на котором герой этой статьи имел "неосторожность купить авиабилеты". Сайт этот продолжает работать. Это не просто похожий сайт, а такой же сайт, просто размещённый на другом хостинге и домене. Теперь есть возможность посмотреть подробнее, как сайт работает. Для тех, кто хочет поэкспериментировать, можно сразу начинать со ссылки _https://pilotavia.ru/?code=BX3FKT_ (Это ссылка с оформленным заказом, на которой есть возможность перейти к оплате. Времени на оплату дают 24 часа). Заглавная страница, страница поиска рейсов и страница оплаты_pilotavia.ru_ такие же как у первого в статье сайта.

На следующей странице в панели вебмастера по загрузке файлов видно, что реальные данные по наличию мест на рейсах получаются с нормального не мошеннического сайта aviacassa_ru. Текстовые данные, вероятно, корректируются на сервере, а ссылки на картинки остаются без изменений.

Тем, кто спрашивал про https и детали сертификата. Появилась возможность проверить. Сайт использует защищённое соединение и сертификат от Lets Encrypt. Интересная особенность – сертификат выпущен сроком на три месяца. Это, наверное, для экономии? Реально оценивают срок жизни такого сайта.

Ещё одна деталь. Сайт использует сервис Webvisor от Яндекса. Видно по запросам в нижней части панели на картинке ниже. Для тех, кто не в курсе это очень удобный сервис для записи поведения пользователей на сайте. Потом можно смотреть что-то похожее на видео про то, что пользователи делали на сайте. Использование вебвизора означает несколько моментов. Мошенник зарегистрировал сайт в Яндекс.Метрике имеет подробную статистику о действиях пользователей на его сайте. Возможно даже номера карт получаются из данных вебвизора, хотя скорее всего номера карт записываются программным путём на сайте. Оборотная сторона медали – у Яндекса хранится полностью запротоколированная история всех операций на фишинговом сайте. Т.е., теоретически, если к этой информации получат доступ правоохранительные органы (если это в принципе осуществимо), то можно полностью восстановить картину по каждому случаю мошенничества и понять объем мошеннических операций.

Теперь про сам механизм кражи денег _pilotavia.ru_, а значит и _aviapromo.eu_. Это сайты не используют страницу банка "Тинькова". Поскольку кража денег, описываемая в этой статье, была осуществлена через P2P PSBANK ("Промсвязьбанк"), было предположение, что точно так же страница "Промсвязьбанка" изменяется и подставляется пользователю. Но при анализе HTML кода страницы оплаты я не обнаружил, никаких частей страниц каких-либо банков, не используются встраиваемые окна iframe, вообще не используются скрипты, а сама страница очень простая и не похожа на страницу "Промсвязьбанка". По сути, это страница представляет собой только форму для ввода номера карты. При подтверждении формы обработка передаётся программе payp2p.php. Это программа может делать что угодно, но код её нам недоступен. Код выполняется на стороне сервера. Вероятно, эта программа получает данные карты, а дальше программным путём на стороне сервера каким-то образом заполнят форму "Промсвязьбанка", а у пользователя запрашивает код подтверждения 3D Secure. Данные карты естественно сохраняются и могут быть в дальнейшем использованы для дополнительных списаний на разных сайтах. Если кто-то более подробно сможет вычислить алгоритм работы этого сайта – буду благодарен. По заявлению в полицию начато расследование – любая информация, которая может раскрыть преступную схему, приветствуется.

UDP4 (27.09.2016): Информация, для тех, кто спрашивал.

На данный момент деньги не вернули ни по платежам, которые ушли на чужие карты, ни по платежам, которые ушли в Яндекс.Директ. (Про платежи в Яндекс.Директ в банк было подано заявление менее через за 24 часа после списаний). Официального ответа от "Сбербанка" нет (15 дней ещё не прошло). Сегодня для следователя делали бумажную выписку в отделении "Сбербанка". Суммы списаны. Про получателей платежей в выписке никакой дополнительной информации нет.

UDP5 (30.09.2016). Пользователь Vad_R в личку прислал свою реальную историю "покупки авиабилетов", при которой у него четыре месяца назад с карты украли ~ 20 500 рублей. Этот случай добавляю в публикацию, чтобы показать какие ещё бывают "способы относительно честного отъёма денег у населения".

Если коротко, то на первых этапах оформление выглядит очень красиво, а после ввода данных банковской карты, они просто отправляются мошенникам, которые даже не стали утруждать себя какой-либо маскировкой своих действий. В последнем сообщении, которые видит пользователь допущены как минимум три грамматические/орфографические ошибки. Вероятно, в этом случае работали двоечники…

После ввода данных карты деньги были выведены переводом на чью-то чужую карту через сервис MMBANKa ("Банка Москвы"). Деньги вернуть не удалось. Заявление в полицию было написано. Дело закрыто "из-за отсутствия события преступления"

Подробности этого случая

UDP6 (06.10.2016) "Сбербанк" на обращение потерпевшего от 20.09.2016 "ответил". Написали, что срок рассмотрения продлили дополнительно на 30 дней. Деньги на данный момент не вернулись.

UDP7 (19.10.2016) Деньги, которые были списаны за Яндекс.Директ, вернулись 12.10.2016 (17 700 рублей +17 700 рублей). Возврат произошёл через 22 дня с момента подачи заявления в банк.

Деньги, которые ушли на чью-то карту ~ 5 900 рублей +5 900 рублей +комиссия на данный момент не вернулись.