Geekly articles weekly

Los hackers roban y lavan dinero mediante la entrega de alimentos y los servicios de reserva de hotel.

imagen de xakep.ru

Como cuestión de deber, debe profundizar en foros clandestinos en busca de la información más reciente sobre vulnerabilidades, filtraciones de contraseñas y otras cosas interesantes. A veces asesoramos a representantes de agencias de aplicación de la ley sobre el tema de nuevas vulnerabilidades, ataques y esquemas de ataque, y hay situaciones en las que las fuerzas de seguridad comparten sus "últimas noticias". Creo que muchos compartirán mi punto de vista con respecto al hecho de que si un "esquema" o "vulnerabilidad" entró en el foro, entonces, por regla general, alguien ha eliminado desde hace mucho tiempo toda la "crema". Y los foros fuera de la zona .onion no deben tomarse en serio. Pero esta vez, se encontró un circuito que sorprendió con su relativa simplicidad y novedad. En realidad, habrá una historia de hoy sobre cómo los piratas informáticos roban y lavan dinero a través de los servicios de entrega de alimentos.

Cómo mataron a una parte significativa del cardado, el trasfondo


Las personas que están familiarizadas con los sistemas antifraude y la seguridad de los pagos bancarios saben desde hace tiempo que la mayoría de los servicios que aceptan pagos con tarjeta de crédito en línea han conectado un sistema para la verificación adicional de pagos por teléfono (por SMS, llamada o aplicación). VISA tiene un sistema llamado 3-D Secure para abreviar, 3DS , funciona dentro del sistema Verified by Visa (VbV), Mastercard tiene un análogo llamado Mastercard SecureCode (MCC). La conclusión es simple: si ingresó en algún lugar la información de su tarjeta de crédito, para un pago exitoso, también deberá ingresar el código recibido de SMS, llamada o aplicación para confirmar que es usted quien realizó la compra, y no los piratas informáticos.

Con la introducción de estos sistemas, una parte significativa de los pagos de las tarjetas de crédito (robadas) de otras personas quedaron en el olvido.

Los gigantes valoran los ingresos y la facturación más que la seguridad


Sin embargo, los servicios grandes y altamente cargados como Booking.com, Airbnb, Amazon.com, Facebook.com han desactivado o limitado el uso de esta función de verificación adicional, ya que (muy probablemente) tuvo un gran impacto en las ventas y la conversión. Por supuesto, lo reemplazaron con una verificación adicional dentro de la cuenta y las redes neuronales con las mejores soluciones antifraude, pero esto no ayudó mucho. El problema no es nuevo y es ampliamente discutido ( prueba ). La Comisión Federal de Comercio de EE. UU. También dijo que entre 2012 y 2016, se recibieron 13 millones de quejas, 3 millones solo en 2016, el 13% de las cuales son robo de identidad y tarjetas de crédito. Y estos son datos solo para los Estados Unidos. La realidad es que es mejor mantener un equipo de abogados involucrados en el reembolso de los pagos de las tarjetas de otras personas que reducir el flujo de fondos. Como resultado, aparecieron foros completos con una propuesta para reservar un hotel por el 25% -50% del costo ( prueba ). Los negocios ya no corren riesgos.

Entonces, apareció un esquema bastante popular para lavar dinero de tarjetas de crédito robadas a través de servicios de alquiler ( un ejemplo de una víctima de los carders). En una versión simplificada, se ve así:

  1. Alquile un apartamento con derecho a subarrendar.
  2. Registre un apartamento en booking.com y / o Airbnb
  3. Comprar datos de tarjetas de crédito robadas
  4. Supuestamente reservar un apartamento con nosotros mismos, de acuerdo con los datos de las tarjetas robadas
  5. Obtenga dinero neto de Booking o Airbnb

Naturalmente, las opciones para el esquema anterior pueden ser un millón, desde registrarse en la reserva, apartamentos no existentes de Airbnb (esto es real) hasta registrar una cuenta para sus datos, sin el conocimiento del propietario del apartamento / hotel. Las personas están buscando / comprando masivamente a los propietarios de hoteles deshonestos ( prueba ) u ofrecen sus servicios ( prueba ).

¿Por qué se lava el dinero precisamente a través de los servicios de alquiler de apartamentos? Como escribí anteriormente, no hay (o uso limitado) de VBV y 3DS, y las tarjetas son más fáciles de "manejar" allí. Además, los propietarios de hoteles a menudo pecan al lavar dinero mediante la autorización previa y la finalización en terminales POS con soporte para la entrada manual de tarjetas ( prueba ), pero esta es una historia completamente diferente sobre la que les contaré la próxima vez. Volvamos a nuestros proveedores de entrega de alimentos.

A los servicios de entrega de alimentos tampoco les importa la tarjeta de quién


GLOVO, UBER, Yandex Food y otros servicios de entrega baratos irrumpieron rápidamente en nuestras vidas junto con los servicios de reserva de hotel. ¿Y sabes que? Realmente no les importa si el nombre del titular de la cuenta coincide con el nombre de la tarjeta de crédito. No les importa dónde entregar y dónde obtener los productos. VBV y 3DS no son tan importantes para ellos como los gigantes de reservas de hoteles, donde la facturación y los ingresos son mucho más importantes.

Entonces, mientras trabajaba en el próximo pedido para probar sistemas antifraude en HackControl, recolectando nuevos esquemas fraudulentos, me encontré con una "novedad". Carders y estafadores han ideado un esquema que, en una primera aproximación, se ve así.

  1. Registre una tienda / perrito caliente / restaurante / banco en el sistema de entrega de alimentos, o simplemente indique al repartidor exactamente dónde debe comprar el pedido.
  2. Compran una tarjeta de crédito robada y la adjuntan a la cuenta.
  3. A través de una tarjeta de crédito robada y una solicitud de entrega de alimentos, se compra un mensajero desprevenido en su propia tienda y espera la entrega.
  4. Traen comida y así sucesivamente en un círculo.

Naturalmente, describí el esquema como una primera aproximación, y los estafadores cambian los restaurantes, las tiendas y las direcciones de entrega, pero la esencia de esto no cambia.

Descargo de responsabilidad y conclusiones


Esta publicación no tiene la intención de mostrar vulnerabilidades en un servicio particular de entrega de alimentos o reserva de vivienda. No pretende ser una guía completa para la protección y prevención de actividades fraudulentas. No puede interpretarse como un llamado o una guía para la acción. El fraude con tarjetas de crédito, el uso de datos de otras personas al reservar hoteles o entregar alimentos son absolutamente ilegales y constituyen un delito penal.

La conclusión general es que los creadores de los sistemas antifraude, los directores responsables de los riesgos y los arquitectos a veces necesitan ir al "calabozo" para ver de qué otra manera pueden usar los servicios que desarrollaron. Ahora, durante las mismas pruebas de ingeniería social ( ingeniería social ), nosotros y otras compañías ofrecemos a los clientes que prueben sus servicios también por fraude con lógica comercial. Hoy, incluso las pruebas de penetración sin verificar la lógica de negocios ya se están volviendo incompletas. Una empresa no compra servicios de plantillas, es más probable que las ventas a través de analistas empresariales ayuden a mejorar un proceso en particular y evitar riesgos. Al crear un servicio de entrega, debe tener en cuenta no solo los riesgos principales, como "sino si entregarán medicamentos a través de nosotros", sino también otros riesgos del uso ilegal del servicio en actividades ilegales.

Source: https://habr.com/ru/post/465271/

More articles:


All Articles