قبل حوالي ستة أشهر ، في منشور على موقع Geektimes ،
"الرحلات الجوية الرخيصة ... أو شبكة من المواقع الاحتيالية التي تسرق الأموال من البطاقات. تحقيقي "، وصفت حالة حيث ، بالإضافة إلى أموال" تذاكر مزيفة "، تمت سرقة صديقي أيضًا من بطاقة 35200 روبل ، والتي ذهبت لتجديد حساب المحتالين في شبكة الإعلانات Yandex.Direct. كان المبلغ المسروق محدودًا فقط من خلال الرصيد الموجود على البطاقة. إذا كان لا يزال هناك أموال متبقية على البطاقة ، لكانوا قد سرقوا المزيد. وفي تعليقات عمليات الشطب ، أشير إلى "YM * Yandex.Direct". فيما يلي جزء من كشف حساب مصرفي مأخوذ من المنشور المذكور:
في الحالة الموصوفة ، تمت سرقة رقم البطاقة المصرفية "الضحية" ، أو بالأحرى تم الحصول عليها عن طريق الاحتيال على موقع ويب احتيالي. وأكد الضحية تحويل الأموال للتذاكر المزيفة باستخدام رموز 3D الآمنة التي وصلت إلى الرسائل القصيرة من البنك. ومع ذلك ، ذهبت الأموال الخاصة بـ Yandex.Direct opal في أوقات مختلفة دون أي طلبات إضافية لحامل البطاقة ، بدون شيكات 3D Secure ، إلخ.
على الرغم من أن المحتالين كتبوا في منتديات الظل أن Yandex لا تستخدم 3D Secure حقًا عند الدفع باستخدام Yandex.Direct ، لم يكن من الممكن تأكيد ذلك. مع اختبارنا الخاص لتجديد رصيد Yandex.Direct من خلال الموقع ، يتم دائمًا إجراء فحص إضافي باستخدام رموز الرسائل القصيرة من البنك. حتى اعتقدت أن ياندكس ، نتيجة للنشر الأول ، قامت بسرعة بإصلاح خدماتها. بالنسبة لي ، وأعتقد ، بالنسبة للكثيرين ، ظل من غير الواضح لفترة طويلة كيف تحايل المخادعون على هذا الشيك. وهكذا وجدت عن طريق الخطأ هذه الطريقة البسيطة التي تكمن على السطح ، والتي لا تزال تعمل.
إلى كل من تبجح في التعليقات على المقال الأول بـ "الحماية الفائقة" لبطاقاتهم وأشاد ببنوكها ، أقترح التحقق من متانتها عند الدفع لـ Yandex. مباشر.قبل أن نواصل ، تحت المفسد ، يمكنك أن ترى كيف تبدو طريقة الدفع إذا قمت بتجديد الرصيد من خلال حساب Yandex.Direct الشخصي باستخدام متصفح وإصدار كامل من الموقع. لا توجد أسئلة حول النسخة الكاملة من الموقع.
قم بتعبئة رصيد Yandex.Direct من خلال الموقع لا يمكنني القول أنني اكتشفت شيئًا. الطريقة بسيطة للغاية ولاستخدامها تحتاج فقط إلى تثبيت تطبيق Yandex.Direct للهواتف المحمولة والدفع ببطاقات الائتمان من خلال هذا التطبيق. من المرجح أن عددًا كبيرًا من مستخدمي Yandex المحترمين قد استخدموا هذه الطريقة في تجديد الرصيد ، لكنهم لم ينتبهوا إلى نقص الشيكات ، أو تركوا هذه النقطة لضمير المطورين. يتم وصف تسلسل دفع بسيط أدناه باستخدام مثال تطبيق جوال لنظام iOS.
نضغط على النقش "تجديد الحساب العام".أدخل المبلغ واختر الدفع عن طريق البطاقة.أدخل بيانات البطاقة.تم حفظ بيانات الخريطة. عند الحفظ الأول ، يتم خصم 2 روبل تلقائيًا من البطاقة للتحقق ، ثم يتم إرجاع نفس المبلغ.
كل هذا يحدث بدون استخدام 3D Secure! لا يأتي SMS وما إلى ذلك. للدفع يكفي أن تعرف رقم البطاقة ، فترتها و CVV. عند الاختبار ، تم استخدام بطاقة Sberbank ، والتي وفقًا لها لأي عمليات شراء أخرى عبر الإنترنت ، تأتي الرسائل القصيرة دائمًا مع رموز التحقق.
لقطة شاشة مع التحقق من بطاقة SMS والدفعة الأولى.يتم حفظ بيانات البطاقة على الهاتف بشكل افتراضي. علاوة على ذلك ، لا يسأل تطبيق الهاتف المحمول المستخدم ما إذا كان يريد حقًا تخزين بيانات البطاقة على الهاتف. مع الدفعات اللاحقة باستخدام بطاقة تم التحقق منها مسبقًا ، يتم تسريع عملية تجديد الرصيد في Yandex.Direct بشكل أكبر. يكفي اختيار بطاقة محفوظة مسبقًا والنقر على زر "الدفع" في أسفل الشاشة. تم إدخال المبلغ الافتراضي بالفعل كما كان في الدفعة السابقة. يطير المال على الفور. لا يُطلب من المستخدم حتى سؤال إضافي عما إذا كان يريد حقًا تحويل المبلغ.
في حساب Yandex.Direct الشخصي ، يتم تسجيل مدفوعات البطاقة باستخدام 3D Secure والمدفوعات بدون التحقق الكامل في دفتر الدفع ، بشكل مختلف. يتم توقيع الدفعات من خلال النموذج في حسابك في النسخة الكاملة من الموقع بواسطة "البطاقة المصرفية" ، ويتم توقيع الدفعات من خلال تطبيق الهاتف المحمول من خلال "الثقة ، البطاقة المصرفية". "الثقة" لا علاقة لها باسم البنك.
لكي يكون هناك أي موقع احتيالي ، يجب أن يجذب زوار الموقع بأي شكل من الأشكال ، وقد يصبح بعضهم ضحايا الاحتيال. لا تدوم المواقع الاحتيالية طويلاً لأنه يتم حسابها وإغلاقها بمرور الوقت. بالنسبة إلى مواقع الاحتيال الجديدة ، يكاد يكون من المستحيل الإعلان بطريقة صادقة للحصول على المزيد من الزيارات من محركات البحث. حتى لو كانت هذه المواقع غير مبررة لمدة عام كامل ، فإنها عادة لا تقع في الصفحات الأولى من النتائج. لا تزال هناك الطريقة الوحيدة لجذب الزوار - لوضع الإعلانات المدفوعة. الإعلان على الطلبات القطبية (على سبيل المثال ، "الرحلات الجوية الرخيصة إلى أنابا") باهظ الثمن ولن ينفق المحتالون أموالهم. للقيام بذلك ، لديهم بيانات البطاقات المسروقة التي يمكنك من خلالها بسهولة نقل عشرات ومئات الآلاف من الروبل إلى شبكة إعلانات ياندكس. أموال شخص آخر ليست شفقة ، ومن أجل الوصول إلى المركز الأول في المشكلة ، يمكن للمحتالين دفع Yandex أي تكلفة للنقرة: 100 روبل ، 200 روبل ، إلخ. أعتقد أنه لن تمانع شبكة إعلانية واحدة في أن شخصًا ما يريد مشاركة الأموال معها.
أنشأت Yandex برنامجًا مثاليًا للتضمين في ترسانة المحتالين. يكفي شراء هاتف ذكي قديم وبطاقة SIM "يسار". تم تثبيت تطبيق على الهاتف الذكي. يتم إدخال رقم البطاقة المسروقة فيه. ومن أي ركن في العالم حيث توجد شبكة هاتف محمول أو شبكة wifi ، يمكنك سرقة المال بنقرة واحدة. بالنسبة لأكثر الأشخاص المشبوهة ، بعد أسبوع أو شهر ، يمكن تغيير الهاتف الذكي وبطاقة SIM. من شبه المستحيل تتبع مثل هؤلاء المحتالين.
الجميع سعداء باستثناء مالكي البطاقات التي يسحبون الأموال منها. استنادًا إلى الحالة الحقيقية الموضحة في المقالة الأولى ، حتى إذا اتصلت بسرعة بـ Yandex بعد أقل من 12 ساعة من تحويل الأموال إلى Direct ، يرد Yandex على الفور: "بناءً على طلبك ، أجرينا تحقيقًا واتخذنا جميع الإجراءات اللازمة. للأسف ، تم إنفاق المال بالفعل ، ولم نتمكن من إعادته ... ". إذا اتصلت بسرعة بالمصرف الذي تتعامل معه ، فيمكنك محاولة إعادة الأموال ، خاصة مع الأخذ في الاعتبار أنه تم خصمها بدون التحقق من 3D Secure. كما أظهرت المقالة الأولى ، تمت إعادة الأموال في حالة معينة ، بعد تقديم طلب إلى بنك المرسل. ولكن قبل عودة الأموال ، يضطر ضحايا المحتالين إلى الكتابة إلى ياندكس ، إلى مصرفهم ، إلى الشرطة ، وما إلى ذلك ، والانتظار لمدة شهر للعودة ، على أمل حدوث معجزة. وفي الوقت نفسه ، يقوم المحتالون لبضع نقرات بإدخال البيانات المسروقة للبطاقة التالية في التطبيق وإطلاق سلسلة جديدة من سلسلة لا نهاية لها.
أو ربما لا يزال بإمكانك إضافة فحص آمن ثلاثي الأبعاد عند تجديد الرصيد في Yandex.Direct؟