قراصنة سرقة وغسل الأموال من خلال تقديم الطعام وخدمات حجز الفنادق.

على سبيل الواجب ، عليك البحث في المنتديات السرية للبحث عن أحدث المعلومات حول الثغرات الأمنية وتسريبات كلمات المرور وغيرها من الأمور المثيرة للاهتمام. في بعض الأحيان ننصح ممثلي وكالات إنفاذ القانون بشأن موضوع نقاط الضعف والهجمات والهجمات الجديدة ، وهناك حالات تتقاسم فيها قوات الأمن "آخر الأخبار". أعتقد أن الكثيرين سيتشاركون وجهة نظري فيما يتعلق بحقيقة أنه في حالة وجود "مخطط" أو "ثغرة أمنية" في المنتدى ، كقاعدة عامة ، قام شخص ما منذ فترة طويلة بإزالة كل "الكريمة" منه. والمنتديات خارج منطقة .onion يجب ألا تؤخذ على محمل الجد. ولكن هذه المرة ، تم العثور على الدائرة التي فوجئت بساطتها النسبية والجدة. في الواقع ، ستكون هناك قصة اليوم حول كيفية سرقة المتسللين وغسل الأموال من خلال خدمات توصيل الأغذية.

كيف قتلوا جزءا كبيرا من تمشيط ، الخلفية

يعرف الأشخاص المطلعون على أنظمة مكافحة الاحتيال وأمن المدفوعات المصرفية أن معظم الخدمات التي تقبل المدفوعات عن طريق بطاقة الائتمان عبر الإنترنت قد ربطت منذ فترة طويلة بنظام إضافي للتحقق من المدفوعات عن طريق الهاتف (عبر الرسائل القصيرة أو الاتصال أو التطبيق). لدى VISA مثل هذا النظام المسمى 3-D Secure للثلاثي الأبعاد القصيرة ، وهو يعمل ضمن نظام Verified by Visa (VbV) ، Mastercard لديه تناظرية تسمى Mastercard SecureCode (MCC). خلاصة القول بسيطة ، إذا قمت بإدخال البيانات من بطاقة الائتمان الخاصة بك في مكان ما ، لدفع ناجحة ، ستحتاج أيضًا إلى إدخال الرمز الذي تم استلامه من SMS أو مكالمة أو تطبيق لتأكيد أنك أنت الذي تقوم بعملية الشراء وليس المتسللين يسرقونك.

مع إدخال هذه الأنظمة ، أصبح جزء كبير من المدفوعات من بطاقات الائتمان الخاصة بالأشخاص الآخرين (المسروقة) في طور النسيان.

عمالقة قيمة الإيرادات ودوران أكثر من السلامة

ومع ذلك ، فإن الخدمات الكبيرة المحملة بدرجة كبيرة مثل Booking.com و Airbnb و Amazon.com و Facebook.com قد عطلت أو حدت من استخدام ميزة التحقق الإضافية هذه ، لأنها (على الأرجح) كان لها تأثير كبير على المبيعات والتحويل. بالطبع ، قاموا باستبدالها بالتحقق الإضافي داخل الحساب والشبكات العصبية بأروع حلول مكافحة الغش ، لكن هذا لم يساعد كثيرًا. المشكلة ليست جديدة وتناقش على نطاق واسع ( دليل ). قالت لجنة التجارة الفيدرالية الأمريكية أيضًا أنه بين عامي 2012 و 2016 ، تم تلقي 13 مليون شكوى ، 3 ملايين في عام 2016 وحده ، 13٪ منها عبارة عن سرقة الهوية وبطاقات الائتمان. وهذه بيانات فقط للولايات المتحدة. الحقيقة هي أنه من الأفضل الاحتفاظ بموظفين من المحامين المشاركين في استرداد المدفوعات من بطاقات الأشخاص الآخرين بدلاً من تقليل تدفق الأموال. ونتيجة لذلك ، ظهرت منتديات كاملة مع اقتراح لحجز فندق مقابل 25 ٪ -50 ٪ من التكلفة ( إثبات ). مخاطر العمل لا أكثر.

لذلك ، ظهر مخطط شائع إلى حد ما لغسل الأموال من بطاقات الائتمان المسروقة من خلال خدمات الاستئجار ( مثال على ضحية لبطاقات الائتمان). في إصدار مبسط ، يبدو كما يلي:

1. خذ شقة للإيجار مع الحق في الباطن.
2. سجل شقة على booking.com و / أو Airbnb
3. شراء تفاصيل بطاقة الائتمان المسروقة
4. زعم حجز شقة مع أنفسنا ، وفقا لبيانات البطاقات المسروقة
5. احصل بالفعل على أموال صافية من الحجز أو عبر Airbnb

بطبيعة الحال ، قد تكون خيارات المخطط أعلاه مليون ، من التسجيل في الحجز ، Airbnb الشقق غير الموجودة (هذا حقيقي) ، إلى تسجيل حساب لبياناتك ، دون علم صاحب الشقة / الفندق. يبحث الناس على نطاق واسع عن / يشترون أصحاب الفنادق غير الشرفاء ( إثباتًا ) أو يقدمون خدماتهم ( إثبات ).

لماذا يتم غسل الأموال على وجه التحديد من خلال خدمات تأجير الشقق؟ كما كتبت أعلاه ، لا يوجد (أو الاستخدام المحدود) VBV و 3DS ، والبطاقات هي أسهل "للقيادة" هناك. أيضًا ، غالبًا ما يخطئ أصحاب الفنادق بغسل الأموال من خلال التصريح المسبق والإكمال في محطات نقاط البيع مع دعم الإدخال اليدوي للبطاقات ( دليل ) ، لكن هذه قصة مختلفة تمامًا سأخبرك بها في المرة القادمة.

خدمات توصيل الطعام أيضا لا تهتم بطاقته

GLOVO ، UBER ، Yandex Food وغيرها من خدمات التوصيل الرخيصة اشتعلت بسرعة في حياتنا إلى جانب خدمات حجز الفنادق. وانت تعرف ماذا؟ لا يهتمون حقًا إذا كان اسم صاحب الحساب يطابق الاسم الموجود على بطاقة الائتمان. إنهم لا يهتمون بأين يتسلمون ومكان الحصول على البضائع. VBV و 3DS ليست مهمة للغاية بالنسبة إليهما مثل عمالقة حجز الفنادق ، حيث تعد قيمة العائدات والإيرادات أكثر أهمية.

لذلك ، أثناء العمل على الترتيب التالي لاختبار أنظمة مكافحة الغش في HackControl ، وجمع مخططات احتيالية جديدة ، صادفت "حداثة". توصل الكرادون والمحتالون إلى مخطط يبدو كالتقريب الأول.

1. تسجيل متجر / هوت دوج / مطعم / مقاعد البدلاء في نظام إيصال الأغذية ، أو ببساطة تشير إلى رجل التسليم بالضبط حيث يجب أن يشتري الطلب.
2. يشترون بطاقة ائتمان مسروقة ويرفقونها بالحساب.
3. من خلال بطاقة ائتمان مسروقة وتطبيق توصيل الأغذية ، يتم شراء ساعي مطمئن في متجره الخاص وينتظر التسليم.
4. أنها تعيد الغذاء وهلم جرا في دائرة.

وبطبيعة الحال ، لقد وصفت المخطط بأنه التقريب الأول ، ويقوم المحتالون بتغيير المطاعم والمحلات التجارية وعناوين التسليم ، ولكن جوهر هذا لا يتغير.

إخلاء المسؤولية والاستنتاجات

لا يهدف هذا المنشور إلى إظهار نقاط الضعف في خدمة توصيل طعام معينة أو حجز سكن. لا يدعي أنه دليل شامل لحماية ومنع الأنشطة الاحتيالية. لا يمكن تفسيرها على أنها مكالمة أو دليل للعمل. يعد تزوير بطاقات الائتمان أو استخدام بيانات الأشخاص الآخرين عند حجز الفنادق أو تقديم الطعام أمرًا غير قانوني تمامًا ويعتبر جريمة جنائية.

الاستنتاج الشامل هو أن منشئي أنظمة مكافحة الاحتيال والمديرين المسؤولين عن المخاطر والمهندسين المعماريين يحتاجون في بعض الأحيان إلى النزول إلى "المحصنة" لمعرفة كيف يمكنك استخدام الخدمات التي طوروها. الآن ، خلال نفس اختبار الهندسة الاجتماعية ( الهندسة الاجتماعية ) ، نقدم نحن وشركات أخرى للعملاء لاختبار خدماتهم أيضًا للاحتيال باستخدام منطق الأعمال. اليوم ، حتى اختبار الاختراق دون التحقق من منطق العمل أصبح غير مكتمل بالفعل. لا يشتري رجال الأعمال خدمات القوالب ، فالمبيعات تكون على الأرجح من خلال محللي الأعمال للمساعدة في تحسين عملية معينة ومنع المخاطر. عند إنشاء خدمة توصيل ، يتعين عليك مراعاة ليس فقط المخاطر الرئيسية ، مثل "ولكن ما إذا كانت ستقوم بتوصيل الأدوية من خلالنا" ، ولكن أيضًا في مخاطر الاستخدام غير القانوني للخدمة في أنشطة غير قانونية.