Vor ungefähr sechs Monaten, in einer Veröffentlichung auf Geektimes,
„Günstige Flüge ... oder ein Netzwerk betrügerischer Websites, die Geld von Karten stehlen. Meine Untersuchung “, beschrieb ich einen Fall, in dem mein Freund neben dem Geld für„ gefälschte Flugtickets “auch eine Karte mit 35.200 Rubel gestohlen wurde, mit der das Konto von Betrügern im Yandex.Direct-Werbenetzwerk aufgefüllt wurde. Der gestohlene Betrag wurde nur durch das Guthaben auf der Karte begrenzt. Wenn noch Geld auf der Karte wäre, hätten sie mehr gestohlen. In den Kommentaren der Abschreibungen wurde „YM * Yandex.Direct“ angegeben. Unten finden Sie ein Fragment eines Kontoauszugs aus der genannten Veröffentlichung:
Im beschriebenen Fall wurde die Bankkartennummer des „Opfers“ gestohlen oder vielmehr auf einer betrügerischen Website betrügerisch erhalten. Das Opfer bestätigte die Überweisung von Geldern für gefälschte Tickets anhand der 3D-Sicherheitscodes, die von der Bank an die SMS gesendet wurden. Die Mittel für Yandex.Direct-Opal gingen jedoch zu unterschiedlichen Zeiten ohne zusätzliche Anfragen an den Karteninhaber, ohne 3D Secure-Schecks usw.
Obwohl Betrüger in Schattenforen geschrieben haben, dass Yandex 3D Secure beim Bezahlen mit Yandex.Direct nicht wirklich verwendet, konnte dies nicht bestätigt werden. Bei unseren eigenen Tests des Nachfüllens von Yandex.Direct-Guthaben über die Website wurde immer eine zusätzliche Überprüfung mit SMS-Codes der Bank durchgeführt. Ich dachte sogar, dass Yandex als Ergebnis der ersten Veröffentlichung seine Dienste schnell reparierte. Für mich und, glaube ich, für viele war lange Zeit unklar, wie die Betrüger diese Überprüfung umgangen haben. Und so fand ich versehentlich diese einfache Methode, die auf der Oberfläche lag und die immer noch funktioniert.
Allen, die sich in den Kommentaren zum ersten Artikel des "Superschutzes" ihrer Karten rühmten und ihre Banken lobten, empfehle ich, sie bei der Zahlung von Yandex auf Haltbarkeit zu überprüfen. Direkt.Bevor wir fortfahren, können Sie unter dem Spoiler sehen, wie die Zahlungsweise aussieht, wenn Sie den Restbetrag über das persönliche Konto von Yandex.Direct mit einem Browser und der Vollversion der Website auffüllen. Es gibt keine Fragen zur Vollversion der Website.
Yandex aufladen. Direktes Guthaben über die Website Ich kann nicht einmal sagen, dass ich etwas entdeckt habe. Die Methode ist äußerst einfach und um sie zu verwenden, müssen Sie nur die Yandex.Direct-Anwendung für Mobiltelefone installieren und über diese Anwendung mit Kreditkarten bezahlen. Es ist wahrscheinlich, dass eine große Anzahl seriöser Benutzer von Yandex.Direct diese Methode zum Auffüllen des Guthabens verwendet hat, jedoch nicht auf das Fehlen von Überprüfungen geachtet oder diesen Punkt dem Gewissen der Entwickler überlassen hat. Eine einfache Zahlungssequenz wird unten am Beispiel einer mobilen Anwendung für iOS beschrieben.
Wir klicken auf die Aufschrift "General Account auffüllen".Geben Sie den Betrag ein und wählen Sie Zahlung per Karte.Geben Sie die Kartendaten ein.Kartendaten gespeichert. Beim ersten Speichern werden automatisch 2 Rubel von der Karte zur Überprüfung abgebucht, und dann wird der gleiche Betrag zurückerstattet.
All dies geschieht ohne 3D Secure! Es kommt keine SMS etc. Für die Zahlung reicht es aus, die Kartennummer, die Laufzeit und den CVV zu kennen. Beim Testen wurde eine Sberbank-Karte verwendet, nach der SMS für alle anderen Einkäufe über das Internet immer mit Bestätigungscodes geliefert wird.
Screenshot mit SMS-Kartenüberprüfung und erster Zahlung.Kartendaten werden standardmäßig auf dem Telefon gespeichert. Darüber hinaus fragt die mobile Anwendung den Benutzer nicht einmal, ob er die Kartendaten wirklich auf dem Telefon speichern möchte. Bei nachfolgenden Zahlungen mit einer zuvor verifizierten Karte wird der Saldoauffüllungsprozess in Yandex.Direct weiter beschleunigt. Es reicht aus, eine zuvor gespeicherte Karte auszuwählen und auf die Schaltfläche "Bezahlen" am unteren Bildschirmrand zu klicken. Der Standardbetrag wird bereits wie bei der vorherigen Zahlung eingegeben. Geld fliegt sofort weg. Der Benutzer wird nicht einmal mit einer zusätzlichen Frage gefragt, ob er den Betrag wirklich überweisen möchte.
Im persönlichen Konto von Yandex.Direct werden im Zahlungsjournal Kartenzahlungen mit 3D Secure und Zahlungen ohne vollständige Überprüfung unterschiedlich signiert. Zahlungen über das Formular in Ihrem Konto in der Vollversion der Website werden mit "Bankkarte" signiert, Zahlungen über die mobile Anwendung mit "Vertrauen, Bankkarte". "Vertrauen" hat nichts mit dem Namen der Bank zu tun.
Damit betrügerische Websites existieren können, müssen sie in irgendeiner Weise Besucher anlocken, von denen einige Opfer von Betrug werden können. Betrügerische Websites leben nicht lange, da sie berechnet und im Laufe der Zeit geschlossen werden. Für neue Betrugsseiten ist es fast unmöglich, auf ehrliche Weise zu werben, um mehr Traffic von Suchmaschinen zu erhalten. Selbst wenn solche Websites ein ganzes Jahr lang nicht gedreht werden, fallen sie normalerweise nicht auf die ersten Seiten der Ergebnisse. Es bleibt die einzige Möglichkeit, Besucher anzulocken - bezahlte Werbung zu platzieren. Werbung auf polaren Anfragen (zum Beispiel „Billigflüge nach Anapa“) ist teuer und Betrüger geben ihr Geld nicht aus. Zu diesem Zweck verfügen sie über die Daten gestohlener Karten, von denen Sie problemlos Zehntausende und Hunderttausende Rubel an das Yandex-Werbenetzwerk übertragen können. Das Geld eines anderen ist nicht schade, und um den ersten Platz in der Ausgabe zu erreichen, können Betrüger Yandex alle Kosten pro Klick zahlen: 100 Rubel, 200 Rubel usw. Ich denke, dass kein einziges Werbenetzwerk etwas dagegen hat, dass jemand Geld damit teilen möchte.
Yandex hat ein Programm entwickelt, das sich ideal für die Aufnahme in das Arsenal der Betrüger eignet. Es reicht aus, ein altes gebrauchtes Smartphone und eine "linke" SIM-Karte zu kaufen. Eine Anwendung ist auf dem Smartphone installiert. Die gestohlene Kartennummer wird eingegeben. Und von jeder Ecke der Welt, wo es ein Mobilfunknetz oder WLAN gibt, können Sie mit einem Klick Geld stehlen. Für die Verdächtigsten können nach einer Woche oder einem Monat das Smartphone und die SIM-Karte geändert werden. Das Aufspüren solcher Betrüger ist fast unmöglich.
Alle sind glücklich, außer den Besitzern der Karten, von denen das Geld abgezogen wird. Basierend auf dem im ersten Artikel beschriebenen realen Fall antwortet Yandex umgehend, selbst wenn Sie Yandex weniger als 12 Stunden nach der Überweisung von Geldern an Direct schnell kontaktieren: „Auf Ihre Anfrage haben wir eine Untersuchung durchgeführt und alle erforderlichen Maßnahmen ergriffen. Leider wurde das Geld bereits ausgegeben und wir konnten es nicht zurückgeben ... ". Wenn Sie sich schnell an Ihre Bank wenden, können Sie versuchen, das Geld zurückzugeben, insbesondere wenn Sie bedenken, dass es abgebucht wurde, ohne 3D Secure zu überprüfen. Wie der erste Artikel zeigte, wurde das Geld in einem bestimmten Fall nach einem Antrag bei der Bank des Absenders sogar zurückgegeben. Doch bevor das Geld zurückkommt, müssen die Opfer von Betrügern an Yandex, ihre Bank, die Polizei usw. schreiben und einen Monat auf die Rückkehr warten, in der Hoffnung auf ein Wunder. In der Zwischenzeit geben Betrüger mit ein paar Klicks die gestohlenen Daten der nächsten Karte in die Anwendung ein und starten eine neue Serie einer endlosen Serie.
Oder fügen Sie beim Auffüllen des Guthabens in Yandex.Direct noch eine 3D-Sicherheitsüberprüfung hinzu?