Geekly articles weekly

Hacker stehlen und waschen Geld durch Lieferservice und Hotelreservierung.

Bild von xakep.ru

Aus Pflichtgründen müssen Sie in Untergrundforen nach den neuesten Informationen zu Sicherheitslücken, Passwortlecks und anderen interessanten Dingen suchen. Manchmal beraten wir Vertreter von Strafverfolgungsbehörden zum Thema neue Sicherheitslücken, Angriffe und Angriffssysteme, und es gibt Situationen, in denen Sicherheitskräfte ihre „neuesten Nachrichten“ teilen. Ich denke, viele werden meinen Standpunkt bezüglich der Tatsache teilen, dass, wenn ein "Schema" oder eine "Verwundbarkeit" in das Forum gelangt ist, in der Regel jemand längst die gesamte "Creme" daraus entfernt hat. Und Foren außerhalb der .onion-Zone sollten nicht ernst genommen werden. Diesmal wurde jedoch eine Schaltung gefunden, die von ihrer relativen Einfachheit und Neuheit überrascht war. Tatsächlich wird es die heutige Geschichte darüber geben, wie Hacker Geld durch Lebensmittel-Lieferservices stehlen und waschen.

Wie sie einen bedeutenden Teil des Kardierens töteten, war der Hintergrund


Personen, die mit Betrugsbekämpfungssystemen und der Sicherheit von Bankzahlungen vertraut sind, wissen seit langem, dass die meisten Dienste, die Zahlungen per Kreditkarte online akzeptieren, seit langem ein System zur zusätzlichen Überprüfung von Zahlungen per Telefon (per SMS, Anruf oder Anwendung) angeschlossen haben. VISA verfügt über ein solches System namens 3-D Secure, kurz 3DS . Es funktioniert innerhalb des VbV-Systems (Verified by Visa). Mastercard verfügt über ein Analogon namens Mastercard SecureCode (MCC). Das Endergebnis ist einfach: Wenn Sie irgendwo Ihre Kreditkarteninformationen eingegeben haben, müssen Sie für eine erfolgreiche Zahlung auch den Code eingeben, der per SMS, Anruf oder Antrag erhalten wurde, um zu bestätigen, dass Sie den Kauf getätigt haben und nicht die Hacker, die Sie berauben.

Mit der Einführung dieser Systeme geriet ein erheblicher Teil der Zahlungen von (gestohlenen) Kreditkarten anderer Personen in Vergessenheit.

Riesen schätzen Umsatz und Umsatz mehr als Sicherheit


Große, stark ausgelastete Dienste wie Booking.com, Airbnb, Amazon.com und Facebook.com haben diese zusätzliche Überprüfungsfunktion jedoch deaktiviert oder eingeschränkt, da sie (höchstwahrscheinlich) einen großen Einfluss auf Umsatz und Conversion hatte. Natürlich haben sie es durch zusätzliche Überprüfung innerhalb des Kontos und der neuronalen Netze durch die coolsten Betrugsbekämpfungslösungen ersetzt, aber das hat nicht viel geholfen. Das Problem ist nicht neu und wird ausführlich diskutiert ( Beweis ). Die US Federal Trade Commission gab außerdem bekannt , dass zwischen 2012 und 2016 13 Millionen Beschwerden eingegangen sind, 3 Millionen allein im Jahr 2016, von denen 13% Identitätsdiebstahl und Kreditkarten sind. Und dies sind Daten nur für die Vereinigten Staaten. Die Realität ist, dass es besser ist, ein Team von Anwälten an der Rückerstattung von Zahlungen von Karten anderer Personen zu beteiligen, als den Geldfluss zu verringern. Infolgedessen erschienen ganze Foren mit dem Vorschlag, ein Hotel für 25% -50% der Kosten zu buchen ( Proof ). Geschäftsrisiken nicht mehr.

So erschien ein ziemlich beliebtes Programm zum Waschen von Geld von gestohlenen Kreditkarten über Mietdienste ( ein Beispiel für ein Opfer von Cardern). In einer vereinfachten Version sieht es so aus:

  1. Nehmen Sie eine Wohnung zur Miete mit dem Recht zur Untervermietung.
  2. Registrieren Sie ein Apartment auf booking.com und / oder Airbnb
  3. Kaufen Sie gestohlene Kreditkartendaten
  4. Angeblich eine Wohnung bei uns buchen, nach Angaben gestohlener Karten
  5. Holen Sie sich bereits Nettogeld von Booking oder Airbnb

Natürlich können die Optionen für das oben genannte System eine Million betragen, von der Registrierung bei der Buchung von nicht vorhandenen Airbnb-Apartments (dies ist real) bis zur Registrierung eines Kontos für Ihre Daten, ohne dass der Eigentümer des Apartments / Hotels dies weiß. Die Leute suchen / kaufen massiv unehrliche Hotelbesitzer ( Beweis ) oder bieten ihre Dienste an ( Beweis ).

Warum wird Geld gerade durch Wohnungsvermietung gewaschen? Wie ich oben geschrieben habe, gibt es keine (oder nur eingeschränkte) Verwendung von VBV und 3DS, und Karten lassen sich dort leichter „einfahren“. Auch Hotelbesitzer sündigen häufig, indem sie Geld durch Vorautorisierung und Fertigstellung in POS-Terminals mit Unterstützung für die manuelle Eingabe von Karten ( Proof ) waschen. Dies ist jedoch eine ganz andere Geschichte, die ich Ihnen beim nächsten Mal erzählen werde. Kehren wir zu unseren Anbietern von Lebensmittellieferungen zurück.

Lebensmittel-Lieferservices kümmern sich auch nicht darum, wessen Karte


GLOVO, UBER, Yandex Food und andere günstige Lieferservices sind zusammen mit Hotelreservierungsdiensten schnell in unser Leben getreten. Und weißt du was? Es ist ihnen egal, ob der Name des Kontoinhabers mit dem Namen auf der Kreditkarte übereinstimmt. Es ist ihnen egal, wohin sie liefern und wo sie die Waren bekommen. VBV und 3DS sind für sie nicht so wichtig wie Hotelreservierungsriesen, bei denen Umsatz und Umsatz viel wichtiger sind.

Während ich an der nächsten Bestellung zum Testen von Betrugsbekämpfungssystemen in HackControl arbeitete und neue betrügerische Systeme sammelte, stieß ich auf eine „Neuheit“. Carder und Betrüger haben ein Schema entwickelt, das in erster Näherung so aussieht.

  1. Registrieren Sie ein Geschäft / einen Hot Dog / ein Restaurant / eine Bank im Lebensmittel-Liefersystem oder geben Sie dem Zusteller einfach genau an, wo er die Bestellung kaufen soll.
  2. Sie kaufen eine gestohlene Kreditkarte und legen sie dem Konto bei.
  3. Durch eine gestohlene Kreditkarte und einen Antrag auf Lieferung von Lebensmitteln wird ein ahnungsloser Kurier in seinem eigenen Geschäft aufgekauft und wartet auf die Lieferung.
  4. Sie bringen Essen zurück und so weiter im Kreis.

Natürlich habe ich das Schema als erste Annäherung beschrieben, und Betrüger ändern Restaurants, Geschäfte und Lieferadressen, aber das Wesentliche ändert sich nicht.

Haftungsausschluss und Schlussfolgerungen


Diese Veröffentlichung beabsichtigt nicht, Schwachstellen in einem bestimmten Lebensmittellieferservice oder einer Wohnungsreservierung aufzuzeigen. Es erhebt keinen Anspruch auf einen umfassenden Leitfaden zum Schutz und zur Verhinderung betrügerischer Aktivitäten. Es kann nicht als Aufruf oder Handlungsanleitung interpretiert werden. Kreditkartenbetrug, die Verwendung der Daten anderer Personen bei der Buchung von Hotels oder der Lieferung von Lebensmitteln sind absolut illegal und strafbar.

Die umfassende Schlussfolgerung lautet, dass die Entwickler von Betrugsbekämpfungssystemen, für Risiken verantwortliche Direktoren und Architekten manchmal in den „Dungeon“ gehen müssen, um zu sehen, wie Sie die von ihnen entwickelten Dienste sonst noch nutzen können. Während derselben Social-Engineering- Tests ( Social Engineering ) bieten wir und andere Unternehmen unseren Kunden an, ihre Dienste auch auf Betrug mit Geschäftslogik zu testen. Selbst Penetrationstests ohne Überprüfung der Geschäftslogik sind bereits heute unvollständig. Ein Unternehmen kauft keine Vorlagendienste. Verkäufe werden eher von Geschäftsanalysten durchgeführt, um einen bestimmten Prozess zu verbessern und Risiken zu vermeiden. Bei der Erstellung eines Lieferservices müssen Sie nicht nur die Hauptrisiken berücksichtigen, z. B. "Aber werden sie Medikamente über uns liefern?", Sondern auch andere Risiken der illegalen Nutzung des Service bei illegalen Aktivitäten.

Source: https://habr.com/ru/post/de465271/

More articles:


All Articles