Hace unos seis meses, en una publicación en Geektimes,
"Vuelos baratos ... O una red de sitios web fraudulentos que roban dinero de las tarjetas. Mi investigación ” , describí un caso en el que, además del dinero para“ boletos falsos ”, a mi amigo también le robaron una tarjeta de 35,200 rublos, que fue a reponer la cuenta de estafadores en la red de publicidad Yandex.Direct. El monto robado estaba limitado solo por el saldo de la tarjeta. Si todavía quedara dinero en la tarjeta, habrían robado más. En los comentarios de las cancelaciones, se indicó "YM * Yandex.Direct". A continuación se muestra un fragmento de un extracto bancario tomado de la publicación mencionada:
En el caso descrito, el número de tarjeta bancaria de la "víctima" fue robado, o mejor dicho, obtenido de manera fraudulenta en un sitio web fraudulento. La víctima confirmó la transferencia de fondos para boletos falsos utilizando los códigos 3D Secure que llegaron al SMS desde el banco. Sin embargo, los fondos para Yandex.Direct opal se enviaron en diferentes momentos sin ninguna solicitud adicional al titular de la tarjeta, sin cheques 3D Secure, etc.
Aunque los estafadores escribieron en foros paralelos que Yandex realmente no utiliza 3D Secure cuando paga con Yandex.Direct, no fue posible confirmarlo. Con nuestras propias pruebas de reabastecimiento de saldo Yandex.Direct a través del sitio, siempre se realizó una verificación adicional utilizando códigos SMS del banco. Incluso pensé que Yandex, como resultado de la primera publicación, arregló rápidamente sus servicios. Para mí y, creo, para muchos, no estuvo claro durante mucho tiempo cómo los estafadores eludieron este control. Y así, accidentalmente encontré este método simple que yacía en la superficie y que todavía funciona.
A todos los que, en los comentarios sobre el primer artículo, se jactaban de la "superprotección" de sus tarjetas y elogiaban a sus bancos, les sugiero que verifiquen su durabilidad al pagar a Yandex. Directo.Antes de continuar, bajo el spoiler puede ver cómo se ve la forma de pago si repone el saldo a través de la cuenta personal de Yandex.Direct utilizando un navegador y la versión completa del sitio. No hay preguntas sobre la versión completa del sitio.
Recarga Yandex. Saldo directo a través del sitio Ni siquiera puedo decir que descubrí algo. El método es extremadamente simple y para usarlo solo necesita instalar la aplicación Yandex.Direct para teléfonos móviles y pagar con tarjeta de crédito a través de esta aplicación. Es probable que una gran cantidad de usuarios respetables de Yandex.Direct usaran este método para reponer el saldo, pero no prestaron atención a la falta de controles o dejaron este punto a la conciencia de los desarrolladores. A continuación se describe una secuencia de pago simple utilizando el ejemplo de una aplicación móvil para iOS.
Hacemos clic en la inscripción "reponer la cuenta general".Ingrese el monto y seleccione el pago con tarjeta.Ingrese los datos de la tarjeta.Datos del mapa guardados. En el primer guardado, se cargan automáticamente 2 rublos de la tarjeta para su verificación, y luego se devuelve la misma cantidad.
Todo esto sucede sin usar 3D Secure! No viene SMS, etc. Para el pago es suficiente saber el número de tarjeta, su plazo y CVV. Durante las pruebas, se utilizó una tarjeta Sberbank, según la cual, para cualquier otra compra a través de Internet, los SMS siempre vienen con códigos de verificación.
Captura de pantalla con verificación de tarjeta SMS y primer pago.Los datos de la tarjeta se guardan en el teléfono de manera predeterminada. Además, la aplicación móvil ni siquiera le pregunta al usuario si realmente desea almacenar los datos de la tarjeta en el teléfono. Con pagos posteriores utilizando una tarjeta previamente verificada, el proceso de reposición de saldo en Yandex.Direct se acelera aún más. Es suficiente seleccionar una tarjeta guardada previamente y hacer clic en el botón "Pagar" en la parte inferior de la pantalla. La cantidad predeterminada ya se ingresó igual que en el pago anterior. El dinero se va volando al instante. El usuario ni siquiera recibe una pregunta adicional si realmente quiere transferir la cantidad.
En la cuenta personal Yandex.Direct, en el diario de pagos, los pagos con tarjeta usando 3D Secure y los pagos sin verificación completa se firman de manera diferente. Los pagos a través del formulario en su cuenta en la versión completa del sitio se firman con "Tarjeta bancaria", los pagos a través de la aplicación móvil se firman con "Fideicomiso, tarjeta bancaria". La "confianza" no tiene nada que ver con el nombre del banco.
Para que exista un sitio fraudulento, debe atraer de alguna manera a los visitantes, algunos de los cuales pueden ser víctimas de fraude. Los sitios fraudulentos no viven mucho tiempo porque se calculan y cierran con el tiempo. Para los nuevos sitios fraudulentos, es casi imposible publicitarse de manera honesta para obtener más tráfico de los motores de búsqueda. Incluso si dichos sitios no se retuercen durante todo un año, generalmente no se incluyen en las primeras páginas de los resultados. Queda la única forma de atraer visitantes: colocar publicidad paga. La publicidad en solicitudes polares (por ejemplo, "vuelos baratos a Anapa") es costosa y los estafadores no gastarán su dinero. Para hacer esto, tienen los datos de tarjetas robadas desde las cuales puede transferir fácilmente decenas y cientos de miles de rublos a la red de publicidad de Yandex. El dinero de otra persona no es una pena, y para llegar al primer lugar en el tema, los estafadores pueden pagarle a Yandex cualquier costo por clic: 100 rublos, 200 rublos, etc. Creo que a ninguna red de publicidad le importará que alguien quiera compartir dinero con ella.
Yandex ha creado un programa que es ideal para su inclusión en el arsenal de estafadores. Es suficiente comprar un viejo teléfono inteligente usado y una tarjeta SIM "izquierda". Se instala una aplicación en el teléfono inteligente. Se ingresa el número de la tarjeta robada. Y desde cualquier rincón del mundo donde haya una red móvil o wifi, puede robar dinero con un solo clic. Para los más sospechosos, después de una semana o un mes, se puede cambiar el teléfono inteligente y la tarjeta SIM. El seguimiento de tales estafadores es casi imposible.
Todos están contentos, excepto los dueños de las tarjetas de las cuales se retira el dinero. Según el caso real descrito en el primer artículo, incluso si se contacta rápidamente con Yandex menos de 12 horas después de transferir los fondos a Direct, Yandex responde rápidamente: “A su solicitud, realizamos una investigación y tomamos todas las medidas necesarias. Lamentablemente, el dinero ya se gastó y no pudimos devolverlo ... ". Si se contacta rápidamente con su banco, puede intentar devolver los fondos, especialmente teniendo en cuenta que se debitaron sin verificar 3D Secure. Como mostró el primer artículo, el dinero en un caso particular, después de una solicitud al banco del remitente, incluso fue devuelto. Pero antes de que vuelva el dinero, las víctimas de los estafadores se ven obligadas a escribir a Yandex, a su banco, a la policía, etc., y esperar un mes para regresar, esperando un milagro. Mientras tanto, los estafadores por un par de clics ingresan los datos robados de la próxima tarjeta en la aplicación y lanzan una nueva serie de una serie interminable.
¿O tal vez aún agregue un cheque 3D Secure al reponer el saldo en Yandex.Direct?