Yandex ignore la vérification 3D Secure lors du paiement d'annonces dans Yandex.Direct à l'aide de cartes bancaires

Il y a environ six mois, dans une publication sur Geektimes, «Vols pas chers ... Ou un réseau de sites Web frauduleux volant de l'argent des cartes. Mon enquête », j'ai décrit un cas où, en plus de l'argent pour de« faux billets », mon ami a également été volé sur une carte de 35 200 roubles, qui est allée reconstituer le compte des fraudeurs du réseau publicitaire Yandex.Direct. Le montant volé n'était limité que par le solde de la carte. S'il restait de l'argent sur la carte, ils en auraient volé plus. Dans les commentaires des radiations, «YM * Yandex.Direct» était indiqué. Vous trouverez ci-dessous un fragment d'un relevé bancaire extrait de la publication mentionnée:

Dans le cas décrit, le numéro de carte bancaire «victime» a été volé, ou plutôt obtenu frauduleusement sur un site frauduleux. La victime a confirmé le transfert de fonds pour de faux billets en utilisant les codes 3D Secure fournis par SMS depuis la banque. Cependant, les fonds pour l'opale Yandex.Direct sont allés à des moments différents sans aucune demande supplémentaire au titulaire de la carte, sans chèques 3D Secure, etc.

Bien que les escrocs aient écrit dans des forums parallèles que Yandex n'utilise pas vraiment 3D Secure pour payer avec Yandex.Direct, il n'a pas été possible de le confirmer. Avec nos propres tests de réapprovisionnement du solde de Yandex.Direct via le site, une vérification supplémentaire a toujours été effectuée à l'aide des codes SMS de la banque. J'ai même pensé que Yandex, à la suite de la première publication, avait rapidement fixé ses services. Pour moi et, je pense, pour beaucoup, on ne sait pas longtemps comment les escrocs ont contourné ce contrôle. Et donc j'ai accidentellement trouvé cette méthode simple qui gisait en surface et qui fonctionne toujours. À tous ceux qui, dans les commentaires sur le premier article, se sont vantés de la "superprotection" de leurs cartes et ont fait l'éloge de leurs banques, je vous suggère de vérifier leur durabilité lors du paiement de Yandex. Direct.

Avant de continuer, sous le spoiler, vous pouvez voir à quoi ressemble le mode de paiement si vous réapprovisionnez le solde via le compte personnel Yandex.Direct à l'aide d'un navigateur et de la version complète du site. Il n'y a pas de questions sur la version complète du site.

Recharger le solde Yandex.Direct via le site

Je ne peux même pas dire que j'ai découvert quelque chose. La méthode est extrêmement simple et pour l'utiliser, il vous suffit d'installer l'application Yandex.Direct pour les téléphones mobiles et de payer par carte de crédit via cette application. Il est probable qu'un grand nombre d'utilisateurs respectables de Yandex.Direct ait utilisé cette méthode de reconstitution du solde, mais n'a pas prêté attention au manque de contrôles, ou a laissé ce point à la conscience des développeurs. Une séquence de paiement simple est décrite ci-dessous en utilisant l'exemple d'une application mobile pour iOS.

Nous cliquons sur l'inscription "réapprovisionner le compte général".

Saisissez le montant et sélectionnez le paiement par carte.

Saisissez les données de la carte.

Données cartographiques enregistrées. Lors de la première sauvegarde, 2 roubles sont automatiquement débités de la carte pour vérification, puis le même montant est remboursé.

Tout cela se passe sans utiliser 3D Secure! Aucun SMS, etc. ne vient. Pour le paiement, il suffit de connaître le numéro de carte, sa durée et le CVV. Lors des tests, une carte Sberbank a été utilisée, selon laquelle pour tout autre achat via Internet, les SMS sont toujours accompagnés de codes de vérification.

Capture d'écran avec vérification de la carte SMS et premier paiement.

Les données de la carte sont enregistrées sur le téléphone par défaut. De plus, l'application mobile ne demande même pas à l'utilisateur s'il souhaite vraiment stocker les données de la carte sur le téléphone. Avec les paiements ultérieurs utilisant une carte préalablement vérifiée, le processus de reconstitution du solde dans Yandex.Direct est encore accéléré. Il suffit de sélectionner une carte précédemment enregistrée et de cliquer sur le bouton "Payer" en bas de l'écran. Le montant par défaut est déjà entré de la même manière qu'il l'était lors du paiement précédent. L'argent s'envole instantanément. L'utilisateur n'est même pas invité avec une question supplémentaire s'il souhaite vraiment transférer le montant.

Dans le compte personnel Yandex.Direct, dans le journal des paiements, les paiements par carte utilisant 3D Secure et les paiements sans vérification complète sont signés différemment. Les paiements via le formulaire de votre compte dans la version complète du site sont signés par «Carte bancaire», les paiements via l'application mobile sont signés par «Trust, carte bancaire». «Trust» n'a rien à voir avec le nom de la banque.

Pour qu'un site frauduleux existe, il doit en aucun cas attirer les visiteurs, dont certains peuvent être victimes de fraude. Les sites frauduleux ne vivent pas longtemps car ils sont calculés et fermés dans le temps. Pour les nouveaux sites frauduleux, il est presque impossible de faire de la publicité honnêtement pour obtenir plus de trafic des moteurs de recherche. Même si ces sites ne sont pas tordus pendant une année entière, ils ne tombent généralement pas sur les premières pages des résultats. Il reste le seul moyen d'attirer des visiteurs - de placer de la publicité payante. La publicité sur les demandes polaires (par exemple, «vols pas chers vers Anapa») coûte cher et les escrocs ne dépenseront pas leur argent. Pour ce faire, ils disposent des données de cartes volées à partir desquelles vous pouvez facilement transférer des dizaines et des centaines de milliers de roubles vers le réseau publicitaire Yandex. L'argent de quelqu'un d'autre n'est pas dommage, et pour le bien depour arriver à la première place du problème, les escrocs peuvent payer à Yandex n'importe quel coût par clic: 100 roubles, 200 roubles, etc. Je pense que pas un seul réseau publicitaire ne voudra que quelqu'un veuille partager de l'argent avec lui.

Yandex a créé un programme idéal pour l'inclusion dans l'arsenal des escrocs. Il suffit d'acheter un vieux smartphone usagé et une carte SIM «gauche». Une application est installée sur le smartphone. Le numéro de la carte volée y est entré. Et depuis n'importe quel coin du globe où il y a un réseau mobile ou wifi, vous pouvez voler de l'argent en un seul clic. Pour les plus suspects, après une semaine ou un mois, le smartphone et la carte SIM peuvent être changés. Le suivi de tels escrocs est presque impossible.

Tout le monde est content, à l'exception des propriétaires des cartes dont l'argent est retiré. Sur la base du cas réel décrit dans le premier article, même si vous contactez rapidement Yandex moins de 12 heures après avoir transféré des fonds à Direct, Yandex répond rapidement: «À votre demande, nous avons mené une enquête et pris toutes les mesures nécessaires. Malheureusement, l'argent a déjà été dépensé et nous n'avons pas pu le restituer ... ". Si vous contactez rapidement votre banque, vous pouvez essayer de restituer les fonds, d'autant plus qu'ils ont été débités sans vérifier 3D Secure. Comme l’a montré le premier article, l’argent dans un cas particulier, après une demande à la banque de l’expéditeur, a même été restitué. Mais avant que l'argent ne revienne, les victimes des escrocs sont obligées d'écrire à Yandex, à leur banque, à la police, etc., et d'attendre un mois pour revenir, dans l'espoir d'un miracle.Pendant ce temps, les fraudeurs saisissent en quelques clics les données volées de la prochaine carte dans l'application et lancent une nouvelle série d'une série sans fin.

Ou peut-être encore ajouter une vérification 3D Secure lors de la reconstitution du solde dans Yandex.Direct?

Source: https://habr.com/ru/post/fr401937/