Par devoir, vous devez vous plonger dans des forums clandestins à la recherche des dernières informations sur les vulnérabilités, les fuites de mots de passe et d'autres choses intéressantes. Parfois, nous conseillons des représentants des forces de l'ordre sur le sujet des nouvelles vulnérabilités, attaques et plans d'attaque, et il y a des situations où les forces de sécurité partagent leurs «dernières nouvelles». Je pense que beaucoup partageront mon point de vue concernant le fait que si un "schéma" ou une "vulnérabilité" est apparu sur le forum, alors, en règle générale, quelqu'un en a depuis longtemps retiré toute la "crème". Et les forums en dehors de la zone .onion ne doivent pas être pris au sérieux. Mais cette fois, un circuit a été trouvé qui a surpris par sa relative simplicité et sa nouveauté. En fait, il y aura l'histoire d'aujourd'hui sur la façon dont les pirates volent et blanchissent de l'argent par le biais des services de livraison de nourriture.
Comment ils ont tué une partie importante du cardage, l'arrière-plan
Les personnes qui connaissent les systèmes anti-fraude et la sécurité des paiements bancaires savent depuis longtemps que la plupart des services acceptant les paiements par carte de crédit en ligne ont depuis longtemps connecté un système de vérification supplémentaire des paiements par téléphone (via SMS, appel ou application). VISA a un tel système appelé 3-D Secure pour faire court,
3DS , il fonctionne dans le système Verified by Visa (VbV), Mastercard a un analogue appelé Mastercard SecureCode (MCC). L'essentiel est simple, si vous avez entré quelque part les informations de votre carte de crédit, pour un paiement réussi, vous devrez également saisir le code reçu par SMS, appel ou application pour confirmer que c'est vous qui effectuez l'achat, et non les pirates informatiques vous volent.
Avec l'introduction de ces systèmes, une part importante des paiements effectués avec les cartes de crédit (volées) d'autres personnes est tombée dans l'oubli.
Les géants valorisent les revenus et le chiffre d'affaires plus que la sécurité
Cependant, de grands services très chargés comme Booking.com, Airbnb, Amazon.com, Facebook.com ont désactivé ou limité l'utilisation de cette fonctionnalité de vérification supplémentaire, car elle (très probablement) a eu un impact important sur les ventes et la conversion. Bien sûr, ils l'ont remplacé par une vérification supplémentaire à l'intérieur du compte et des réseaux de neurones avec les solutions antifraude les plus cool, mais cela n'a pas beaucoup aidé. Le problème n'est pas nouveau et est largement discuté (
preuve ). La Federal Trade Commission des États-Unis a également
déclaré qu'entre 2012 et 2016, 13 millions de plaintes ont été reçues, dont 3 millions rien qu'en 2016, dont 13% de vol d'identité et de cartes de crédit. Et ce sont des données uniquement pour les États-Unis. La réalité est qu’il vaut mieux garder un personnel d’avocats impliqué dans le remboursement des paiements des cartes des autres que de réduire le flux de fonds. En conséquence, des forums entiers sont apparus avec une proposition de réserver un hôtel pour 25% à 50% du coût (
preuve ). L'entreprise ne risque plus.
Ainsi, un système plutôt populaire de blanchiment d'argent des cartes de crédit volées par le biais des services de location est apparu (
un exemple de victime de cardeurs). Dans une version simplifiée, cela ressemble à ceci:
- Prenez un appartement à louer avec le droit de sous-louer.
- Enregistrer un appartement sur booking.com et / ou Airbnb
- Acheter les détails d'une carte de crédit volée
- Réservation présumée d'un appartement avec nous-mêmes, selon les données des cartes volées
- Obtenez déjà de l'argent net sur Booking ou Airbnb
Naturellement, les options pour le programme ci-dessus peuvent être d'un million, de l'inscription sur Booking, des appartements non existants Airbnb (cela est réel), à l'enregistrement d'un compte pour vos données, à l'insu du propriétaire de l'appartement / hôtel. Les gens recherchent / achètent massivement des hôteliers malhonnêtes (
preuve ) ou offrent leurs services (
preuve ).
Pourquoi l'argent est-il blanchi précisément grâce aux services de location d'appartements? Comme je l'ai écrit ci-dessus, il n'y a pas (ou utilisation limitée) de VBV et de 3DS, et les cartes y sont plus faciles à "conduire". De plus, les propriétaires d'hôtel pèchent souvent en blanchissant de l'argent grâce à la préautorisation et à l'achèvement dans les terminaux de point de vente avec prise en charge de la saisie manuelle des cartes (
preuve ), mais c'est une histoire complètement différente dont je vous raconterai la prochaine fois. Revenons à nos fournisseurs de livraison de nourriture.
Les services de livraison de nourriture se moquent également de la carte
GLOVO, UBER, Yandex Food et d'autres services de livraison bon marché ont rapidement fait irruption dans nos vies avec les services de réservation d'hôtel. Et tu sais quoi? Ils ne se soucient pas vraiment si le nom du titulaire du compte correspond au nom sur la carte de crédit. Ils se moquent de savoir où livrer et où se procurer les marchandises. Le VBV et la 3DS ne sont pas aussi importants pour eux que les géants de la réservation d'hôtels, où le chiffre d'affaires et les revenus sont beaucoup plus importants.
Ainsi, alors que je travaillais sur la prochaine commande de tests de systèmes antifraude dans HackControl, en collectant de nouveaux schémas frauduleux, je suis tombé sur une «nouveauté». Les cardeurs et les escrocs ont mis au point un schéma qui, en première approximation, ressemble à ceci.
- Enregistrez un magasin / hot-dog / restaurant / banc dans le système de livraison de nourriture, ou indiquez simplement au livreur exactement où il doit acheter la commande.
- Ils achètent une carte de crédit volée et la joignent au compte.
- Grâce à une carte de crédit volée et à une application de livraison de nourriture, un courrier sans méfiance est acheté dans son propre magasin et attend sa livraison.
- Ils ramènent de la nourriture et ainsi de suite en cercle.
Naturellement, j'ai décrit le schéma comme une première approximation, et les escrocs changent les restaurants, les magasins et les adresses de livraison, mais l'essence de cela ne change pas.
Clause de non-responsabilité et conclusions
Cette publication n'a pas l'intention de montrer les vulnérabilités d'un service de livraison de nourriture ou d'une réservation de logement en particulier. Il ne prétend pas être un guide complet pour la protection et la prévention des activités frauduleuses. Il ne peut pas être interprété comme un appel ou un guide d'action. La fraude par carte de crédit, l'utilisation des données d'autres personnes lors de la réservation d'hôtels ou de la livraison de nourriture sont absolument illégales et constituent une infraction pénale.
La conclusion globale est que les créateurs de systèmes antifraude, les directeurs responsables des risques et les architectes doivent parfois descendre au «donjon» pour voir comment utiliser les services qu'ils ont développés autrement. Maintenant, au cours des mêmes tests
d'ingénierie sociale (
ingénierie sociale ), nous et d'autres sociétés proposons à nos clients de tester leurs services également pour détecter les fraudes avec la logique métier. Aujourd'hui, même les tests de pénétration sans vérification de la logique métier deviennent déjà incomplets. Une entreprise n'achète pas de services de modèle, les ventes sont plus susceptibles par le biais d'analystes commerciaux pour aider à améliorer un processus particulier et à prévenir les risques. Lors de la création d'un service de livraison, vous devez considérer non seulement les principaux risques, tels que «mais s'ils livreront des médicaments par notre intermédiaire», mais également d'autres risques liés à l'utilisation illégale du service dans des activités illégales.