हैकर्स खाद्य वितरण और होटल आरक्षण सेवाओं के माध्यम से धन की चोरी करते हैं।

कर्तव्य के रूप में, आपको कमजोरियों, पासवर्ड लीक और अन्य दिलचस्प चीजों की नवीनतम जानकारी की तलाश में भूमिगत मंचों में तल्लीन करना होगा। कभी-कभी हम नई कमजोरियों, हमलों और हमले की योजनाओं के विषय पर कानून प्रवर्तन एजेंसियों के प्रतिनिधियों को सलाह देते हैं, और ऐसे हालात होते हैं जब सुरक्षा बल अपने "नवीनतम समाचार" साझा करते हैं। मुझे लगता है कि कई लोग इस तथ्य के बारे में अपनी बात साझा करेंगे कि अगर मंच पर "योजना" या "भेद्यता" मिली, तो, एक नियम के रूप में, किसी ने लंबे समय से सभी "क्रीम" को हटा दिया है। और .onion ज़ोन के बाहर के मंचों को गंभीरता से नहीं लिया जाना चाहिए। लेकिन इस बार, एक सर्किट पाया गया जो अपनी सादगी और नवीनता के साथ आश्चर्यचकित था। दरअसल, फूड डिलीवरी सर्विसेज के जरिए हैकर्स कैसे पैसे चुराते हैं और लूटते हैं, यह आज की कहानी होगी।

कैसे उन्होंने कार्डिंग, पृष्ठभूमि के एक महत्वपूर्ण हिस्से को मार डाला

जो लोग धोखाधड़ी-रोधी प्रणालियों और बैंक भुगतानों की सुरक्षा से परिचित हैं, वे लंबे समय से जानते हैं कि क्रेडिट कार्ड द्वारा ऑनलाइन भुगतान स्वीकार करने वाली अधिकांश सेवाओं ने लंबे समय तक फोन (एसएमएस, कॉल या एप्लिकेशन के माध्यम से) भुगतानों के सत्यापन के लिए एक अतिरिक्त प्रणाली को जोड़ा है। VISA में ऐसी प्रणाली है जिसे 3-डी सिक्योर फॉर शॉर्ट, 3 डीएस कहा जाता है, यह वेरिफाइड बाय वीज़ा (वीबीवी) प्रणाली के भीतर काम करता है, मास्टरकार्ड में मास्टरकार्ड सिक्योरकोड (एमसीसी) नामक एक एनालॉग है। नीचे की रेखा सरल है, यदि आपने अपने क्रेडिट कार्ड से डेटा कहीं दर्ज किया है, तो एक सफल भुगतान के लिए, आपको एसएमएस, कॉल या एप्लिकेशन से प्राप्त कोड दर्ज करने की आवश्यकता होगी, यह पुष्टि करने के लिए कि यह आप ही हैं जो खरीदारी करते हैं, न कि हैकर्स आपको लूटते हैं।

इन प्रणालियों की शुरुआत के साथ, अन्य लोगों (चोरी) क्रेडिट कार्ड से भुगतान का एक महत्वपूर्ण हिस्सा गुमनामी में चला गया।

जायंट्स राजस्व और सुरक्षा से अधिक टर्नओवर को महत्व देते हैं

हालाँकि, Booking.com, Airbnb, Amazon.com, Facebook.com जैसी बड़ी, अत्यधिक भरी हुई सेवाओं ने इस अतिरिक्त सत्यापन सुविधा का अक्षम या सीमित उपयोग किया है, क्योंकि इसकी (सबसे अधिक संभावना है) बिक्री और रूपांतरण पर बड़ा प्रभाव पड़ा है। बेशक, उन्होंने इसे खाते के अंदर अतिरिक्त सत्यापन और सबसे अच्छे एंटीफ्राड समाधान के साथ तंत्रिका नेटवर्क के साथ बदल दिया, लेकिन इससे बहुत मदद नहीं मिली। समस्या नई नहीं है और व्यापक रूप से चर्चा की गई है ( प्रमाण )। अमेरिकी संघीय व्यापार आयोग ने यह भी कहा कि 2012 और 2016 के बीच, 13 मिलियन शिकायतें प्राप्त हुईं, अकेले 2016 में 3 मिलियन, जिनमें से 13% पहचान की चोरी और क्रेडिट कार्ड हैं। और यह केवल संयुक्त राज्य अमेरिका के लिए डेटा है। वास्तविकता यह है कि धन के प्रवाह को कम करने के बजाय अन्य लोगों के कार्ड से भुगतान वापस करने में शामिल वकीलों के कर्मचारियों को रखना बेहतर है। नतीजतन, पूरे फ़ोरम 25% -50% लागत ( प्रमाण ) के लिए होटल बुक करने के प्रस्ताव के साथ दिखाई दिए। व्यवसाय में कोई जोखिम नहीं है।

इसलिए, किराये की सेवाओं के माध्यम से चोरी किए गए क्रेडिट कार्ड से धन को लूटने की एक लोकप्रिय योजना दिखाई दी (कार्डर्स के शिकार का एक उदाहरण )। एक सरलीकृत संस्करण में, यह इस तरह दिखता है:

1. उपठेका के अधिकार के साथ किराए के लिए एक अपार्टमेंट लें।
2. बुकिंग.कॉम और / या एयरबीएनबी पर एक अपार्टमेंट रजिस्टर करें
3. चोरी हुए क्रेडिट कार्ड का विवरण खरीदें
4. चुराए गए कार्ड के आंकड़ों के अनुसार, अपने आप से एक अपार्टमेंट बुक करना
5. पहले से ही नेट मनी बुकिंग या Airbnb से प्राप्त करें

स्वाभाविक रूप से, उपरोक्त योजना के लिए विकल्प एक लाख हो सकते हैं, बुकिंग से लेकर, एयरबीएनबी गैर-मौजूदा अपार्टमेंट (यह वास्तविक है), अपार्टमेंट / होटल के मालिक के ज्ञान के बिना, आपके डेटा के लिए एक खाता पंजीकृत करने के लिए। लोग बड़े पैमाने पर बेईमान होटल मालिकों ( प्रूफ ) की तलाश कर रहे हैं या अपनी सेवाओं ( प्रूफ ) की पेशकश कर रहे हैं।

अपार्टमेंट किराए पर लेने की सेवाओं के माध्यम से पैसा क्यों वसूला जाता है? जैसा कि मैंने ऊपर लिखा है, वीबीवी और 3 डीएस का कोई (या सीमित उपयोग नहीं है), और वहां कार्ड "ड्राइव" करना आसान है। इसके अलावा, होटल के मालिक प्रायः कार्डों के मैनुअल इनपुट ( प्रूफ ) के लिए समर्थन के साथ पीओएस टर्मिनलों में प्रचार और समापन के माध्यम से धन की लूट से पाप करते हैं, लेकिन यह पूरी तरह से अलग कहानी है जिसके बारे में मैं आपको अगली बार बताऊंगा। चलिए हमारे भोजन वितरण प्रदाताओं पर लौटते हैं।

खाद्य वितरण सेवाओं को भी परवाह नहीं है कि किसका कार्ड है

GLOVO, UBER, Yandex Food और अन्य सस्ती डिलीवरी सेवाएं होटल आरक्षण सेवाओं के साथ-साथ हमारे जीवन में तेजी से आती हैं। और आपको पता है क्या? यदि खाताधारक का नाम क्रेडिट कार्ड पर नाम से मेल खाता है तो वे वास्तव में परवाह नहीं करते हैं। वे इस बात का ध्यान नहीं रखते हैं कि कहां से सामान पहुंचाना है और कहां पहुंचाना है। वीबीवी और 3 डीएस उनके लिए इतने महत्वपूर्ण नहीं हैं क्योंकि होटल आरक्षण के दिग्गज, जहां टर्नओवर और राजस्व बहुत अधिक महत्वपूर्ण हैं।

इसलिए, हैककंट्रोल में एंटीफ्रॉड सिस्टम के परीक्षण के अगले आदेश पर काम करते हुए, नई धोखाधड़ी योजनाओं को इकट्ठा करते हुए, मैं "नवीनता" में आया। कार्डर्स और स्कैमर्स एक ऐसी योजना लेकर आए हैं, जो पहले सन्निकटन में इस तरह दिखता है।

1. खाद्य वितरण प्रणाली में एक स्टोर / हॉट डॉग / रेस्तरां / बेंच रजिस्टर करें, या केवल डिलीवरी मैन को इंगित करें जहां उसे ऑर्डर खरीदना चाहिए।
2. वे एक चोरी क्रेडिट कार्ड खरीदते हैं और इसे खाते में संलग्न करते हैं।
3. एक चोरी क्रेडिट कार्ड और एक खाद्य वितरण आवेदन के माध्यम से, एक अनसुना कूरियर अपने स्वयं के स्टोर में खरीदा जाता है और वितरण की प्रतीक्षा कर रहा है।
4. वे भोजन को एक सर्कल में वापस लाते हैं।

स्वाभाविक रूप से, मैंने इस योजना को पहले सन्निकटन के रूप में वर्णित किया, और स्कैमर्स रेस्तरां, दुकानों और वितरण पते बदलते हैं, लेकिन इसका सार नहीं बदलता है।

अस्वीकरण और निष्कर्ष

यह प्रकाशन किसी विशेष खाद्य वितरण सेवा या आवास आरक्षण में कमजोरियों को दिखाने का इरादा नहीं रखता है। यह धोखाधड़ी गतिविधियों की सुरक्षा और रोकथाम के लिए एक व्यापक मार्गदर्शक होने का दावा नहीं करता है। यह एक कॉल या कार्रवाई के लिए एक गाइड के रूप में व्याख्या नहीं की जा सकती है। क्रेडिट कार्ड धोखाधड़ी, होटल बुक करते समय या भोजन वितरित करते समय अन्य लोगों के डेटा का उपयोग बिल्कुल अवैध है और एक आपराधिक अपराध है।

व्यापक निष्कर्ष यह है कि एंटीफ्राड सिस्टम के निर्माता, जोखिम के लिए जिम्मेदार निदेशक और आर्किटेक्ट को कभी-कभी "कालकोठरी" में जाने की आवश्यकता होती है, यह देखने के लिए कि वे उन सेवाओं का उपयोग कैसे कर सकते हैं जो उन्होंने विकसित की हैं। अब, उसी सामाजिक इंजीनियरिंग परीक्षण ( सोशल इंजीनियरिंग ) के दौरान, हम और अन्य कंपनियां ग्राहकों को व्यापार तर्क के साथ धोखाधड़ी के लिए भी अपनी सेवाओं का परीक्षण करने की पेशकश करती हैं। आज, व्यावसायिक तर्क की जाँच के बिना भी पैठ परीक्षण पहले से ही अधूरा होता जा रहा है। एक व्यवसाय टेम्पलेट सेवाओं को नहीं खरीदता है, किसी विशेष प्रक्रिया को बेहतर बनाने और जोखिमों को रोकने में मदद करने के लिए व्यापार विश्लेषकों के माध्यम से बिक्री की अधिक संभावना है। डिलीवरी सेवा बनाते समय, आपको न केवल मुख्य जोखिमों पर विचार करने की आवश्यकता होती है, जैसे "लेकिन क्या वे हमारे माध्यम से ड्रग्स वितरित करेंगे", बल्कि अवैध गतिविधियों में सेवा के अवैध उपयोग के अन्य जोखिम भी हैं।