Sekitar enam bulan lalu, dalam publikasi di Geektimes,
“Penerbangan murah ... Atau jaringan situs web palsu yang mencuri uang dari kartu. Investigasi saya, " Saya menggambarkan sebuah kasus di mana, selain uang untuk" tiket palsu ", teman saya juga dicuri dari kartu 35.200 rubel, yang digunakan untuk mengisi ulang akun scammers di jaringan periklanan Yandex.Direct. Jumlah yang dicuri hanya dibatasi oleh saldo pada kartu. Jika masih ada uang yang tersisa di kartu, maka mereka akan mencuri lebih banyak. Dalam komentar dari penghapusan, "YM * Yandex.Direct" diindikasikan. Di bawah ini adalah bagian dari pernyataan bank yang diambil dari publikasi yang disebutkan:
Dalam kasus yang dijelaskan, nomor kartu bank "korban" dicuri, atau lebih tepatnya, diperoleh secara curang di situs web yang curang. Korban mengkonfirmasi transfer dana untuk tiket palsu menggunakan kode 3D Secure yang datang ke SMS dari bank. Namun, dana untuk opal Yandex.Direct pergi pada waktu yang berbeda tanpa permintaan tambahan kepada pemegang kartu, tanpa cek 3D Secure, dll.
Meskipun scammers menulis di forum bayangan bahwa Yandex tidak benar-benar menggunakan 3D Secure ketika membayar dengan Yandex.Direct, itu tidak mungkin untuk mengonfirmasi ini. Dengan pengujian kami sendiri atas pengisian saldo Yandex.Direct melalui situs, pemeriksaan tambahan selalu dilakukan menggunakan kode SMS dari bank. Saya bahkan berpikir bahwa Yandex, sebagai hasil publikasi pertama, dengan cepat memperbaiki layanannya. Bagi saya dan, saya pikir, bagi banyak orang, masih tidak jelas untuk waktu yang lama bagaimana scammers menghindari cek ini. Jadi saya tidak sengaja menemukan metode sederhana ini yang terletak di permukaan, dan yang masih berfungsi.
Kepada semua orang yang, dalam komentar pada artikel pertama, membual tentang "perlindungan super" kartu mereka dan memuji bank mereka, saya sarankan untuk memeriksa daya tahan mereka ketika membayar Yandex. Langsung.Sebelum kami melanjutkan, di bawah spoiler Anda dapat melihat bagaimana bentuk pembayaran jika Anda mengisi kembali saldo melalui akun pribadi Yandex.Direct menggunakan browser dan versi lengkap situs. Tidak ada pertanyaan tentang versi lengkap situs ini.
Top up Yandex. Saldo langsung melalui situs Saya bahkan tidak bisa mengatakan bahwa saya menemukan sesuatu. Metode ini sangat sederhana dan untuk menggunakannya Anda hanya perlu menginstal aplikasi Yandex.Direct untuk ponsel dan membayar dengan kartu kredit melalui aplikasi ini. Sangat mungkin bahwa sejumlah besar pengguna terhormat Yandex.Direct menggunakan metode pengisian saldo ini, tetapi tidak memperhatikan kurangnya cek, atau meninggalkan titik ini pada hati nurani para pengembang. Urutan pembayaran sederhana dijelaskan di bawah ini menggunakan contoh aplikasi seluler untuk iOS.
Kami mengklik tulisan "mengisi akun umum".Masukkan jumlah dan pilih pembayaran dengan kartu.Masukkan data kartu.Data peta disimpan. Pada penyimpanan pertama, 2 rubel secara otomatis didebet dari kartu untuk verifikasi, dan kemudian jumlah yang sama dikembalikan.
Semua ini terjadi tanpa menggunakan 3D Secure! Tidak ada SMS, dll. Untuk pembayaran, cukup mengetahui nomor kartu, masa berlaku, dan CVV-nya. Saat pengujian, kartu Sberbank digunakan, yang menurutnya untuk pembelian lainnya melalui Internet, SMS selalu disertai dengan kode verifikasi.
Tangkapan layar dengan verifikasi kartu SMS dan pembayaran pertama.Data kartu disimpan ke telepon secara default. Selain itu, aplikasi seluler bahkan tidak menanyakan kepada pengguna apakah ia benar-benar ingin menyimpan data kartu di telepon. Dengan pembayaran berikutnya menggunakan kartu yang diverifikasi sebelumnya, proses pengisian saldo di Yandex.Direct semakin dipercepat. Cukup untuk memilih kartu yang sebelumnya disimpan dan klik tombol "Bayar" di bagian bawah layar. Jumlah default sudah dimasukkan sama dengan pada pembayaran sebelumnya. Uang langsung terbang. Pengguna bahkan tidak diminta dengan pertanyaan tambahan apakah ia benar-benar ingin mentransfer jumlahnya.
Di akun pribadi Yandex.Direct, dalam jurnal pembayaran, pembayaran kartu menggunakan 3D Secure dan pembayaran tanpa verifikasi lengkap ditandatangani secara berbeda. Pembayaran melalui formulir di akun Anda dalam versi lengkap situs ditandatangani oleh "Kartu bank", pembayaran melalui aplikasi seluler ditandatangani oleh "Trust, kartu bank". "Kepercayaan" tidak ada hubungannya dengan nama bank.
Agar ada situs penipuan, situs tersebut harus memikat pengunjung, yang beberapa di antaranya mungkin menjadi korban penipuan. Situs penipuan tidak berumur panjang karena mereka dihitung dan ditutup dari waktu ke waktu. Untuk situs scam baru, hampir tidak mungkin untuk beriklan dengan jujur untuk mendapatkan lebih banyak lalu lintas dari mesin pencari. Bahkan jika situs semacam itu tidak terpilin selama satu tahun penuh, mereka biasanya tidak jatuh pada halaman pertama hasil. Masih ada satu-satunya cara untuk menarik pengunjung - untuk memasang iklan berbayar. Beriklan di permintaan kutub (misalnya, “penerbangan murah ke Anapa”) mahal dan penipu tidak akan menghabiskan uang mereka. Untuk melakukan ini, mereka memiliki data kartu curian dari mana Anda dapat dengan mudah mentransfer puluhan dan ratusan ribu rubel ke jaringan periklanan Yandex. Uang orang lain tidak disayangkan, dan untuk mencapai tempat pertama dalam masalah ini, penipu dapat membayar Yandex setiap biaya per klik: 100 rubel, 200 rubel, dll. Saya pikir tidak ada satu jaringan periklanan yang akan keberatan jika seseorang ingin berbagi uang dengannya.
Yandex telah menciptakan program yang ideal untuk dimasukkan ke dalam gudang penipu. Cukup untuk membeli smartphone bekas dan kartu SIM "kiri". Aplikasi diinstal pada smartphone. Nomor kartu curian dimasukkan ke dalamnya. Dan dari sudut mana pun di dunia di mana terdapat jaringan seluler atau wifi, Anda dapat mencuri uang dengan satu klik. Untuk yang paling mencurigakan, setelah seminggu atau sebulan, smartphone dan kartu sim dapat diubah. Melacak scammers semacam itu hampir tidak mungkin.
Semua orang senang, kecuali pemilik kartu tempat uang itu diambil. Berdasarkan kasus nyata yang dijelaskan dalam artikel pertama, bahkan jika Anda dengan cepat menghubungi Yandex kurang dari 12 jam setelah mentransfer dana ke Direct, Yandex segera menjawab: “Atas permintaan Anda, kami melakukan penyelidikan dan mengambil semua tindakan yang diperlukan. Sayangnya, uang itu sudah dihabiskan, dan kami tidak dapat mengembalikannya ... ". Jika Anda dengan cepat menghubungi bank Anda, Anda dapat mencoba mengembalikan dana, terutama mengingat dana itu didebit tanpa memeriksa 3D Secure. Seperti yang ditunjukkan artikel pertama, uang dalam kasus tertentu, setelah aplikasi ke bank pengirim, bahkan dikembalikan. Tetapi sebelum uang itu kembali, para korban scammers dipaksa untuk menulis kepada Yandex, ke bank mereka, ke polisi, dll., Dan menunggu satu bulan untuk kembali, berharap keajaiban. Sementara itu, penipu untuk beberapa klik memasukkan data yang dicuri dari kartu berikutnya ke dalam aplikasi dan meluncurkan seri baru dari seri tanpa akhir.
Atau mungkin masih menambahkan cek 3D Secure saat mengisi saldo di Yandex.Direct?