Geekly articles weekly

Peretas mencuri dan mencuci uang melalui pengiriman makanan dan layanan pemesanan hotel.

gambar dari xakep.ru

Sebagai kewajiban, Anda harus mempelajari forum bawah tanah untuk mencari informasi terbaru tentang kerentanan, kebocoran kata sandi, dan hal-hal menarik lainnya. Kadang-kadang kami menyarankan perwakilan lembaga penegak hukum tentang topik kerentanan baru, serangan dan skema serangan, dan ada situasi ketika pasukan keamanan berbagi "berita terbaru" mereka. Saya pikir banyak orang akan berbagi pandangan saya tentang fakta bahwa jika "skema" atau "kerentanan" masuk ke forum, maka, sebagai suatu peraturan, seseorang telah lama menghapus semua "krim" dari itu. Dan forum di luar zona .onion tidak harus ditanggapi dengan serius. Tapi kali ini, sebuah sirkuit ditemukan yang terkejut dengan kesederhanaan dan kebaruan relatifnya. Sebenarnya, akan ada cerita hari ini tentang bagaimana peretas mencuri dan mencuci uang melalui layanan pengiriman makanan.

Bagaimana mereka membunuh bagian penting dari carding, latar belakang


Orang-orang yang terbiasa dengan sistem anti-penipuan dan keamanan pembayaran bank telah lama mengetahui bahwa sebagian besar layanan yang menerima pembayaran dengan kartu kredit online telah lama menghubungkan sistem tambahan untuk memverifikasi pembayaran melalui telepon (melalui SMS, panggilan, atau aplikasi). VISA memiliki sistem yang disebut 3-D Secure untuk pendeknya, 3DS , ia bekerja dalam sistem Verified by Visa (VbV), Mastercard memiliki analog yang disebut Mastercard SecureCode (MCC). Intinya sederhana, jika Anda memasukkan data dari kartu kredit Anda di suatu tempat, untuk pembayaran yang berhasil, Anda juga perlu memasukkan kode yang diterima dari SMS, panggilan atau aplikasi untuk mengonfirmasi bahwa Andalah yang melakukan pembelian, dan bukan peretas yang merampok Anda.

Dengan diperkenalkannya sistem ini, sebagian besar pembayaran dari kartu kredit orang lain (yang dicuri) dilupakan.

Giants menghargai pendapatan dan omset lebih dari keselamatan


Namun, layanan besar, yang sangat dimuat seperti Booking.com, Airbnb, Amazon.com, Facebook.com telah menonaktifkan atau membatasi penggunaan fitur verifikasi tambahan ini, karena (kemungkinan besar) berdampak besar pada penjualan dan konversi. Tentu saja, mereka menggantinya dengan verifikasi tambahan di dalam akun dan jaringan saraf dengan solusi anti-penipuan paling keren, tetapi ini tidak banyak membantu. Masalahnya bukan hal baru dan dibahas secara luas ( bukti ). Komisi Perdagangan Federal AS juga mengatakan bahwa antara 2012 dan 2016, 13 juta pengaduan diterima, 3 juta di 2016 saja, 13% di antaranya adalah pencurian identitas dan kartu kredit. Dan ini hanya data untuk Amerika Serikat. Kenyataannya adalah bahwa lebih baik untuk membuat staf pengacara terlibat dalam pengembalian pembayaran dari kartu orang lain daripada mengurangi aliran dana. Akibatnya, seluruh forum muncul dengan proposal untuk memesan hotel dengan 25% -50% dari biaya ( bukti ). Risiko bisnis tidak lebih.

Jadi, skema yang agak populer untuk pencucian uang dari kartu kredit curian melalui layanan sewa muncul ( contoh dari korban carder). Dalam versi yang disederhanakan, tampilannya seperti ini:

  1. Ambil apartemen untuk disewa dengan hak untuk disewakan.
  2. Daftarkan apartemen di booking.com dan / atau Airbnb
  3. Beli detail kartu kredit curian
  4. Diduga memesan apartemen dengan kami sendiri, menurut data kartu curian
  5. Dapatkan uang bersih dari Pemesanan atau Airbnb

Secara alami, opsi untuk skema di atas dapat satu juta, dari mendaftar di Booking, Airbnb tidak ada apartemen (ini nyata), untuk mendaftarkan akun untuk data Anda, tanpa sepengetahuan pemilik apartemen / hotel. Orang-orang secara besar-besaran mencari / membeli pemilik hotel yang tidak jujur โ€‹โ€‹( bukti ) atau menawarkan layanan mereka ( bukti ).

Mengapa pencucian uang justru melalui layanan sewa apartemen? Seperti yang saya tulis di atas, tidak ada (atau penggunaan terbatas) VBV dan 3DS, dan kartu lebih mudah untuk "dikendarai" di sana. Juga, pemilik hotel sering berbuat dosa dengan mencuci uang melalui preauthorization dan penyelesaian di terminal POS dengan dukungan untuk input kartu secara manual ( bukti ), tetapi ini adalah cerita yang sama sekali berbeda yang akan saya ceritakan nanti. Mari kita kembali ke penyedia pengiriman makanan kami.

Layanan pengiriman makanan juga tidak peduli kartu siapa


GLOVO, UBER, Yandex Food dan layanan pengiriman murah lainnya dengan cepat masuk ke dalam kehidupan kita bersama dengan layanan pemesanan hotel. Dan tahukah Anda? Mereka tidak peduli jika nama pemegang akun cocok dengan nama pada kartu kredit. Mereka tidak peduli ke mana harus mengirim dan ke mana mendapatkan barang. VBV dan 3DS tidak begitu penting bagi mereka sebagai raksasa reservasi hotel, di mana omset dan pendapatan jauh lebih penting.

Jadi, ketika bekerja pada urutan berikutnya untuk menguji sistem anti-penipuan di HackControl, mengumpulkan skema penipuan baru, saya menemukan "kebaruan". Carder dan scammer telah membuat skema yang, dalam perkiraan pertama, terlihat seperti ini.

  1. Daftarkan toko / hot dog / restoran / bangku dalam sistem pengiriman makanan, atau cukup tunjukkan ke petugas pengiriman persis di mana ia harus membeli pesanan.
  2. Mereka membeli kartu kredit curian dan melampirkannya ke akun.
  3. Melalui kartu kredit curian dan aplikasi pengiriman makanan, kurir yang tidak curiga dibeli di toko mereka sendiri dan menunggu pengiriman.
  4. Mereka membawa makanan kembali dan seterusnya dalam lingkaran.

Secara alami, saya menggambarkan skema tersebut sebagai perkiraan pertama, dan penipu mengubah restoran, toko, dan alamat pengiriman, tetapi esensi dari ini tidak berubah.

Penafian dan kesimpulan


Publikasi ini tidak bermaksud menunjukkan kerentanan dalam layanan pengiriman makanan atau reservasi tempat tinggal tertentu. Itu tidak mengklaim sebagai panduan komprehensif untuk perlindungan dan pencegahan kegiatan penipuan. Itu tidak dapat diartikan sebagai panggilan atau panduan untuk bertindak. Penipuan kartu kredit, penggunaan data orang lain saat memesan hotel atau mengirim makanan benar-benar ilegal dan merupakan tindak pidana.

Kesimpulan komprehensifnya adalah bahwa pencipta sistem antifraud, direktur yang bertanggung jawab atas risiko dan arsitek terkadang harus pergi ke โ€œpenjara bawah tanahโ€ untuk melihat bagaimana lagi Anda dapat menggunakan layanan yang mereka kembangkan. Sekarang, selama pengujian rekayasa sosial yang sama ( social engineering ), kami dan perusahaan lain menawarkan pelanggan untuk menguji layanan mereka juga untuk penipuan dengan logika bisnis. Saat ini, bahkan pengujian penetrasi tanpa memeriksa logika bisnis sudah menjadi tidak lengkap. Sebuah bisnis tidak membeli layanan template, penjualan lebih cenderung melalui analis bisnis untuk membantu meningkatkan proses tertentu dan mencegah risiko. Saat membuat layanan pengiriman, Anda perlu mempertimbangkan tidak hanya risiko utama, seperti "tetapi apakah mereka akan mengirimkan obat melalui kami", tetapi juga risiko lain dari penggunaan layanan secara ilegal dalam aktivitas ilegal.

Source: https://habr.com/ru/post/id465271/

More articles:


All Articles