Cerca de seis meses atrás, em uma publicação no Geektimes,
“Voos baratos ... Ou uma rede de sites fraudulentos roubando dinheiro de cartões. Minha investigação ” , descrevi um caso em que, além de dinheiro para“ passagens aéreas falsas ”, meu conhecido foi roubado adicionalmente do cartão 35.200 rublos, que foram reabastecer a conta de golpistas na rede de publicidade Yandex.Direct. O valor roubado foi limitado apenas pelo saldo no cartão. Se ainda restasse dinheiro no cartão, eles teriam roubado mais. Nos comentários das baixas, foi indicado "YM * Yandex.Direct". Abaixo está um fragmento de um extrato bancário retirado da publicação mencionada:
No caso descrito, o número do cartão bancário da “vítima” foi roubado, ou melhor, obtido fraudulentamente em um site fraudulento. A vítima confirmou a transferência de fundos para bilhetes falsos usando os códigos 3D Secure que chegaram ao SMS do banco. No entanto, os fundos para a opala Yandex.Direct foram feitos em momentos diferentes, sem solicitações adicionais ao titular do cartão, sem verificações 3D Secure, etc.
Embora os golpistas tenham escrito em fóruns de sombra que o Yandex realmente não usa o 3D Secure ao pagar com o Yandex.Direct, não foi possível confirmar isso. Com nossos próprios testes de reposição do saldo do Yandex.Direct pelo site, sempre era realizada uma verificação adicional usando os códigos SMS do banco. Eu até pensei que o Yandex, como resultado da primeira publicação, rapidamente consertou seus serviços. Para mim e, para muitos, acho que não ficou claro por muito tempo como os golpistas contornaram essa verificação. E então, acidentalmente, encontrei esse método simples que estava na superfície e que ainda funciona.
A todos que, nos comentários do primeiro artigo, se vangloriam da "superproteção" de seus cartões e elogiavam seus bancos, sugiro que verifique durabilidade quanto ao pagamento do Yandex. Direto.Antes de continuarmos, no spoiler, você pode ver a aparência da forma de pagamento se reabastecer o saldo pela conta pessoal Yandex.Direct usando um navegador e a versão completa do site. Não há perguntas sobre a versão completa do site.
Carregue o saldo do Yandex.Direct através do site Nem posso dizer que descobri algo. O método é extremamente simples e, para usá-lo, você só precisa instalar o aplicativo Yandex.Direct para telefones celulares e pagar com cartão de crédito através deste aplicativo. É provável que um grande número de usuários respeitáveis do Yandex.Direct tenha usado esse método para reabastecer a balança, mas não tenha prestado atenção à falta de verificações ou deixado esse ponto para a consciência dos desenvolvedores. Uma sequência de pagamento simples é descrita abaixo, usando o exemplo de um aplicativo móvel para iOS.
Clicamos na inscrição "reabastecer a conta geral".Digite o valor e selecione o pagamento com cartão.Digite os dados do cartão.Dados do mapa salvos. No primeiro salvamento, 2 rublos são debitados automaticamente do cartão para verificação e, em seguida, o mesmo valor é devolvido.
Tudo isso acontece sem o uso do 3D Secure! Não há SMS, etc. Para pagamento basta saber o número do cartão, o prazo e o CVV. Durante o teste, foi utilizado um cartão Sberbank, segundo o qual, para qualquer outra compra pela Internet, o SMS sempre vem com códigos de verificação.
Captura de tela com verificação do cartão SMS e primeiro pagamento.Os dados do cartão são salvos no telefone por padrão. Além disso, o aplicativo móvel nem pergunta ao usuário se ele realmente deseja armazenar os dados do cartão no telefone. Com pagamentos subsequentes usando um cartão verificado anteriormente, o processo de reposição de saldo no Yandex.Direct é ainda mais acelerado. Basta selecionar um cartão salvo anteriormente e clicar no botão "Pagar" na parte inferior da tela. O valor padrão já foi inserido da mesma forma que era no pagamento anterior. O dinheiro voa para longe instantaneamente. O usuário nem é questionado se deseja realmente transferir o valor.
Na conta pessoal Yandex.Direct, no diário de pagamentos, os pagamentos com cartão usando o 3D Secure e os pagamentos sem verificação completa são assinados de maneira diferente. Os pagamentos por meio do formulário em sua conta na versão completa do site são assinados por "Cartão bancário", os pagamentos por meio do aplicativo móvel são assinados por "Confiança, cartão bancário". "Confiança" não tem nada a ver com o nome do banco.
Para que um site fraudulento exista, ele deve atrair visitantes de alguma forma, alguns dos quais podem se tornar vítimas de fraude. Sites fraudulentos não duram muito porque são calculados e encerrados com o tempo. Para novos sites fraudulentos, é quase impossível anunciar de maneira honesta para obter mais tráfego dos mecanismos de pesquisa. Mesmo que esses sites não sejam torcidos por um ano inteiro, eles geralmente não se enquadram nas primeiras páginas dos resultados. Ainda existe a única maneira de atrair visitantes - colocar publicidade paga. Publicidade em solicitações polares (por exemplo, "voos baratos para Anapa") é cara e os golpistas não gastam seu dinheiro. Para fazer isso, eles têm os dados de cartões roubados dos quais você pode facilmente transferir dezenas e centenas de milhares de rublos para a rede de publicidade Yandex. O dinheiro de outra pessoa não é uma pena, e para chegar ao primeiro lugar na questão, os fraudadores podem pagar ao Yandex qualquer custo por clique: 100 rublos, 200 rublos, etc. Penso que nem uma única rede de publicidade se importará que alguém queira compartilhar dinheiro com ela.
O Yandex criou um programa ideal para inclusão no arsenal de golpistas. Basta comprar um smartphone usado antigo e um cartão SIM "esquerdo". Um aplicativo está instalado no smartphone. O número do cartão roubado é inserido nele. E de qualquer canto do mundo em que haja uma rede móvel ou wifi, você pode roubar dinheiro com um clique. Para os mais suspeitos, depois de uma semana ou um mês, o smartphone e o cartão SIM podem ser alterados. Rastrear esses golpistas é quase impossível.
Todos estão felizes, exceto os donos dos cartões dos quais estão retirando dinheiro. Com base no caso real descrito no primeiro artigo, mesmo que você entre em contato rapidamente com o Yandex menos de 12 horas após a transferência de fundos para o Direct, o Yandex prontamente responde: “A seu pedido, conduzimos uma investigação e tomamos todas as medidas necessárias. Infelizmente, o dinheiro já foi gasto e não conseguimos devolvê-lo ... ". Se você entrar em contato rapidamente com seu banco, poderá tentar devolver os fundos, principalmente considerando que eles foram debitados sem verificar o 3D Secure. Como o primeiro artigo mostrou, o dinheiro em um caso específico, após uma solicitação ao banco do remetente, foi devolvido. Mas, antes que o dinheiro volte, as vítimas de golpistas são forçadas a escrever para o Yandex, para o banco, para a polícia etc. e aguardam um mês para voltar, esperando um milagre. Enquanto isso, fraudadores por alguns cliques inserem os dados roubados do próximo cartão no aplicativo e lançam uma nova série de séries intermináveis.
Ou talvez ainda adicione uma verificação 3D Secure ao reabastecer a balança no Yandex.Direct?