Geekly articles weekly

Os hackers roubam e lavam dinheiro através de serviços de entrega de comida e reserva de hotel.

foto de xakep.ru

Por uma questão de dever, você precisa se aprofundar em fóruns clandestinos em busca das informações mais recentes sobre vulnerabilidades, vazamentos de senhas e outras coisas interessantes. Às vezes, aconselhamos os representantes das agências policiais sobre o tópico de novas vulnerabilidades, ataques e esquemas de ataque, e há situações em que as forças de segurança compartilham suas “últimas notícias”. Eu acho que muitos compartilharão meu ponto de vista com relação ao fato de que, se um "esquema" ou "vulnerabilidade" aparecer no fórum, então, como regra, alguém já há muito tempo removeu todo o "creme" dele. E fóruns fora da zona .onion não devem ser levados a sério. Mas desta vez, foi encontrado um circuito que surpreendeu com sua relativa simplicidade e novidade. Na verdade, haverá a história de hoje sobre como os hackers roubam e lavam dinheiro através de serviços de entrega de alimentos.

Como eles mataram uma parte significativa da cardação, os antecedentes


As pessoas familiarizadas com os sistemas antifraude e a segurança dos pagamentos bancários sabem há muito tempo que a maioria dos serviços que aceitam pagamentos com cartão de crédito on-line há muito tempo conecta um sistema para verificação adicional de pagamentos por telefone (via SMS, chamada ou aplicativo). A VISA possui um sistema chamado 3-D Secure, 3DS , que funciona dentro do sistema Verified by Visa (VbV), a Mastercard possui um analógico chamado Mastercard SecureCode (MCC). A linha inferior é simples: se você inseriu em algum lugar as informações do seu cartão de crédito, para um pagamento bem-sucedido, também precisará inserir o código recebido do SMS, da chamada ou do aplicativo para confirmar que é você quem faz a compra e não os hackers o roubam.

Com a introdução desses sistemas, uma parcela significativa dos pagamentos com cartões de crédito de outras pessoas (roubados) foi esquecida.

Gigantes valorizam mais a receita e a rotatividade do que a segurança


No entanto, serviços grandes e altamente carregados, como Booking.com, Airbnb, Amazon.com, Facebook.com desativaram ou limitaram o uso desse recurso de verificação adicional, uma vez que (provavelmente) teve um grande impacto nas vendas e na conversão. É claro que eles o substituíram por uma verificação adicional dentro da conta e redes neurais pelas soluções antifraude mais legais, mas isso não ajudou muito. O problema não é novo e é amplamente discutido ( prova ). A Comissão Federal de Comércio dos EUA também afirmou que, entre 2012 e 2016, foram recebidas 13 milhões de reclamações, sendo 3 milhões apenas em 2016, 13% das quais são roubo de identidade e cartões de crédito. E esses são apenas dados para os Estados Unidos. A realidade é que é melhor manter uma equipe de advogados envolvida no reembolso de pagamentos de cartões de outras pessoas do que reduzir o fluxo de fundos. Como resultado, fóruns inteiros apareceram com uma proposta de reservar um hotel por 25% a 50% do custo ( prova ). Os negócios não arriscam mais.

Assim, apareceu um esquema bastante popular de lavagem de dinheiro de cartões de crédito roubados por meio de serviços de aluguel ( um exemplo de vítima de credores). Em uma versão simplificada, fica assim:

  1. Alugue um apartamento para alugar com o direito de sublocação.
  2. Registre um apartamento no booking.com e / ou Airbnb
  3. Comprar detalhes do cartão de crédito roubado
  4. Alegadamente reservar um apartamento conosco, de acordo com os dados dos cartões roubados
  5. Já receba dinheiro líquido da Booking ou Airbnb

Naturalmente, as opções para o esquema acima podem ser de um milhão, desde o registro no Booking, apartamentos não existentes no Airbnb (isso é real), até o registro de uma conta para seus dados, sem o conhecimento do proprietário do apartamento / hotel. As pessoas procuram / compram massivamente proprietários de hotéis desonestos ( prova ) ou oferecem seus serviços ( prova ).

Por que o dinheiro é lavado precisamente através dos serviços de aluguel de apartamentos? Como escrevi acima, não há (ou uso limitado de) VBV e 3DS, e as placas são mais fáceis de "dirigir" por lá. Além disso, os proprietários de hotéis costumam pecar lavando dinheiro por meio de pré-autorização e conclusão nos terminais de ponto de venda com suporte para entrada manual de cartões ( prova ), mas esta é uma história completamente diferente sobre a qual vou contar da próxima vez.

Os serviços de entrega de alimentos também não se importam com o cartão


GLOVO, UBER, Yandex Food e outros serviços de entrega baratos rapidamente invadiram nossas vidas, juntamente com serviços de reserva de hotel. E você sabe o que? Eles realmente não se importam se o nome do titular da conta corresponde ao nome no cartão de crédito. Eles não se importam onde entregar e onde obter as mercadorias. O VBV e o 3DS não são tão importantes para eles como os gigantes de reservas de hotéis, onde a rotatividade e a receita são muito mais importantes.

Então, enquanto trabalhava no próximo pedido para testar sistemas antifraude no HackControl, coletando novos esquemas fraudulentos, me deparei com uma "novidade". Carders e scammers criaram um esquema que, em uma primeira aproximação, se parece com isso.

  1. Registre uma loja / cachorro-quente / restaurante / bancada no sistema de entrega de alimentos ou simplesmente indique ao entregador exatamente onde ele deve comprar o pedido.
  2. Eles compram um cartão de crédito roubado e o anexam à conta.
  3. Através de um cartão de crédito roubado e um aplicativo de entrega de comida, um mensageiro desavisado é comprado em sua própria loja e aguardando a entrega.
  4. Eles trazem comida de volta e assim por diante em um círculo.

Naturalmente, descrevi o esquema como uma primeira aproximação e os golpistas mudam restaurantes, lojas e endereços de entrega, mas a essência disso não muda.

Isenção de responsabilidade e conclusões


Esta publicação não pretende mostrar vulnerabilidades em um serviço específico de entrega de alimentos ou reserva de moradia. Não afirma ser um guia abrangente para a proteção e prevenção de atividades fraudulentas. Não pode ser interpretado como uma chamada ou um guia de ação. Fraude no cartão de crédito, o uso de dados de outras pessoas na reserva de hotéis ou na entrega de alimentos é absolutamente ilegal e é uma ofensa criminal.

A conclusão abrangente é que os criadores de sistemas antifraude, diretores responsáveis ​​por riscos e arquitetos às vezes precisam ir até o "calabouço" para ver de que outra maneira você pode usar os serviços que eles desenvolveram. Agora, durante o mesmo teste de engenharia social ( engenharia social ), nós e outras empresas oferecemos aos clientes que testem seus serviços também por fraude com a lógica de negócios. Hoje, mesmo o teste de penetração sem verificar a lógica de negócios já está se tornando incompleto. Uma empresa não compra serviços de modelos, é mais provável que as vendas através de analistas de negócios ajudem a melhorar um processo específico e a evitar riscos. Ao criar um serviço de entrega, é necessário considerar não apenas os principais riscos, como “mas se eles entregarão drogas através de nós”, mas também outros riscos do uso ilegal do serviço em atividades ilegais.

Source: https://habr.com/ru/post/pt465271/

More articles:


All Articles