大约六个月前,在Geektimes上的出版物中,
“廉价航班...或一个欺诈性网站从信用卡中窃取钱财的网络。 我的调查“我描述了一个案例,其中除了用于购买“假机票”的钱外,我的朋友还从35200卢布的卡中被盗,该卡用于补充Yandex.Direct广告网络中诈骗者的帐户。 被盗金额仅受卡上余额的限制。 如果卡上还剩钱,那他们会偷更多的钱。 在注销的评论中,指出“ YM * Yandex.Direct”。 以下是从上述出版物中摘录的银行对帐单的一部分:
在所述情况下,“受害者”银行卡号被盗,或者更确切地说,是在欺诈性网站上以欺诈方式获得的。 受害人使用银行发送到SMS的3D安全代码确认了伪造机票的资金转移。 但是,Yandex.Direct opal的资金在不同时间汇入,没有向持卡人提出任何其他要求,也没有3D Secure支票等。
尽管诈骗者在影子论坛上写道,在使用Yandex.Direct付款时,Yandex并未真正使用3D Secure,但无法证实这一点。 通过我们对站点的Yandex.Direct直接余额补充进行的测试,始终使用银行的SMS代码进行额外的支票。 我什至以为Yandex作为第一本出版物的结果,很快就修复了它的服务。 对于我来说,我认为,对于许多人来说,很长一段时间以来还不清楚诈骗者是如何规避这张支票的。 因此,我无意中发现了这种简单的方法,它位于表面,并且仍然有效。
对于在第一篇文章的评论中吹嘘自己的卡具有“超级保护”并称赞其银行的每个人,我建议在付款给Yandex时检查它们的耐用性。 直接在继续之前,如果您使用浏览器和网站的完整版通过Yandex.Direct个人帐户补充余额,则可以在剧透状态下查看付款方式。 没有关于网站完整版的疑问。
我什至不能说我发现了一些东西。 该方法非常简单,要使用它,您只需安装用于手机的Yandex.Direct应用程序,然后通过此应用程序以信用卡付款。 Yandex.Direct的大量受人尊敬的用户很可能使用了这种补充余额的方法,但没有注意缺少支票,或者没有注意到开发人员的良心。 下面以iOS移动应用程序的示例为例,介绍了一个简单的付款顺序。
我们单击题词“补充一般帐户”。输入金额,然后选择通过卡付款。输入卡数据。地图数据已保存。 第一次保存时,会自动从卡中扣除2卢布以进行验证,然后退还相同的金额。
所有这些都无需使用3D Secure即可完成! 没有短信等。 对于付款,足够知道卡号,其期限和CVV。 测试时,使用了Sberbank卡,根据该卡,对于通过Internet进行的任何其他购买,SMS始终带有验证码。
带有SMS卡验证和首次付款的屏幕截图。卡数据默认情况下会保存到手机中。 而且,移动应用程序甚至不询问用户他是否真的要在电话上存储卡数据。 使用先前经过验证的卡进行后续付款后,Yandex.Direct中的余额补充过程将进一步加速。 选择先前保存的卡并单击屏幕底部的“支付”按钮就足够了。 已输入与上次付款相同的默认金额。 钱立即飞走。 甚至没有提示用户是否确实要转移金额。
在Yandex.Direct个人帐户的付款日记帐中,使用3D Secure进行的卡付款和未经完全验证的付款的签署方式不同。 通过您网站完整版帐户中的表格进行的付款由“银行卡”签名,通过移动应用程序进行的付款由“信任,银行卡”签名。 “信任”与银行名称无关。
为了使任何欺诈性网站都存在,它必须以任何方式吸引访问者,其中一些人可能成为欺诈行为的受害者。 欺诈性网站的生存时间不长,因为它们是经过计算并随着时间而关闭的。 对于新的诈骗网站,几乎不可能以诚实的方式做广告以从搜索引擎获得更多流量。 即使此类站点整整一年没有扭转,它们通常也不会落在结果的首页上。 仍然存在吸引游客的唯一方法-放置付费广告。 根据极地要求进行广告(例如“飞往阿纳帕的廉价航班”)非常昂贵,骗子不会花钱。 为此,他们拥有被盗卡的数据,您可以从中轻松地将成千上万卢布转移到Yandex广告网络。 别人的钱可惜,为了抢占先机,欺诈者可以向Yandex支付每次点击的任何费用:100卢布,200卢布,等等。 我认为,没有哪个广告网络会介意有人要与其分享金钱。
Yandex创建了一个程序,非常适合将其包含在欺诈者的武器库中。 足以购买旧的二手智能手机和一张“左” SIM卡。 应用程序已安装在智能手机上。 被盗的卡号已输入其中。 在全球任何地方都有移动网络或wifi的情况下,您只需单击一下即可窃取资金。 对于最可疑的情况,一周或一个月后,可以更换智能手机和SIM卡。 跟踪此类骗子几乎是不可能的。
每个人都很高兴,除了要从中提取钱的卡的所有者。 根据第一篇文章中描述的真实案例,即使您在将资金转入Direct之前不到12小时迅速联系Yandex,Yandex也会迅速回复:“根据您的要求,我们进行了调查并采取了所有必要措施。 不幸的是,这笔钱已经花光了,我们无法退还……”。 如果您迅速与银行联系,则可以尝试退还资金,尤其是考虑到资金已借记而未检查3D Secure。 如第一篇文章所述,在特定情况下,在向汇款人的银行提出申请后,这笔钱甚至被退还了。 但是,在钱还没回来之前,骗子的受害者被迫写信给Yandex,他们的银行,警察等,然后等待一个月才能还钱,以期创造奇迹。 同时,欺诈者只需点击几下,即可将下一张卡的被盗数据输入到应用程序中,并发起一系列无休止的新活动。
还是在Yandex.Direct中补充余额时仍添加3D安全支票?