作为职责,您必须深入地下论坛,以查找有关漏洞,密码泄漏和其他有趣事物的最新信息。 有时,我们会就新的漏洞,攻击和攻击方案为执法机构的代表提供建议,并且在某些情况下安全部队会共享其“新产品”。 我认为,如果论坛上出现“方案”或“漏洞”,那么通常来说,很久以来就有人从中删除了所有“奶油”,因此,我将分享我的观点。 .onion区域之外的论坛不应受到重视。 但是这次,发现了一个电路,它的相对简单性和新颖性令人惊讶。 实际上,今天将有关于黑客如何通过食品配送服务来窃取和洗钱的故事。
他们如何杀死梳理的重要部分,背景
熟悉反欺诈系统和银行付款安全性的人们早就知道,大多数接受在线信用卡付款的服务早已连接了电话(通过SMS,电话或应用程序)付款的其他验证系统。 VISA拥有一个称为3-D Secure(简称
3DS )的系统,可在Visa验证(VbV)系统中运行,Mastercard具有一个称为Mastercard SecureCode(MCC)的类似物。 底线很简单,如果您从某处的信用卡中输入数据,则要成功付款,您还需要输入从SMS,电话或应用程序收到的代码以确认是您进行购买,而不是黑客抢劫您。
随着这些系统的引入,其他人(被盗)信用卡支付的大部分款项被遗忘了。
巨人比安全更看重收入和营业额
但是,像Booking.com,Airbnb,Amazon.com,Facebook.com这样的大型,高负载服务已禁用或限制了此附加验证功能的使用,因为它(很可能)对销售和转化产生了很大影响。 当然,他们用最酷的反欺诈解决方案在帐户和神经网络内部进行了额外的验证来代替了它,但这并没有太大帮助。 这个问题不是新问题,并且已被广泛讨论(
证明 )。 美国联邦贸易委员会还
表示 ,在2012年至2016年期间,共收到1300万起投诉,仅2016年就达到300万起,其中13%是身份盗窃和信用卡。 这只是美国的数据。 现实情况是,最好让一支律师团队参与从别人的卡中退还款项,而不是减少资金流量。 结果,出现了整个论坛,并提出了以25%-50%的费用预订酒店的提议(
证明 )。 业务不再有风险。
因此,出现了一种颇受欢迎的通过出租服务从被盗信用卡中洗钱的计划(这
是持卡人的
一个例子 )。 在简化版本中,它看起来像这样:
- 租用具有转租权的公寓。
- 在booking.com和/或Airbnb上注册公寓
- 购买被盗的信用卡详细信息
- 根据被盗卡的数据,据称与我们自己预定公寓
- 从预订或Airbnb获得净钱
当然,上述方案的选项可以是一百万种,从在Airbnb不存在的公寓(这是真实的)的预订处进行注册,到在公寓/酒店所有者不知情的情况下为您的数据注册帐户。 人们正在大量寻找/购买不诚实的酒店所有者(
证明 )或提供其服务(
证明 )。
为什么要通过公寓租赁服务洗钱? 正如我在上面所写,没有(或限制使用)VBV和3DS,并且更容易在其中“插入”卡。 此外,酒店所有者经常在POS终端中通过预授权和完成并支持人工输入卡(
证明 )来洗钱,从而犯下了罪,但这是一个完全不同的故事,下一次我将告诉您,让我们回到我们的送餐服务提供商那里。
送餐服务也不在乎谁的卡
GLOVO,UBER,Yandex Food和其他廉价送货服务与酒店预订服务一起迅速进入了我们的生活。 你知道吗? 他们并不在乎帐户持有人的姓名与信用卡上的姓名是否匹配。 他们不在乎在哪里送货和在哪里领取货物。 对于酒店预订巨头来说,VBV和3DS并不那么重要,后者的营业额和收入都更为重要。
因此,在处理下一个在HackControl中测试反欺诈系统的订单,收集新的欺诈性方案时,我遇到了一个“新颖性”。 梳棉机和诈骗者提出了一种方案,大致上是这样的。
- 在食品配送系统中注册商店/热狗/餐厅/长凳,或简单地向配送员指示他应该在哪里购买订单。
- 他们购买了被盗的信用卡,并将其附加到帐户中。
- 通过被盗的信用卡和食品交付应用程序,可以在自己的商店中购买毫无戒心的快递员,然后等待交货。
- 他们把食物带回来等等。
自然,我将这种方案描述为第一近似方案,骗子更改餐馆,商店和送货地址,但是其本质没有改变。
免责声明和结论
本出版物无意显示特定送餐服务或住房预订中的漏洞。 它并不声称是保护和预防欺诈活动的全面指南。 不能将其解释为呼吁或行动指南。 信用卡欺诈,在预订酒店或提供食物时使用他人的数据是绝对违法的,是刑事犯罪。
全面的结论是,反欺诈系统的创建者,负责风险的主管以及架构师有时需要深入研究“地牢”,以了解您还可以如何使用他们开发的服务。 现在,在相同的
社会工程测试(
social engineering )中,我们和其他公司为客户提供了测试他们的服务的服务,以防止业务逻辑的欺诈。 如今,即使不检查业务逻辑就进行渗透测试也已变得不完整。 企业不购买模板服务,则更有可能通过业务分析师来帮助改进特定流程并预防风险。 创建交付服务时,您不仅需要考虑主要风险,例如“但他们会通过我们交付毒品”,还需要考虑在非法活动中非法使用服务的其他风险。