18.10.2019, 11:10

Как хакеры воруют и отмывают деньги через сервисы доставки еды

Никита Кныш

CEO HackControl

Сервисы бронирования отелей тоже под ударом. Узнайте, как это все происходит

По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и других интересных вещей.

Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения. Случаются ситуации, когда “новинками” делятся силовики.

Думаю, многие разделят мою точку зрения касательно того, что, если “схема” или “уязвимость” попала на форум, то, как правило, все “сливки” с нее уже давно кто-то снял. Да и форумы вне зоны .onion очень серьезно воспринимать не стоит.

Но в этот раз мы нашли схему, которая удивила своей относительной простотой и новизной. Собственно, о том, как хакеры воруют и отмывают деньги через сервисы доставки еды, и будет сегодняшний рассказ.

Как убили значительную часть кардинга. Предыстория

Люди, сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн, давно подключили систему дополнительной верификации по телефону (через смс, звонок или приложение). У MasterCard такая система называется 3D Secure - сокращенно 3DS, у VISA - это аналогичная система Verified by Visa (VbV).

Суть проста: если вы ввели где-то данные со своей кредитной карты, для успешного платежа вам потребуется еще и ввести разовый код, полученный из смс, звонка или приложения, чтобы подтвердить, что это именно вы совершаете покупку, а не хакеры грабят вас.

С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие. 

Гигантам важнее объем выручки и оборота средств, чем безопасность

Однако крупные, высоко-нагруженные сервисы вроде Booking.com, AirBNB, Amazon.com, Facebook.com отключили или ограниченно используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсию.

Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, но это не сильно помогло.

Проблема не нова и широко обсуждается. По данным Федеральной торговой комиссии США из 13 млн жалоб потребителей за 2012-2016 годы (3 млн в одном только в 2016-м) 13% касались хищения персональных данных и карт. И это данные только по США.

Реальность такова, что лучше содержать штат юристов, занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие, появились целые форумы с предложениями забронировать отель за 25%-50% от стоимости
. Бизнес-риски, не более.

Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:

  1. Берут квартиру в аренду с правом субаренды.

  2. Регистрируют квартиру на booking.com и/или AirBNB 

  3. Покупают данные ворованных кредитных карт

  4. Якобы бронируют квартиру у самих себя на данные ворованных карт

  5. Получают уже чистые деньги от Booking.com или AirBNB

Естественно, вариантов вышеописанной схемы может быть множество: от регистрации на Booking, AirBNB несуществующих квартир (это реально) до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут и скупают недобросовестных владельцев отелей или же предлагают свои услуги.

Почему деньги отмывают именно через сервисы аренды квартир? Как я писал выше, там нет (или используется ограниченно) VBV и 3DS и карты туда легче “вбиваются”. Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение операции в POS терминалах с поддержкой ручного ввода карт, но это уже совсем другая история о которой я расскажу в следующий раз.

Вернемся к нашим доставщикам еды.

Сервисам доставки еды тоже не важно, чья карта

GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует, совпадает ли имя владельца аккаунта с именем на кредитной карте.

Им не важно, куда доставлять еду и откуда брать товар. Им так же, как гигантам бронирования отелей, не так важны VBV и 3DS, им куда важнее оборот и выручка.

Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на “новинку”. Кардеры и мошенники придумали схему, которая, в первом приближении, выглядит так:

  1. Регистрируют магазин/бистро/ресторан/торговую лавку в системе доставки еды или просто указывают доставщику, где именно он должен купить заказ.

  2. Покупают ворованную кредитную карту и привязывают к аккаунту.

  3. Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером, делают закупку в собственном магазине и ждут доставку продуктов.

  4. Отвозят продукты обратно, и так по кругу.

Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется. 

Дисклеймер и выводы

Данная публикация не несет в себе целью показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует и на роль исчерпывающего руководства по защите и предотвращению мошеннических действий.

Не может быть трактована как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды - абсолютно незаконны и являются уголовным преступлением.

Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам, отвечающих за риски, и архитекторам нужно иногда спускаться в “подземелье”, чтобы посмотреть как можно использовать разработанные ими сервисы.

Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на предмет мошенничества в обход бизнес-логики.

Сегодня даже тестирование на проникновение без проверки бизнес-логики уже становится не полным. Бизнес не покупает шаблонные услуги, продажи идут, скорее, через бизнес-аналитиков, помогающих улучшить тот или иной процесс и предотвратить риски.

При создании сервиса доставки нужно продумывать не только основные риски, вроде “а не будут ли через нас доставлять наркотики”, но и другие риски незаконного использования сервиса в противоправной деятельности.

Статьи, публикуемые в разделе "Мнения", отражают точку зрения автора и могут не совпадать с позицией редакции LIGA.net
Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.
ПОСЛЕДНИЕ НОВОСТИ