Rashkostan.com

Как хакеры воруют и отмывают деньги через сервисы доставки еды

По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и других интересных вещей.
Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения. Случаются ситуации, когда "новинками" делятся силовики.

Думаю, многие разделят мою точку зрения касательно того, что, если "схема" или "уязвимость" попала на форум, то, как правило, все "сливки" с нее уже давно кто-то снял. Да и форумы вне зоны .onion очень серьезно воспринимать не стоит.

Но в этот раз мы нашли схему, которая удивила своей относительной простотой и новизной. Собственно, о том, как хакеры воруют и отмывают деньги через сервисы доставки еды, и будет сегодняшний рассказ.

Как убили значительную часть кардинга. Предыстория

Люди, сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн, давно подключили систему дополнительной верификации по телефону (через смс, звонок или приложение). У MasterCard такая система называется 3D Secure – сокращенно 3DS, у VISA – это аналогичная система Verified by Visa (VbV).

Суть проста: если вы ввели где-то данные со своей кредитной карты, для успешного платежа вам потребуется еще и ввести разовый код, полученный из смс, звонка или приложения, чтобы подтвердить, что это именно вы совершаете покупку, а не хакеры грабят вас.

С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие.

Гигантам важнее объем выручки и оборота средств, чем безопасность

Однако крупные, высоко-нагруженные сервисы вроде Booking.com, AirBNB, Amazon.com, Facebook.com отключили или ограниченно используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсию.

Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, но это не сильно помогло.

Проблема не нова и широко обсуждается. По данным Федеральной торговой комиссии США из 13 млн жалоб потребителей за 2012-2016 годы (3 млн в одном только в 2016-м) 13% касались хищения персональных данных и карт. И это данные только по США.

Реальность такова, что лучше содержать штат юристов, занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие, появились целые форумы с предложениями забронировать отель за 25%-50% от стоимости. Бизнес-риски, не более.

Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:

  1. Берут квартиру в аренду с правом субаренды.
  2. Регистрируют квартиру на booking.com и/или AirBNB
  3. Покупают данные ворованных кредитных карт
  4. Якобы бронируют квартиру у самих себя на данные ворованных карт
  5. Получают уже чистые деньги от Booking.com или AirBNB

Естественно, вариантов вышеописанной схемы может быть множество: от регистрации на Booking, AirBNB несуществующих квартир (это реально) до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут и скупают недобросовестных владельцев отелей или же предлагают свои услуги.

Почему деньги отмывают именно через сервисы аренды квартир? Как я писал выше, там нет (или используется ограниченно) VBV и 3DS и карты туда легче "вбиваются". Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение операции в POS терминалах с поддержкой ручного ввода карт, но это уже совсем другая история о которой я расскажу в следующий раз.

Вернемся к нашим доставщикам еды.

Сервисам доставки еды тоже не важно, чья карта

GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует, совпадает ли имя владельца аккаунта с именем на кредитной карте.

Им не важно, куда доставлять еду и откуда брать товар. Им так же, как гигантам бронирования отелей, не так важны VBV и 3DS, им куда важнее оборот и выручка.

Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на "новинку". Кардеры и мошенники придумали схему, которая, в первом приближении, выглядит так:

  1. Регистрируют магазин/бистро/ресторан/торговую лавку в системе доставки еды или просто указывают доставщику, где именно он должен купить заказ.
  2. Покупают ворованную кредитную карту и привязывают к аккаунту.
  3. Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером, делают закупку в собственном магазине и ждут доставку продуктов.
  4. Отвозят продукты обратно, и так по кругу.

Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется.

Дисклеймер и выводы

Данная публикация не несет в себе целью показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует и на роль исчерпывающего руководства по защите и предотвращению мошеннических действий.

Не может быть трактована как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды – абсолютно незаконны и являются уголовным преступлением.

Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам, отвечающих за риски, и архитекторам нужно иногда спускаться в "подземелье", чтобы посмотреть как можно использовать разработанные ими сервисы.

Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на предмет мошенничества в обход бизнес-логики.

Сегодня даже тестирование на проникновение без проверки бизнес-логики уже становится не полным. Бизнес не покупает шаблонные услуги, продажи идут, скорее, через бизнес-аналитиков, помогающих улучшить тот или иной процесс и предотвратить риски.

При создании сервиса доставки нужно продумывать не только основные риски, вроде "а не будут ли через нас доставлять наркотики", но и другие риски незаконного использования сервиса в противоправной деятельности.

https://tech.liga.net/technology/opinion/kak-hakery-voruyut-i-otmyvayut-dengi-cherez-servisy-dostavki-edy