17 February

Конференция DEFCON 27. Признание интернет-мошенницы

ua-hosting.company corporate blogInformation SecurityIT InfrastructureConferences
Translation
Original author: Нина Колларс
Брифинг выступления:

В настоящее время Нина Колларс, известная также как Kitty Hegemon, пишет книгу о вкладе хакеров в дело обеспечения национальной безопасности. Она политолог, занимающаяся исследованиями технологической адаптации пользователей к различным кибернетическим устройствам. Колларс является профессором факультета стратегических и оперативных исследований Военно-морского колледжа и работала в Федеральном исследовательском отделе Библиотеки Конгресса США, Департаменте афроамериканских исследований Гарвардского университета, Всемирном банке, заводе по производству антибликовых покрытий, а ночью – в качестве волонтера BSides. В качестве хобби она когда-то возглавляла группу DC Cigars, Scotch и Strategy и до сих пор является сертифицированным специалистом по приготовлению бурбона.




Привет, я Китти, но на работе люди чаще зовут меня Нина. Прежде чем я начну свою презентацию, скажу, что высказанное здесь мнение не обязательно совпадает с мнением военно-морского флота, департамента обороны или правительства США. Я обязана это сказать, потому что технически являюсь федеральным служащим, так как работаю профессором в Военно-морском колледже на факультете стратегических и оперативных исследований. Это значит, что я изучаю новейшие технологии и то, как они влияют на боевые действия и оборону, которые будут включать в себя элементы кибернетики. Это одна из причин, почему я наблюдаю за сообществом DefCon. Однако то, о чем я буду сегодня говорить, не имеет к военной отрасли никакого отношения.

Итак, в августе прошлого года я купила подержанную кофемашину Nespresso, и захотела прийти сюда и рассказать, что произошло после этого. Как известно, кофемашины и капсулы покупаются в основном онлайн. Есть несколько бутиков Nespresso по всей стране, но в общем и целом, вы можете купить свой кофе для машин Nespresso прямо на сайте компании. Купив подержанную машину, я поняла, что кофейные капсулы на сайте Nespresso стоят довольно дорого и решила поискать более дешевого продавца.



Оказалось, что на аукционе eBay можно купить кофе намного дешевле – цена капсул составляла примерно половину того, что мне пришлось бы заплатить при покупке напрямую от Nespresso. Единственная неудобство состояло в том, что нужно было купить сразу минимум 200 капсул, но поскольку я пью много кофе, это не слишком меня напрягло, и я сделала свою ставку на партию капсул. Когда аукцион окончился, я увидела, что победила и оплатила покупку через PayPal.
Примерно через неделю мне доставили товар. Представьте мое удивление, когда вместе с коробками кофе мне доставили коробку с совершенно новой кофемашиной. Это была самая популярная компактная модель кофемашины Nespresso Pixie стоимостью 280 долларов, которая использует маленькие «таблетки» кофе ценой 70 центов за штуку.

Я подумала, что просто ошиблась при оформлении заказа и вернулась на eBay, чтобы проверить, не нажала ли я там чего-то лишнего и не купила ли случайно эту штуку. Однако ничего подобного я не обнаружила.

Тогда я осмотрела наклейки на коробках и увидела, что и капсулы, и кофемашина пришли мне от одного и того же отправителя, и что самое странное, этим отправителем была сама компания Nespresso. Однако я заказывала товар не у производителя, а у третьей стороны!



Я снова зашла на eBay, чтобы посмотреть на детали транзакции и сравнить их с инвойсом, и узнала, что имя продавца на eBay, давайте назовем ее Сью из Чикаго, совсем не похоже на имя отправителя в аккаунте Nespresso, назовем его Джордж из Покипси. К тому же у Сью из Чикаго был нулевой рейтинг продавца и она создала свой аккаунт буквально за пару недель до заказа. Единственное, что она продавала, был кофе Nespresso.

Я подумала, что это похоже на мошенничество, поэтому решила разобраться с вопросом и позвонила в компанию Nespresso. Весьма неохотно, потому что я немного жадная и была бы не прочь оставить эту кофемашину себе. Я объяснила службе поддержки клиентов, что не заказывала машину, а заказала только капсулы и покупала их не у Nespresso, а у стороннего продавца на eBay. Мне подтвердили, что деньги за оба предмета моего заказа в действительности были сняты с кредитной карты Джорджа из Покипси.

Я подумала, что стоит позвонить этому Джорджу, который прислал мне такой чудесный подарок, чтобы прояснить ситуацию, однако клиентская служба отказалась дать мне его телефонный номер. Я продолжала подозревать здесь какое-то мошенничество, но у меня не было никакого способа понять, кто и в чем выигрывает в данной ситуации. Поэтому я сказала Nespresso: «пожалуйста, пришлите мне предоплаченную этикетку на возврат товара по почте, и как только я ее получу, то с радостью отправлю вам обратно свою кофемашину». С моей стороны это было уловкой, потому что все знают, насколько неохотно производители забирают свой товар.

Девушка из службы поддержки клиентов записала мои данные, отправила их в отдел по борьбе с мошенничеством и сказала, чтобы я следила за своей почтой. Если компания захочет вернуть ошибочно присланную кофемашину, то этот отдел пришлет мне предоплаченную этикетку, чтобы мне не пришлось платить свои деньги за отправку посылки.

Как видите, спустя год кофемашина все еще у меня. Но моя совесть спокойна – я сообщила о мошенничестве, и я оставила эту машину себе. Однако я никак не могла понять, что же произошло на самом деле, и это меня постоянно беспокоило.

Так что я немного погуглила и нашла в разделе безопасности сайта eBay схему так называемого Triangulation Fraud, или «мошеннического треугольника». Она названа так, потому что в ней участвует три стороны. Эта схема помогла понять, что могло произойти конкретно в моем случае.



Весь смысл этого мошенничества состоит в том, чтобы обналичить средства с кредитной карты, используя стыковку между компанией и последним элементом схемы – мулом, как его принято называть. Это тот человек, который конвертирует наличку.

Три участника данной схемы:

  • ничего не подозревающий клиент, который размещает заказ на аукционе или электронном рынке, используя какую-либо форму кредита, дебета или тендера PayPal;
  • продавец-мошенник, который получает заказ, а затем размещает этот заказ на реальный продукт на легальном веб-сайте электронной коммерции, используя для оплаты украденную кредитную карту;
  • законный сайт электронной коммерции, который обрабатывает заказ мошенника.

Чаще всего мошенник задействует в своей схеме легального продавца с репутацией, занимающегося ”работой на дому". Такой продавец может даже не предполагать, что является частью мошеннической сети, а некоторые из таких продавцов имеют солидную историю продаж. Работодатели-мошенники часто размещают объявления о найме продавца для реализации своего товара под определенный процент, обычно это 30%, и многие продавцы соглашаются на такую работу.



Именно работодатель является настоящим преступником, обладающий украденной информацией о кредитной карте. Он предоставляет продавцу список «своих» товаров для продажи, включая полное описания продуктов.

Продавец размещает товары в своем аккаунте на электронной торговой площадке. Легальные клиенты покупают товары, и продавец отправляет информацию о сделанном заказе своему работодателю.

Работодатель размещает такой же заказ на легальном веб-сайте, оплачивает его украденной кредитной картой и передает трекер товара продавцу.

Продавец передает трекер клиенту. Теперь заказ, сделанный мошенническим образом, отправляется клиенту с легального веб-сайта компании-производителя товара.

Клиент, который неожиданно получил украденный товар, и легальная компания-производитель являются жертвами. Если мошенничество будет обнаружено, законный веб-сайт оформит возвратный платеж или потеряет средства, полученные в оплату заказа. Этот сайт может связаться с клиентом, чтобы вернуть украденные товары, либо об этом заявит сам клиент, как произошло в моем случае. Покупатель также может подать иск о мошенничестве в свой банк против продавца.
Однако есть еще одна жертва – это человек, у которого украли кредитную карту. Он ничего не знает о сделке, пока не получит выписку по кредитной карте. Естественно, что он попытается оспорить покупку, и иногда это приводит возврату платежа легальным веб-сайтом.

Обычно мошенник представляет крупную компанию, в данном случае Nespresso, и открывает там аккаунт. Такие компании имеют отлаженную систему доставки и простую систему аккаунтов, которая не содержит сложных проверок безопасности. Затем мошенник, если он работает в одиночку и одновременно является и работодателем, и продавцом, создает свой аккаунт на eBay, фальшивый профиль и начинает продавать вещи очень дешево. Когда аукцион завершается, ничего не подозревающий покупатель отправляет свои деньги на eBay и становятся мулом – благодаря честному покупателю мошенник получает нужную ему наличку.



Однако стоит помнить, что мошенник продает товар, которым на самом деле не владеет. И процесс покупки на eBay не будет завершен до тех пор, пока не закрыта накладная на доставку. Это означает, что далее мошенник использует кредитную карту, чтобы купить товар непосредственно у производителя, и тогда треугольник замкнется. На сайте сгенерируется уведомление о доставке, и все довольны. Мошенник забирает деньги от продажи товара, платит eBay комиссию и оплачивает дополнительные предметы, в моем случае это капсулы для кофемашины. Это бесшовный треугольник, и покупатель понятия не имеет что он «мул», все что он знает – это то, что получил свой товар по выгодной цене. Стимулом для продолжения мошенничества является то, что все продолжают молчать. Конечно, если покупатель – это не я, получившая машину для эспрессо, которую не заказывала, и которая действительно хотела узнать, почему так получилось.
У меня было 2 версии происшедшего. Первая – ошибка службы обработки заказов, когда кто-то ошибочно скопировал лишнюю строчку из электронной таблицы Excel на сайте производителя, и они случайно прислали мне дополнительную кофеварку. Вторая – мошенники просто хотели купить мою любовь! Возможно, этот мошеннический треугольник настолько хрупкая вещь, а все эти аккаунты и «паленные» кредитные карты настолько деликатные вещи, что мошенник попытался настолько меня осчастливить, чтобы я ни в чем не засомневалась и продолжила покупать его товар.

Итак, самым правильным шагом после получения дармовой кофемашины Nespresso было начать собственное расследование, купив еще кофе! Я знаю, вы думаете, что я ужасный человек, но… во-первых, я по какой-то причине все же назвала свое выступление «признаниями», во-вторых, я всего лишь предполагала, что это мошенничество, но не была в этом уверена. Я не знаю, насколько велика эта операция, значит, мне нужно больше данных.

В частности, мне не просто нужно было больше данных от одного продавца, я хотела знать, не действует ли здесь целая шайка аферистов по типу «нигерийских принцев» или продавцов мошеннических подарочных карт. Короче, мне нужно было каким-то образом оценить масштаб происходящего.



Итак, я придумываю кучу вопросов, чтобы выяснить, кто эти воры. Чтобы было ясно, на eBay полно воров. Я просто хотела найти именно этих. Итак, имеют ли мошенники другие аккаунты, могу ли я их найти? Как быстро сгорают эти аккаунты? И самый главный вопрос — смогу ли я заставить их совершить одну и ту же ошибку дважды? Типа «пришлите мне еще больше бесплатных вещей?».

Используя инструмент поиска аукциона eBay и начальный аккаунт в качестве шаблона, я попыталась найти другой, недавно созданный аккаунт, с нулевым рейтингами по продаже Nespresso. Итак, мне нужно было 3 вещи: чтобы они продавали Nespresso, чтобы у них был нулевой рейтинг и чтобы аккаунт был создан сравнительно недавно.

Я подумала, что мошенники не будут стараться делать каждое свое объявление уникальным, а предпочтут шаблонные описания и одинаковые картинки для нескольких аккаунтов продавцов. Кроме того, если эти «треугольники» достаточно хрупкие и быстро «палятся», мне придется выискивать такие объявления каждый день.

Поскольку eBay позволяет автоматизировать поиски, я задала свой собственный шаблон на покупку 200 капсул Nespresso по цене 99 долларов. Третьим условием я выставила кофемашины, но три параметра создают сомнительный пул данных, поэтому я придерживалась только поиска капсул. Я получала отчет о результатах поиска по электронной почте, и мне приходилось проверять до 100 писем каждый день. Поначалу это было немного сложно – нужно было время, чтобы найти лот, точно соответствующий моим критериям отбора. Кофе продают многие люди, но 200 капсул Nespresso по цене 99 долларов у продавца с нулевым рейтингом и свежим аккаунтом — достаточно редкий лот.

Если вы посмотрите на этой слайд, то увидите вверху звездочки. Так вот, это не рейтинг продавца, как можно подумать, а отзывы людей о данном товаре. Но видя такие звездочки, покупатели чувствуют себя спокойнее, представляя, что это именно рейтинг продавца. На самом деле для новых аккаунтов рейтинг пишется мелким шрифтом в самом низу объявления. Чтобы его просмотреть, а также узнать дату создания аккаунта, нужно нажать отдельную кнопку, что требует времени.

Хорошая новость заключается в том, что веб-сайт eBay помогает мне в поисках – даже если мои клики не приводили к искомым результатам, он наблюдал за мной и размещал внизу страницы выборку объявлений: «мы подобрали для вас похожий товар, возможно, он вас заинтересует». В итоге я вскоре обнаружила интересующие меня аккаунты, и как настоящий исследователь, создала электронную таблицу для отслеживания каждого уникального аккаунта с датой его создания, временными изменениями рейтинга, количеством проданных лотов и суммами продаж.
После этого я выбрала 2 аккаунта, созданные один за другим в течение 6 дней, и сделала 2 отдельные покупки, чтобы узнать, не пришлют ли они мне дополнительные товары, не предусмотренные заказом.



В результате через неделю я получила 200 капсул кофе плюс еще 200 капсул, а еще через 6 дней – 200 капсул кофе и совершенно новый вспениватель молока для капучино ценой 119 долларов. Это было очень полезным подарком, потому что я человек капучино, я люблю, когда кофе имеет пенку. В общем, я перешла с обычного кофе на капучино, но что более важно, поняла, что нашла этих мошенников. В своих объявлениях они использовали одни и те же картинки и одинаковые описания товара. И тут я вступила с ними в переписку. Я писала им всякую ерунду по поводу товара, спрашивала про разные кофейные продукты, разные сорта кофе, иногда просто посылала приветы. Но они никогда мне не отвечали.

Я также просмотрела страницу eBay, посвященную вопросам мошенничества, чтобы попытаться сообщить им об этих аккаунтах, потому что поняла, что это не честно, я не должна в этом участвовать, правильно? Но выяснилось, что покупатель не может сообщить о мошенничестве на веб-сайте eBay, если он действительно получил товар. Там есть форма жалобы «я не получил заказанный товар» или «я получил поврежденный товар», но нет ничего типа «я получил лишний товар и хочу об этом сообщить». Так что я отказалось от мысли жаловаться eBay на этих мошенников.

Итак, я продолжила свое расследование, нашла еще 2 похожих аккаунта и сделала еще 2 заказа. Я снова получила 200 + 200 капсул кофе, и тут произошло кое-что интересное — мошенник написал мне письмо.



«Здравствуй, друг! Во-первых, спасибо за то, что ты выбрал для покупки мой товар. Во-вторых, я извиняюсь за то, что товар не в лучшем состоянии, и я не смог его тебе выслать, потому что стараюсь всегда продавать только отличные вещи. Моя мама находится в больнице, но вскоре я постараюсь найти другой товар в хорошем состоянии, чтобы отправить его тебе. Мне нужно в больницу, чтобы побыть рядом с мамой, так что надеюсь, ты войдешь в мое положение и позволишь мне отменить заказ. Спасибо и храни тебя Господь!».

Какой милый парень, не так ли? Он отменил заказ, и мне вернули мои деньги. Его аккаунт был закрыт спустя неделю. Это был очень деликатный мошенник, и мне хочется верить, что с его мамочкой все хорошо. Вероятно, я спугнула его своим желанием регулярно получать бесплатно дополнительные партии кофе.

Далее я потратила несколько часов на поиски некого инструмента. Мое буйное воображение подсказало, что возможно, кто-то создал нечто, что на английском можно назвать guessor – «генератор грамматических ошибок», что-то вроде дерьмовой версии Google Translate, специально коверкающего перевод под иностранный язык. Оказалось, такого инструмента не существует, так что для вас задание – разработать нечто подобное!

Я стала спрашивать друзей, говорящих на других языках, не встречали ли они чего-то похожего, некоторым мои вопросы показались расистскими, так что я прекратила поиски. Дело в том, что я сообразила, что мошенники постараются изображать плохое знание языка, чтобы сбить вас со следа, специально размещая неграмотные объявления на английском языке, и мне стоило бы их разыскать.

Так или иначе, мое дело с кофе вышло из-под контроля, и меня гложет совесть. Моя кухня — это полная катастрофа, так что пришло время прекратить эту игру. Мне не нужно было столько кофе, фактически я просто платила по сто долларов за сбор информации об аккаунте продавца. Каждый раз, когда я платила эти деньги, я хотела узнать как можно больше об этих людях.



Однако я не настолько богата, чтобы постоянно вести такие дорогие исследования. Вот результат моей деятельности, сведенный в таблицу.



Всего 5 покупок, 1 возврат, общее количество полученных капсул для кофемашины – 1200 штук, 1 вспениватель молока, 1 компактная кофемашина. Мои затраты составили 391,9 долларов, общая стоимость полученного мной товара – примерно 939 долларов. В октябре я взяла всю собранную мною информацию, инвойсы, данные аккаунтов, и вместе с имеющимися у меня печатными документами отправила в ФБР. Мне было интересно, попытаются ли они что-нибудь с этим сделать. Я также отправила результаты своего расследования на eBay и всем, кого это заинтересовало. Я до сих пор не получила ответа от ФБР, но спустя 30 дней активность кофе-мошенников, казалось, сошла на нет. Возможно, что-то случилось. Я не смогла выяснить, кто были эти люди. Мне очень хотелось раскрыть какое-нибудь крутое преступное сообщество, что-то вроде похитителей кредитных карт из Марокко или что-то в этом роде, но этого не произошло. Но это же не героическая история, верно? Это мое признание.

Вот собственно, все, что я узнала о мошенническом треугольнике на eBay. Когда я стала рассказывать людям эту историю, начинала объяснять, как это работает, мне часто говорили, что это преступление без жертв. Однако стоило задуматься, и ты понимаешь, что это неправда, преступлений без жертв не бывает. О Джордже из Покипси я узнала совсем немного, как и о других продавцах, но выяснила, что все они были пенсионерами или находились в предпенсионном возрасте. Это довольно уязвимая группа населения. И они выступают в роли жертв, которые не способны никак смягчить нанесенный ими ущерб, большинство из них даже не знает, что происходит от их имени. Люди, у которых украли кредитные карты, обнаружив незаконные списания денег, начинают их опротестовывать. И крайними в этой цепочке оказываются не компании-производители, а такие вот продавцы, пожилые люди, с которых могут взыскать украденные мошенником деньги.

Как нация, мы не достаточно далеко продвинулись в деле защиты этих людей. Компаниям или крупным продавцам подобный вид мошенничества наносит не настолько сокрушительный удар, как пожилым людям. Печально то, что любой с легкостью может стать соучастником схем такого рода. Следовало бы установить определенный предел скидок для стимулирования покупателя, ниже которого начинается мошенничество. Это настоящая золотая жила для жуликов. Но eBay это не волнует, Nespresso это тоже не волнует, потому что покупая товар по бросовым ценам, вы продолжаете покупать, а они – получать свой процент или увеличивать продажи.



Вас стимулируют участвовать в мошеннических схемах, потому что от таких скидок и дармовых товаров каждый приходит в восторг. Однако в действительности все это продается по рыночной цене, а крупные продавцы защищены от убытков страховкой, которая покрывает в том числе ущерб от мошенничества с краденными кредитными картами. Они останутся не при чем, если удается перевести стрелки на того, кто купил у них товар с целью дальнейшей перепродажи – в данном случае на Джона из Покипси, либо на того, у кого украли данные кредитной карты
Так что на самом деле единственный человек, который способен это остановить – это вы или я. И я остановилась. Я не буду больше этого делать. Это не нормально. Все, что у меня осталось, это мое признание и обещание бросить покупать супердешевые товары. И еще у меня осталось много кофе. Возможно, я смогу сделать еще одну хорошую вещь — выставить на аукцион эту бережно используемую замечательную кофемашину Nespresso.



Торги, кстати, это ужасная идея. Они начнутся сразу, как только я размещу объявление в своем Twitter –аккаунте. Просто зайдите на сайт и сделайте свою ставку. Принимаются только наличные. Результат торгов будет оглашен завтра в 10 утра, и победитель сможет прийти в кампус Tamper Evident и забрать свою кофемашину. Не глупите и не вздумайте сделать максимальную ставку, чтобы потом за ней не прийти. Все полученные средства пойдут на реализацию инициативы «Диана». Я обещаю, что буду следить за всеми этими сделками, чтобы обеспечить абсолютную прозрачность.

Если никто не захочет поучаствовать, ну что же, это DefCon, где всякое случается. На последнем слайде вы видите мой настоящий аккаунт в Twitter, так что пишите, огромное вам спасибо!

Аукцион начинается со ставки в 1 доллар, так что я пойду и размещу это объявление прямо сейчас. Еще раз спасибо, ребята, вы потрясающие!




Немного рекламы :)


Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас, оформив заказ или порекомендовав знакомым, облачные VPS для разработчиков от $4.99, уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps от $19 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле в дата-центре Equinix Tier IV в Амстердаме? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
Tags:Triangulation Fraud
Hubs: ua-hosting.company corporate blog Information Security IT Infrastructure Conferences
+35
20.9k 37
Comments 39
Ads