Comments 39
Отмывка и обналичка денег через краденные карты путем покупки и продажи товаров
Продавец-мошенник А выступает перевалочным звеном. Когда реальный покупатель В заказывает у А товар, А на самом деле заказывает его у производителя С на адрес В, используя краденую карту.
При этом А получает деньги от В за продажу. Чтобы В с большей вероятностью молчал, они присылают ему больше, чем он заказывал. Не свои деньги не жалко.
Когда владелец краденой карты опротестовывает транзакцию, убытки реального продавца С покрываются страховкой.
Вроде такая схема.
- Девушка покупает на ebay товар, переводит продавцу свои "чистые" деньги со своей карточки, при этом...
- ...ebay служит посредником при переводе денег, получает % за перевод. Чтобы защитить себя, ebay требует от продавца подтверждения, что товар отправлен.
- Продавец-мошенник получает "чистые" деньги (за вычетом того самого % за посредничество) от ebay, и размещает заказ на сайте Nespresso, указывая в качестве адреса доставки адрес девушки, а в качестве средства оплаты — номер и прочие данные украденной карточки.
- Банк-эмитент карточки, сверив номер и данные, списывает деньги (плюс % за посредничество) со счёта настоящего владельца карточки, скажем, того самого Джорджа из Покипси.
- Nespresso получает из банка деньги (за вычетом % за обслуживание карты) и отправляет девушке-машину, а мошеннику — номер трекинга для отслеживания посылки.
- Мошенник вбивает номер трекинга в форму ebay, подтверждая "смотрите, всё по чесноку, товар отправлен именно ей".
- Через 2-3 дня девушка получает кофе (который просила) и бонусы (которые не просила), радуется "вот продавец мудак, дорогие бонусы прислал" и решает сидеть тихо и молчать в тряпочку ("а то ещё заставит за бонусы заплатить").
- Джорджа из Покипси в конце месяца получает счёт из банка, офигевает от количества купленного им кофе, звонит в банк и орёт "да вы что, окофеели там, что ли, не покупал я столько кофе". Банк униженно извиняется и отменяет покупки.
- Банк звонит в ebay и говорит — "вот этот вот чувак заплатил с ворованной карточки". Ebay закрывает аккаунт мошенника, но уже поздно — деньги с него мошенник успел вывести ещё несколько дней назад.
- Дальнейшие разборки происходят между ebay, банком (который деньги отдал) и Nespresso (которая деньги получила), результат их может разниться в зависимости от того какие соглашения они подписывали, но проигравшие будут где-то в этой тройке, и, как правильно отметили, могут покрываться страховкой, оплата за которую идёт из тех самых вышеуказанных %.
10. Nespresso ничего не знает о Ebay, все что они могут это заблокировать мошенника и обратиться в ФБР.
11. ФБР приходит к Китти и уже от нее узнает о продавце с Ebay.
Скорее всего банк отзывает транзакцию, а Nespresso только блокирует аккаунт мошенника и добавляет адрес в блэк-лист. А мошенник сам закрывает аккаунты на Ebay, чтобы ФБР не связало все эпизоды в одно крупное дело.
PS: Видимо только после 5 заказов банк отозвал одну из транзакций и адрес Китти попал в блэк-лист Nespresso, отсюда и отмена заказа.
2) 3DSecure поддерживают не все платежные системы. Могут банально не прикрутить.
3DSecure поддерживают не все платежные системы.
Тут не только от платежной системы зависит, но и от репутации получателя платежа в платежной системе. Например, в паре крупных магазинов у меня проходили без пин-кода оплаты на суммы сильно выше стандартного лимита 1000 рублей. Еще на нескольких крупных онлайн площадках оплаты проходили без 3DSecure, в том числе Амазон и большой российский интернет-магазин. Оплата через сайт одного сотового оператора — как повезет, в некоторые дни спрашивает код на платеж 100-1000 рублей, но иногда без подтверждений проходит платеж на 2000+ рублей.
И что еще вспомнилось — я часто на городских сайтах и в сообществах соц.сетей вижу фото найденных карт. Некоторые даже не прикрывают номер, а кто-то просто пользуется размытием. И аргумент всегда один — без смс ничего не купишь через интернет.
Я вот не понимаю банки, почему приоритет уровня безопасности они отдают интернет магазину, а не своим клиентам, держателям карт.
Потому что покупки без 3DSecure можно просто опротестовать, с ним — уже не факт. Аналогично и с пин-кодом.
Соответственно для клиента это выбор между «легче украсть — легко вернуть» и «сложнее украсть — невозможно вернуть». Для продавца же в обоих случаях это потери, потому продавец может решать — меньше рисковать, или согласиться на неизбежные потери для упрощения покупок.
Там до сих пор чеки в ходу! Американская банковская система застряла в прошлом веке.
Сам факт их существования в ходу вызывает много вопросов.
Много где зарплату выдают чеками. Сам видел, что в обычных продуктовых магазинах в Сан-Франциско можно расплатиться чеком.
Чеки же неудобны! Их долго обрабатывать, они небезопасны.
Мобилой сфоткал — деньги на счету. Сейчас интерак везде, а до этого чек был удобен для оплаты с дебитового счёта. Написал, отдал — и привет. Не идти же в банк за налом.
Я знаю, что в РФ наличные очень популярны. Наверное, в этом есть смысл. Здесь я кэш не держал в руках лет шесть, не считая мелочи на мороженое.
Удобно — это когда в приложении на телефоне нажал кнопочку и перевел деньги на счет в любом другом банке просто зная номер телефона получателя (почти мгновенно!). Ничего писать и фоткать не надо. Удобно — это когда работодатель кидает деньги на счет автоматом, и не надо ждать и фоткать какую-то бумажку.
Удобно — это когда в интернет банке вводишь один раз реквизиты компании, продающей тебе электричество, и деньги сами списываются каждый месяц (Именно нужная сумма. Это не автоматический фиксированный перевод, а электронный invoice с автоматической оплатой). С уведомлениями заранее, конечно. И уже не надо руками каждый месяц ничего вводить. Удобно — это когда во всех магазинах можно расплатиться просто приложив карточку к ридеру (и обязательно ввести пинкод при большой сумме покупки для безопасности). Удобно — это когда обо всех списаниях приходят push уведомления.
Вот это все — это банковская система 21 века. Если что, я сейчас про Швецию. В Финляндии такая же система. В России не так радужно все, но все-же много чего гораздо лучше, чем в США. Те же смски и зарплатные счета.
А чеки — это неудобно. Это надо руками что-то писать, надо бумажки эти иметь под рукой. Это тебе дают бумажку и надо проверить, что она не поддельная, что у плательщика деньги на счету есть. Это лишняя опасность кражи (там процветает мошенничество с чеками, как с ним не борются).
Сам несколько лет назад застрял в очереди в магазине, когда какая-то бабушка на кассе выписывала чек, а потом кассирша его проверяла, подшивала, сканировала...
-нажал кнопочку и перевел деньги
Я же написал про интерак. Но есть люди, которые интераком не пользуются принципиально, не знаю, почему. В этом случае есть два варианта — побить человека и заставить использовать интерак или выписать чек.
-когда работодатель кидает деньги на счет автоматом
Удобно работнику, но не удобно работодателю.
-деньги сами списываются каждый месяц
Так и делают. Никто не платит за жкх чеком.
-можно расплатиться просто приложив карточку к ридеру
Так и делают.
-обо всех списаниях приходят push уведомления
Можно настроить в онлайн банке. Мне лично нафиг не нужно. И чеки тут не при чём, на списание чека так же точно придёт СМС.
-гораздо лучше, чем в США
Я в США ни разу не был, я живу в Канаде. Не видел в РФ ничего, что было бы лучше, чем здесь. В банковской сфере, я имею в виду. Буду признателен, если приведёте конкретные примеры похорошения российской финансовой системы.
-процветает мошенничество с чеками
Когда я плачу чеком, мошенничества не опасаюсь.
-бабушка на кассе выписывала чек
Причуды пожилых следует уважать. Они так всю жизнь делали, не переучишь. Но это вряд ли стоит всерьёз обсуждать, я за шесть лет один раз видел, как в магазине платили чеком, тоже бабулечка. Произошло всё это относительно быстро, и это был супермаркет, где в основном пенсионеры.
Чеки сейчас используют в нескольких случаях. Выдают зарплату, в основном там, где текучка — стройка и т.п. Телефонный оператор или поставщик газа может чек прислать, если переплатил, например. Правительство присылает чек, если это какое-то временное пособие. Такс кредит и детские приходят на счёт.
Внезапно, не у всех есть смартфон или компьютер. В этом случае все ваши примеры теряют смысл. И смысла нету обсуждать в духе — интернет доступен, телефоны доступны. Такие люди есть, и их надо обслуживать.
Непонятным остается только то, почему Джоржу не приходит смс о списании с карточки.
SMS о списании — это, похоже, чисто русская фишка, у меня (в США) штук 15 разны карточек, и на каждый чих никогда ничего не приходило — только на очень крупные покупки, и не о списании, а о подозрении — типа "с вашей карточки только что пытались списать 100500 долларов, мы заблокировали транзакцию, перезвоните нам для подтверждения". Да и, если честно, зае… дает, если тедефон на каждый чих плямкает.
P.S. И, кстати, напоминаю, что SMS (в отличие от, скажем, TCP) не является протоколом с гарантированной доставкой.
В РФ очень большое давление создают злоумышленники, поэтому везде нал, двух-трёхфакторная идентификация и прочие радости. Я когда прилетел в Москву, не мог подключить бесплатный вайфай из-за того, что не было местного номера. Вообще, весь банкинг там мне показался ужасно параноидальным и неудобным, слишком много действий надо делать для простейших операций.
Мой опыт со Сбером и ВТБ, если что, 2017 год.
В Канаде в онлайн банкинге можно настроить уведомления по СМС, я как-то сделал, через месяц отключил. Смысла не вижу.
Так что «непонятно» это для нас, пропустивших этап чеков и привыкших к эппл-пею в каждом ларьке
Обычно используется при покупке электронных товаров (подарочных карт в игры, карт пополнения баланса, электронных валют и т.д.), т.к. лаг в доставке товара и выплаты денег за него — снижает эффективность, с другой стороны скорее всего всё это изрядно автоматизировано — так что эффективность уже не так критична как во времена ручного труда.
Однако несколько непонятно зачем было дарить кофемашины, да еще тайно.
В рамках расследования оплаты товара краденной картой спросят так, что ни за какую кофе-машину покупатель капсул скрывать детали покупки не будет. Так что это не для молчания.
У автора исследования подозрение вызвало в первую очередь то, что была лишняя кофе-машина. Тут получается ненужное палево и подозрительность.
Опять же, заказать 2 товара на бОльшую сумму — лишний шанс что владелец кредитки это заметит. Снова избыточные риски.
Однако несколько непонятно зачем было дарить кофемашины… заказать 2 товара на бОльшую сумму — лишний шанс что владелец кредитки это заметит
Без конкретных дат трудно искать, но у больших фирм регулярно происходят акции типа «купите два дофига фигни и получите штуковину в подарок». Если учесть, что типичная большая пачка капсул у неспрессо — 50 или 100 штук, то «минимум 200 штук» мог быть создан под какую-то конкретную промо-акцию.
Так что, кофемашина и капучинатор могли быть просто подарками от фирмы за покупку большого количества капсул.
Если серьезно, то скорее всего для того чтобы клиент не отправил обратно. Ведь многие делают возвраты — например, заказали по ошибке не те капсулы. История всё-таки от спеца по безопасности, и даже она признаёт, что был соблазн не расследовать и оставить как есть.
В этом треугольнике возврат товара и денег слишком проблематичен и подозрителен. При этом у мошенника есть время до возможного опротестования владельцем карты, он старается просто немного потянуть время и такие «странные» варианты могут быть наиболее эффективны.
Вот посмотрел эту новость, новость о регулировании ИИ в ЕС.
Почему-то на съездах и конференциях учёных, например по вопросам квантовой физики, собираются учёные, а на ИТ съездах, собираются политологи, датасаентисто-маркетологи, эффективные манагеры и, как правило, ни одного инженера или программиста.
Мальчик на роликах снёс зеркало Мерседеса. «Бык» — владелец Мерса хотел побить мальчика, но тот обещал расплатиться. Денег у мальчика не было, он с аккаунта «Быка» заказал кучу всяких вкусняшек в качестве компенсации и чуть-чуть товаров для себя. Оплатил краденой кредиткой.
А потом Мерс взорвался вместе с «Быком», а мальчик радостный поехал дальше
— У кого товар дешевле, у производителя или дилера?
— У сторожа.
А так — обычный обнал краденных карт же, разве нет?
Конференция DEFCON 27. Признание интернет-мошенницы