По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и других интересных вещей.
Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения. Случаются ситуации, когда "новинками" делятся силовики.
Думаю, многие разделят мою точку зрения касательно того, что, если "схема" или "уязвимость" попала на форум, то, как правило, все "сливки" с нее уже давно кто-то снял. Да и форумы вне зоны .onion очень серьезно воспринимать не стоит.
Но в этот раз мы нашли схему, которая удивила своей относительной простотой и новизной. Собственно, о том, как хакеры воруют и отмывают деньги через сервисы доставки еды, и будет сегодняшний рассказ.
Люди, сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн, давно подключили систему дополнительной верификации по телефону (через смс, звонок или приложение). У MasterCard такая система называется 3D Secure – сокращенно 3DS, у VISA – это аналогичная система Verified by Visa (VbV).
Суть проста: если вы ввели где-то данные со своей кредитной карты, для успешного платежа вам потребуется еще и ввести разовый код, полученный из смс, звонка или приложения, чтобы подтвердить, что это именно вы совершаете покупку, а не хакеры грабят вас.
С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие.
Однако крупные, высоко-нагруженные сервисы вроде Booking.com, AirBNB, Amazon.com, Facebook.com отключили или ограниченно используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсию.
Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, но это не сильно помогло.
Проблема не нова и широко обсуждается. По данным Федеральной торговой комиссии США из 13 млн жалоб потребителей за 2012-2016 годы (3 млн в одном только в 2016-м) 13% касались хищения персональных данных и карт. И это данные только по США.
Реальность такова, что лучше содержать штат юристов, занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие, появились целые форумы с предложениями забронировать отель за 25%-50% от стоимости. Бизнес-риски, не более.
Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:
Естественно, вариантов вышеописанной схемы может быть множество: от регистрации на Booking, AirBNB несуществующих квартир (это реально) до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут и скупают недобросовестных владельцев отелей или же предлагают свои услуги.
Почему деньги отмывают именно через сервисы аренды квартир? Как я писал выше, там нет (или используется ограниченно) VBV и 3DS и карты туда легче "вбиваются". Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение операции в POS терминалах с поддержкой ручного ввода карт, но это уже совсем другая история о которой я расскажу в следующий раз.
Вернемся к нашим доставщикам еды.
GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует, совпадает ли имя владельца аккаунта с именем на кредитной карте.
Им не важно, куда доставлять еду и откуда брать товар. Им так же, как гигантам бронирования отелей, не так важны VBV и 3DS, им куда важнее оборот и выручка.
Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на "новинку". Кардеры и мошенники придумали схему, которая, в первом приближении, выглядит так:
Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется.
Данная публикация не несет в себе целью показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует и на роль исчерпывающего руководства по защите и предотвращению мошеннических действий.
Не может быть трактована как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды – абсолютно незаконны и являются уголовным преступлением.
Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам, отвечающих за риски, и архитекторам нужно иногда спускаться в "подземелье", чтобы посмотреть как можно использовать разработанные ими сервисы.
Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на предмет мошенничества в обход бизнес-логики.
Сегодня даже тестирование на проникновение без проверки бизнес-логики уже становится не полным. Бизнес не покупает шаблонные услуги, продажи идут, скорее, через бизнес-аналитиков, помогающих улучшить тот или иной процесс и предотвратить риски.
При создании сервиса доставки нужно продумывать не только основные риски, вроде "а не будут ли через нас доставлять наркотики", но и другие риски незаконного использования сервиса в противоправной деятельности.