Как сделать взнос на Kickstarter, получить товар + забрать свои деньги? История одного обмана



    Технически подкованные злоумышленники придумывают все новые способы обогащения, порой, очень неожиданные и необычные. Так, на Kickstarter на днях выявлен злоумышленник, который ввел новую систему обмана пользователей: он делал взнос на поддержку проекта (порой, максимально возможный взнос), дожидался успешного завершения кампании, после которого начиналась отгрузка товара, и требовал свои деньги обратно у платежной системы (чарджбек).

    За это время деньги еще не успевали окончательно списаться с кредитной карты злоумышленника, и обычно в этот период можно отменить свой заказ, получив обратно деньги. В стандартной ситуации, с любым товаром, получить товар, а потом деньги просто невозможно — поскольку владелец магазина сразу списывает средства с карты покупателя, как только товар отправлен.

    Однако, в случае Kickstarter дело обстоит немного по-другому. Дело в том, что несмотря на успешное завершение кампании финансирования, с последующей высылкой товара людям, сделавшим взнос, деньги с карты таких людей списывает не создатель кампании. Деньги списываются процессором платежей, в данном случае — Amazon Payments. И эта система не в состоянии отследить, получил ли товар тот человек, который отправил запрос на возврат средств.

    Таким образом, становится возможным сделать взнос для какой-то кампании на Kickstarter в конце периода финансирования (а определить, успешна кампания или нет, само собой, несложно). Потом мы дожидаемся закрытия кампании и отгрузки товара. И после этого — требуем выполнить чарджбек. Обычно деньги возвращают на карту без дополнительного расследования (ведь, по данным платежной системы, товар еще не отгружен), и злоумышленник получает и товар, и свои деньги.

    Именно такой способ обмана создателей кампаний на Kickstarter избрал пользователь системы Encik Farhan (был ли это один человек, или целая команда, выяснить вряд ли удастся). Он сделал более сотни взносов, иногда по максимальной ставке, затем дожидался закрытия кампании, отправки товара, и требовал деньги обратно.

    Выследить его удалось совершенно случайно, причем сделала это не система безопасности проекта, а один из создателей кампании на Kickstarter. Он получил требуемую сумму для своего проекта, отправил товар всем участникам, а затем получил письмо от Amazon Payments, где было написано, что один из вкладчиков требует деньги обратно. К счастью, этот вкладчик был единственным, кто сделал максимальный взнос в 1000 долларов, и, после дополнительного расследования, проведенного пострадавшим, команда Kickstarter, наконец, обратила внимание на ситуацию.

    Сейчас аккаунт Encik Farhan, его чарджбеки — отменены, и Kickstarter + Amazon Payments работают над тем, чтобы в будущем подобные ситуации не повторялись. Почему этого не было сделано ранее, ведь ситуация вполне предсказуемая? Кто знает.

    Via theverge
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 22

      +2
      Сравнительно честный способ отъема денег
        +4
        ...«великий комбинатор», «идейный борец за денежные знаки», знавший «четыреста сравнительно честных способов отъёма (увода) денег».
        +21
        image
          +4
          Тут не столько служба безопасности виновата, сколько организаторы кикстартер, которые не заказали аудит у специализированной компании на проведение blackbox pentesting. Там как раз специалисты ИБ и выявляют мошеннические возможности и схемы. А может и заказывали, но значит компания не с тем опытом оказалась :)
          Вообще история из разряда как на моей практике была с вестрн юнион, такая же халатность привела к большим проблемам.
            0
            Единственный способ избежать такого мошенничества — это не принимать кредитки. Просто всем приходится или смириться с потерями и попытаться уменьшить % потерь всякого рода проверками пользователей, задержками при снятии денег и т. п.
              +3
              Кикстартер устроен таким образом, что может принимать только кредитки (либо напрямую, либо через Amazon Payments). Отмена приёма кредиток будет попросту означать закрытие Кикстартера.

              Такие случаи, если даже и будут повторяться, будут настолько единичными, что нет никакой целесообразности проводить какие-либо аудиты. Как правило (см. мой подробный комментарий ниже), на момент высылки товара срок chargeback уже давно прошёл.
            –2
            его чарджбеки — отменены
            … это как? Наведались в гости и отобрали деньги?
              +8
              Скорее всего просто увели его счет(а) в технический овердрафт, списав снова все чардж-беки, далее ему придется разбираться с банком.
              +6
              Скорее удивительно, что таких случаев до сих пор не произошло
                +18
                Я не хочу сказать, что статья — полный бред, но, как правило, от завершения сборов денег до завершения самого проекта (и отсылки товара) проходят месяцы (в исключительных случаях, даже год и более). Проектов, у которых готов продукт, и они могут начать отсылать его через 2-3 дня после завершения сбора денег, единицы. Если проект находится на такой стадии, что продукт уже готов и ему нужно только собрать деньги для рассылки, то это уже создатель проекта нарушает правила Кикстартера (цель которого — создавать продукты с помощью донейтов на Кикстартере, а не рассылать готовый товар).

                Гораздо чаще (но тоже не каждый день) случается наоборот — создатель проекта собирает деньги, ждёт, пока нельзя уже будет отменить платёж (т.е. сделать chargeback), — а обычно это 2-3 месяца — и потом просто скрывается с деньгами, так и не разослав никакого товара. Пример такого проекта, созданный жителем Украины: www.kickstarter.com/projects/608696909/magic-cooking-gloves-integral-part-of-your-bbq-exp (Я сам пожертвовал ему 30$, и в итоге остался «с носом»).
                  +3
                  А у кикстартера нет защиты от таких мошенников?
                    +1
                    Защиту сделать невозможно, так как деньги идут не Кикстартеру, а создателю проекта (Кикстартер только выступает в качестве посредника и получает комиссионные). И для того, чтобы продукт изготовить, эти деньги нужны (то есть, нельзя просто их «заморозить» на счету до отсылки товара, иначе товар не на что будет сделать). Но есть меры предосторожности — все проекты, которые выставляются на Кикстартер, проходят премодерацию:

                    1. Для создания проекта на сайте, нужно ввести личные данные жителя одной из стран, с которыми работает Кикстартер (на сегодняшний момент, это США, Канада, Великобритания, Австралия и Новая Зеландия). Данные включают фамилию, имя, адрес, дату рождения, номер банковского счёта (либо привязку к Amazon Payments), а также несколько вопросов, где нужно выбрать один правильный вариант ответа. Эта информация проверяется по базам данных, к которым у Кикстартера есть доступ, и, в случае несовпадения информации, в создании проекта будет отказано. Таким образом, исключается возможность того, что проект будет создан на несуществующее лицо, и создатель проекта несёт персональную ответственность. На этом этапе отсеиваются все мошенники, ворующие деньги через «липовые» фирмы и подставные лица.
                    2. Сотрудник Кикстартера читает страницу проекта, и смотрит, есть ли какие-то подозрительные моменты (например, нереальные сроки, полное отсутствие технической информации о продукте, отсутствие прототипа, продукт, который продаётся на другом сайте как готовый и т.п.). В случае нахождения такой подозрительной информации, в создании проекта будет отказано.
                    3. Если проверка персональных данных создателя проекта прошла успешно, и сотрудник Кикстартера не нашёл в проекте ничего подозрительного, то проект будет разрешено запускать. (Есть ещё проверка на соответствие правилам Кикстартера, но она к нашей теме не относится). После создания проекта, уже тысячи простых людей (как бекеров проекта, так и просто интересующихся и «проходящих мимо») изучают проект и невольно ищут всяческие несоответствия и подозрительные моменты. В случае нахождения таких моментов, люди обычно уведомляют службу поддержки Кикстартера, и проект изучают повторно, уже во время сбора денег. Если подозрительная информация подтверждается, то проект «замораживают» (временно, до выяснения обстоятельств, или насовсем) или отменяют (напомню, что до окончания сборов деньги остаются на счетах бекеров, так что при отмене/«заморозке» проекта они ничего не теряют). Таких случаев достаточно — в основном, это слишком «резвые» спекулянты, которые находят готовые товары на eBay, DealExtreme и в других китайских магазинах, и пытаются выдать их за свой оригинальный продукт, нажившись на перепродаже втридорога. Бывают и явные аферисты — например, мошенники пытались собрать деньги якобы на производство вяленой говядины, и им почти удалось украсть 120,000$ (сотрудники Кикстартера «заморозили» проект в последний момент по уведомлению бекеров): www.kickstarter.com/projects/kobered/kobe-red-100-japanese-beer-fed-kobe-beef-jerky (и статья об этом: qz.com/94597/kickstarter-almost-enabled-a-120000-fraud-and-its-not-the-first/ )

                    Проблемы начинаются, если все проверки пройдены успешно, и во время сбора денег не найдено ничего подозрительного. Деньги уходят создателю проекта, он может дождаться, пока срок chargeback истечёт, и скрыться с деньгами. Даже в этом случае, у Кикстартера остаются его личные данные (см. п. 1), но без решения суда, Кикстартер их Вам не отдаст.

                    По закону тут всё чисто — Кикстартер охраняет свою базу данных — наоборот, нужно радоваться, что он не ведёт себя, как другие нечистоплотные фирмы, которые с удовольствием продадут Ваши данные «налево». Загвоздка только в том, что получить решение суда займёт много времени и будет стоить денег, обычно больше, чем деньги, пожертвованные проекту, и поэтому мошенники могут чувствовать себя в относительной безопасности, так как вряд ли из-за потерянных $30 кто-то будет ехать в США и подавать на Кикстартер в суд. Но если кто-то захочет проучить мошенника любой ценой, то это реально сделать.
                  +2
                  В этой схеме нет ничего нового. Если товар был отправлен, то у отправителя наверняка есть треккинг номер. Вот его и нужно предоставить через Kickstarter и Amazon Payments кредитной компании и тем самым оспорить chargeback. Если есть треккинг номер, то шансы «выиграть» chargeback есть.

                  Другой вопрос — делают ли что-либо Kickstarter и Amazon Payments чтобы оспорить chargeback или же просто игнорируют его и списывают средства со счета проекта.
                    –1
                    Совершенно верно! Ни один процессор не списывает чарджбеки с продавца автоматом (хотя бы потому, что это минус самому процессору перед лицом кредитной компании). Идет разбор полетов. Если продавец предоставляет квитанцию об отсылке товара, то никакой чарджбек ему уже практически не грозит.

                    Для цифровых товаров или услуг, не предполагающих почтовых отправлений наоборот. Если вы не Микрософт или Люфтганза, то скорее всего деньги у вас отберут.
                      +2
                      Чарджбек автоматически проходит и потом у продавца есть 180 дней, чтобы его опротестовать и доказать, что он выполнил условия контракта. Если ему это удаётся, то человеку, сделавшему чарджбек его отменяют и дополнительно берут штраф в $25.
                    +10
                    Краудфродинг*
                      +2
                      На самом деле тут можно было бы и опустить название площадки Kickstarter, т. к. чарджбек можно сделать при любой оплате картой — либо через заявление в банке, либо напрямую visa/mastercard. В первом случае надо предоставить банку доказательства неполучения товаров/услуг по оспариваемой транзакции, во втором будет арбитраж с запросами и к продавцу, и к получателю.
                        +1
                        доказательства неполучения

                        Завис…
                          0
                          При заявлении в банк — это claim. Chargeback — это эксклюзивно американская процедура, в которой ничего никому не надо предоставлять. В современном мире — это выглядит как кнопка в интерфейсе интернет банкинга.
                        +3
                        Ситуация гораздо глубже и распространяется не только на Visa/MC. В Европе возврат(отзыв) платежа — нормальное дело.
                        Работаю в одной платежной системе. Когда мы столкнулись с большим количеством «плохих» транзакций, то отказались от приема карточек в пользу различных безвозвратных платежей (благо, их достаточно). Так вот, началась та же песня с банковскими переводами. Т.е. человек переводит нам деньги, тратит их с нашей системы, а потом нам в банк приходит запрос на отзыв платежа. Вот такая песня. Так что кредитки — не единственные такие.
                          0
                          … не говоря что чарджбек некисло бьет по репутации того, на кого пожаловались. Тоже — никто и не будет разбираться…

                          Only users with full accounts can post comments. Log in, please.