Конференция DEFCON 27. Признание интернет-мошенницы

Автор оригинала: Нина Колларс
  • Перевод
Брифинг выступления:

В настоящее время Нина Колларс, известная также как Kitty Hegemon, пишет книгу о вкладе хакеров в дело обеспечения национальной безопасности. Она политолог, занимающаяся исследованиями технологической адаптации пользователей к различным кибернетическим устройствам. Колларс является профессором факультета стратегических и оперативных исследований Военно-морского колледжа и работала в Федеральном исследовательском отделе Библиотеки Конгресса США, Департаменте афроамериканских исследований Гарвардского университета, Всемирном банке, заводе по производству антибликовых покрытий, а ночью – в качестве волонтера BSides. В качестве хобби она когда-то возглавляла группу DC Cigars, Scotch и Strategy и до сих пор является сертифицированным специалистом по приготовлению бурбона.




Привет, я Китти, но на работе люди чаще зовут меня Нина. Прежде чем я начну свою презентацию, скажу, что высказанное здесь мнение не обязательно совпадает с мнением военно-морского флота, департамента обороны или правительства США. Я обязана это сказать, потому что технически являюсь федеральным служащим, так как работаю профессором в Военно-морском колледже на факультете стратегических и оперативных исследований. Это значит, что я изучаю новейшие технологии и то, как они влияют на боевые действия и оборону, которые будут включать в себя элементы кибернетики. Это одна из причин, почему я наблюдаю за сообществом DefCon. Однако то, о чем я буду сегодня говорить, не имеет к военной отрасли никакого отношения.

Итак, в августе прошлого года я купила подержанную кофемашину Nespresso, и захотела прийти сюда и рассказать, что произошло после этого. Как известно, кофемашины и капсулы покупаются в основном онлайн. Есть несколько бутиков Nespresso по всей стране, но в общем и целом, вы можете купить свой кофе для машин Nespresso прямо на сайте компании. Купив подержанную машину, я поняла, что кофейные капсулы на сайте Nespresso стоят довольно дорого и решила поискать более дешевого продавца.



Оказалось, что на аукционе eBay можно купить кофе намного дешевле – цена капсул составляла примерно половину того, что мне пришлось бы заплатить при покупке напрямую от Nespresso. Единственная неудобство состояло в том, что нужно было купить сразу минимум 200 капсул, но поскольку я пью много кофе, это не слишком меня напрягло, и я сделала свою ставку на партию капсул. Когда аукцион окончился, я увидела, что победила и оплатила покупку через PayPal.
Примерно через неделю мне доставили товар. Представьте мое удивление, когда вместе с коробками кофе мне доставили коробку с совершенно новой кофемашиной. Это была самая популярная компактная модель кофемашины Nespresso Pixie стоимостью 280 долларов, которая использует маленькие «таблетки» кофе ценой 70 центов за штуку.

Я подумала, что просто ошиблась при оформлении заказа и вернулась на eBay, чтобы проверить, не нажала ли я там чего-то лишнего и не купила ли случайно эту штуку. Однако ничего подобного я не обнаружила.

Тогда я осмотрела наклейки на коробках и увидела, что и капсулы, и кофемашина пришли мне от одного и того же отправителя, и что самое странное, этим отправителем была сама компания Nespresso. Однако я заказывала товар не у производителя, а у третьей стороны!



Я снова зашла на eBay, чтобы посмотреть на детали транзакции и сравнить их с инвойсом, и узнала, что имя продавца на eBay, давайте назовем ее Сью из Чикаго, совсем не похоже на имя отправителя в аккаунте Nespresso, назовем его Джордж из Покипси. К тому же у Сью из Чикаго был нулевой рейтинг продавца и она создала свой аккаунт буквально за пару недель до заказа. Единственное, что она продавала, был кофе Nespresso.

Я подумала, что это похоже на мошенничество, поэтому решила разобраться с вопросом и позвонила в компанию Nespresso. Весьма неохотно, потому что я немного жадная и была бы не прочь оставить эту кофемашину себе. Я объяснила службе поддержки клиентов, что не заказывала машину, а заказала только капсулы и покупала их не у Nespresso, а у стороннего продавца на eBay. Мне подтвердили, что деньги за оба предмета моего заказа в действительности были сняты с кредитной карты Джорджа из Покипси.

Я подумала, что стоит позвонить этому Джорджу, который прислал мне такой чудесный подарок, чтобы прояснить ситуацию, однако клиентская служба отказалась дать мне его телефонный номер. Я продолжала подозревать здесь какое-то мошенничество, но у меня не было никакого способа понять, кто и в чем выигрывает в данной ситуации. Поэтому я сказала Nespresso: «пожалуйста, пришлите мне предоплаченную этикетку на возврат товара по почте, и как только я ее получу, то с радостью отправлю вам обратно свою кофемашину». С моей стороны это было уловкой, потому что все знают, насколько неохотно производители забирают свой товар.

Девушка из службы поддержки клиентов записала мои данные, отправила их в отдел по борьбе с мошенничеством и сказала, чтобы я следила за своей почтой. Если компания захочет вернуть ошибочно присланную кофемашину, то этот отдел пришлет мне предоплаченную этикетку, чтобы мне не пришлось платить свои деньги за отправку посылки.

Как видите, спустя год кофемашина все еще у меня. Но моя совесть спокойна – я сообщила о мошенничестве, и я оставила эту машину себе. Однако я никак не могла понять, что же произошло на самом деле, и это меня постоянно беспокоило.

Так что я немного погуглила и нашла в разделе безопасности сайта eBay схему так называемого Triangulation Fraud, или «мошеннического треугольника». Она названа так, потому что в ней участвует три стороны. Эта схема помогла понять, что могло произойти конкретно в моем случае.



Весь смысл этого мошенничества состоит в том, чтобы обналичить средства с кредитной карты, используя стыковку между компанией и последним элементом схемы – мулом, как его принято называть. Это тот человек, который конвертирует наличку.

Три участника данной схемы:

  • ничего не подозревающий клиент, который размещает заказ на аукционе или электронном рынке, используя какую-либо форму кредита, дебета или тендера PayPal;
  • продавец-мошенник, который получает заказ, а затем размещает этот заказ на реальный продукт на легальном веб-сайте электронной коммерции, используя для оплаты украденную кредитную карту;
  • законный сайт электронной коммерции, который обрабатывает заказ мошенника.

Чаще всего мошенник задействует в своей схеме легального продавца с репутацией, занимающегося ”работой на дому". Такой продавец может даже не предполагать, что является частью мошеннической сети, а некоторые из таких продавцов имеют солидную историю продаж. Работодатели-мошенники часто размещают объявления о найме продавца для реализации своего товара под определенный процент, обычно это 30%, и многие продавцы соглашаются на такую работу.



Именно работодатель является настоящим преступником, обладающий украденной информацией о кредитной карте. Он предоставляет продавцу список «своих» товаров для продажи, включая полное описания продуктов.

Продавец размещает товары в своем аккаунте на электронной торговой площадке. Легальные клиенты покупают товары, и продавец отправляет информацию о сделанном заказе своему работодателю.

Работодатель размещает такой же заказ на легальном веб-сайте, оплачивает его украденной кредитной картой и передает трекер товара продавцу.

Продавец передает трекер клиенту. Теперь заказ, сделанный мошенническим образом, отправляется клиенту с легального веб-сайта компании-производителя товара.

Клиент, который неожиданно получил украденный товар, и легальная компания-производитель являются жертвами. Если мошенничество будет обнаружено, законный веб-сайт оформит возвратный платеж или потеряет средства, полученные в оплату заказа. Этот сайт может связаться с клиентом, чтобы вернуть украденные товары, либо об этом заявит сам клиент, как произошло в моем случае. Покупатель также может подать иск о мошенничестве в свой банк против продавца.
Однако есть еще одна жертва – это человек, у которого украли кредитную карту. Он ничего не знает о сделке, пока не получит выписку по кредитной карте. Естественно, что он попытается оспорить покупку, и иногда это приводит возврату платежа легальным веб-сайтом.

Обычно мошенник представляет крупную компанию, в данном случае Nespresso, и открывает там аккаунт. Такие компании имеют отлаженную систему доставки и простую систему аккаунтов, которая не содержит сложных проверок безопасности. Затем мошенник, если он работает в одиночку и одновременно является и работодателем, и продавцом, создает свой аккаунт на eBay, фальшивый профиль и начинает продавать вещи очень дешево. Когда аукцион завершается, ничего не подозревающий покупатель отправляет свои деньги на eBay и становятся мулом – благодаря честному покупателю мошенник получает нужную ему наличку.



Однако стоит помнить, что мошенник продает товар, которым на самом деле не владеет. И процесс покупки на eBay не будет завершен до тех пор, пока не закрыта накладная на доставку. Это означает, что далее мошенник использует кредитную карту, чтобы купить товар непосредственно у производителя, и тогда треугольник замкнется. На сайте сгенерируется уведомление о доставке, и все довольны. Мошенник забирает деньги от продажи товара, платит eBay комиссию и оплачивает дополнительные предметы, в моем случае это капсулы для кофемашины. Это бесшовный треугольник, и покупатель понятия не имеет что он «мул», все что он знает – это то, что получил свой товар по выгодной цене. Стимулом для продолжения мошенничества является то, что все продолжают молчать. Конечно, если покупатель – это не я, получившая машину для эспрессо, которую не заказывала, и которая действительно хотела узнать, почему так получилось.
У меня было 2 версии происшедшего. Первая – ошибка службы обработки заказов, когда кто-то ошибочно скопировал лишнюю строчку из электронной таблицы Excel на сайте производителя, и они случайно прислали мне дополнительную кофеварку. Вторая – мошенники просто хотели купить мою любовь! Возможно, этот мошеннический треугольник настолько хрупкая вещь, а все эти аккаунты и «паленные» кредитные карты настолько деликатные вещи, что мошенник попытался настолько меня осчастливить, чтобы я ни в чем не засомневалась и продолжила покупать его товар.

Итак, самым правильным шагом после получения дармовой кофемашины Nespresso было начать собственное расследование, купив еще кофе! Я знаю, вы думаете, что я ужасный человек, но… во-первых, я по какой-то причине все же назвала свое выступление «признаниями», во-вторых, я всего лишь предполагала, что это мошенничество, но не была в этом уверена. Я не знаю, насколько велика эта операция, значит, мне нужно больше данных.

В частности, мне не просто нужно было больше данных от одного продавца, я хотела знать, не действует ли здесь целая шайка аферистов по типу «нигерийских принцев» или продавцов мошеннических подарочных карт. Короче, мне нужно было каким-то образом оценить масштаб происходящего.



Итак, я придумываю кучу вопросов, чтобы выяснить, кто эти воры. Чтобы было ясно, на eBay полно воров. Я просто хотела найти именно этих. Итак, имеют ли мошенники другие аккаунты, могу ли я их найти? Как быстро сгорают эти аккаунты? И самый главный вопрос — смогу ли я заставить их совершить одну и ту же ошибку дважды? Типа «пришлите мне еще больше бесплатных вещей?».

Используя инструмент поиска аукциона eBay и начальный аккаунт в качестве шаблона, я попыталась найти другой, недавно созданный аккаунт, с нулевым рейтингами по продаже Nespresso. Итак, мне нужно было 3 вещи: чтобы они продавали Nespresso, чтобы у них был нулевой рейтинг и чтобы аккаунт был создан сравнительно недавно.

Я подумала, что мошенники не будут стараться делать каждое свое объявление уникальным, а предпочтут шаблонные описания и одинаковые картинки для нескольких аккаунтов продавцов. Кроме того, если эти «треугольники» достаточно хрупкие и быстро «палятся», мне придется выискивать такие объявления каждый день.

Поскольку eBay позволяет автоматизировать поиски, я задала свой собственный шаблон на покупку 200 капсул Nespresso по цене 99 долларов. Третьим условием я выставила кофемашины, но три параметра создают сомнительный пул данных, поэтому я придерживалась только поиска капсул. Я получала отчет о результатах поиска по электронной почте, и мне приходилось проверять до 100 писем каждый день. Поначалу это было немного сложно – нужно было время, чтобы найти лот, точно соответствующий моим критериям отбора. Кофе продают многие люди, но 200 капсул Nespresso по цене 99 долларов у продавца с нулевым рейтингом и свежим аккаунтом — достаточно редкий лот.

Если вы посмотрите на этой слайд, то увидите вверху звездочки. Так вот, это не рейтинг продавца, как можно подумать, а отзывы людей о данном товаре. Но видя такие звездочки, покупатели чувствуют себя спокойнее, представляя, что это именно рейтинг продавца. На самом деле для новых аккаунтов рейтинг пишется мелким шрифтом в самом низу объявления. Чтобы его просмотреть, а также узнать дату создания аккаунта, нужно нажать отдельную кнопку, что требует времени.

Хорошая новость заключается в том, что веб-сайт eBay помогает мне в поисках – даже если мои клики не приводили к искомым результатам, он наблюдал за мной и размещал внизу страницы выборку объявлений: «мы подобрали для вас похожий товар, возможно, он вас заинтересует». В итоге я вскоре обнаружила интересующие меня аккаунты, и как настоящий исследователь, создала электронную таблицу для отслеживания каждого уникального аккаунта с датой его создания, временными изменениями рейтинга, количеством проданных лотов и суммами продаж.
После этого я выбрала 2 аккаунта, созданные один за другим в течение 6 дней, и сделала 2 отдельные покупки, чтобы узнать, не пришлют ли они мне дополнительные товары, не предусмотренные заказом.



В результате через неделю я получила 200 капсул кофе плюс еще 200 капсул, а еще через 6 дней – 200 капсул кофе и совершенно новый вспениватель молока для капучино ценой 119 долларов. Это было очень полезным подарком, потому что я человек капучино, я люблю, когда кофе имеет пенку. В общем, я перешла с обычного кофе на капучино, но что более важно, поняла, что нашла этих мошенников. В своих объявлениях они использовали одни и те же картинки и одинаковые описания товара. И тут я вступила с ними в переписку. Я писала им всякую ерунду по поводу товара, спрашивала про разные кофейные продукты, разные сорта кофе, иногда просто посылала приветы. Но они никогда мне не отвечали.

Я также просмотрела страницу eBay, посвященную вопросам мошенничества, чтобы попытаться сообщить им об этих аккаунтах, потому что поняла, что это не честно, я не должна в этом участвовать, правильно? Но выяснилось, что покупатель не может сообщить о мошенничестве на веб-сайте eBay, если он действительно получил товар. Там есть форма жалобы «я не получил заказанный товар» или «я получил поврежденный товар», но нет ничего типа «я получил лишний товар и хочу об этом сообщить». Так что я отказалось от мысли жаловаться eBay на этих мошенников.

Итак, я продолжила свое расследование, нашла еще 2 похожих аккаунта и сделала еще 2 заказа. Я снова получила 200 + 200 капсул кофе, и тут произошло кое-что интересное — мошенник написал мне письмо.



«Здравствуй, друг! Во-первых, спасибо за то, что ты выбрал для покупки мой товар. Во-вторых, я извиняюсь за то, что товар не в лучшем состоянии, и я не смог его тебе выслать, потому что стараюсь всегда продавать только отличные вещи. Моя мама находится в больнице, но вскоре я постараюсь найти другой товар в хорошем состоянии, чтобы отправить его тебе. Мне нужно в больницу, чтобы побыть рядом с мамой, так что надеюсь, ты войдешь в мое положение и позволишь мне отменить заказ. Спасибо и храни тебя Господь!».

Какой милый парень, не так ли? Он отменил заказ, и мне вернули мои деньги. Его аккаунт был закрыт спустя неделю. Это был очень деликатный мошенник, и мне хочется верить, что с его мамочкой все хорошо. Вероятно, я спугнула его своим желанием регулярно получать бесплатно дополнительные партии кофе.

Далее я потратила несколько часов на поиски некого инструмента. Мое буйное воображение подсказало, что возможно, кто-то создал нечто, что на английском можно назвать guessor – «генератор грамматических ошибок», что-то вроде дерьмовой версии Google Translate, специально коверкающего перевод под иностранный язык. Оказалось, такого инструмента не существует, так что для вас задание – разработать нечто подобное!

Я стала спрашивать друзей, говорящих на других языках, не встречали ли они чего-то похожего, некоторым мои вопросы показались расистскими, так что я прекратила поиски. Дело в том, что я сообразила, что мошенники постараются изображать плохое знание языка, чтобы сбить вас со следа, специально размещая неграмотные объявления на английском языке, и мне стоило бы их разыскать.

Так или иначе, мое дело с кофе вышло из-под контроля, и меня гложет совесть. Моя кухня — это полная катастрофа, так что пришло время прекратить эту игру. Мне не нужно было столько кофе, фактически я просто платила по сто долларов за сбор информации об аккаунте продавца. Каждый раз, когда я платила эти деньги, я хотела узнать как можно больше об этих людях.



Однако я не настолько богата, чтобы постоянно вести такие дорогие исследования. Вот результат моей деятельности, сведенный в таблицу.



Всего 5 покупок, 1 возврат, общее количество полученных капсул для кофемашины – 1200 штук, 1 вспениватель молока, 1 компактная кофемашина. Мои затраты составили 391,9 долларов, общая стоимость полученного мной товара – примерно 939 долларов. В октябре я взяла всю собранную мною информацию, инвойсы, данные аккаунтов, и вместе с имеющимися у меня печатными документами отправила в ФБР. Мне было интересно, попытаются ли они что-нибудь с этим сделать. Я также отправила результаты своего расследования на eBay и всем, кого это заинтересовало. Я до сих пор не получила ответа от ФБР, но спустя 30 дней активность кофе-мошенников, казалось, сошла на нет. Возможно, что-то случилось. Я не смогла выяснить, кто были эти люди. Мне очень хотелось раскрыть какое-нибудь крутое преступное сообщество, что-то вроде похитителей кредитных карт из Марокко или что-то в этом роде, но этого не произошло. Но это же не героическая история, верно? Это мое признание.

Вот собственно, все, что я узнала о мошенническом треугольнике на eBay. Когда я стала рассказывать людям эту историю, начинала объяснять, как это работает, мне часто говорили, что это преступление без жертв. Однако стоило задуматься, и ты понимаешь, что это неправда, преступлений без жертв не бывает. О Джордже из Покипси я узнала совсем немного, как и о других продавцах, но выяснила, что все они были пенсионерами или находились в предпенсионном возрасте. Это довольно уязвимая группа населения. И они выступают в роли жертв, которые не способны никак смягчить нанесенный ими ущерб, большинство из них даже не знает, что происходит от их имени. Люди, у которых украли кредитные карты, обнаружив незаконные списания денег, начинают их опротестовывать. И крайними в этой цепочке оказываются не компании-производители, а такие вот продавцы, пожилые люди, с которых могут взыскать украденные мошенником деньги.

Как нация, мы не достаточно далеко продвинулись в деле защиты этих людей. Компаниям или крупным продавцам подобный вид мошенничества наносит не настолько сокрушительный удар, как пожилым людям. Печально то, что любой с легкостью может стать соучастником схем такого рода. Следовало бы установить определенный предел скидок для стимулирования покупателя, ниже которого начинается мошенничество. Это настоящая золотая жила для жуликов. Но eBay это не волнует, Nespresso это тоже не волнует, потому что покупая товар по бросовым ценам, вы продолжаете покупать, а они – получать свой процент или увеличивать продажи.



Вас стимулируют участвовать в мошеннических схемах, потому что от таких скидок и дармовых товаров каждый приходит в восторг. Однако в действительности все это продается по рыночной цене, а крупные продавцы защищены от убытков страховкой, которая покрывает в том числе ущерб от мошенничества с краденными кредитными картами. Они останутся не при чем, если удается перевести стрелки на того, кто купил у них товар с целью дальнейшей перепродажи – в данном случае на Джона из Покипси, либо на того, у кого украли данные кредитной карты
Так что на самом деле единственный человек, который способен это остановить – это вы или я. И я остановилась. Я не буду больше этого делать. Это не нормально. Все, что у меня осталось, это мое признание и обещание бросить покупать супердешевые товары. И еще у меня осталось много кофе. Возможно, я смогу сделать еще одну хорошую вещь — выставить на аукцион эту бережно используемую замечательную кофемашину Nespresso.



Торги, кстати, это ужасная идея. Они начнутся сразу, как только я размещу объявление в своем Twitter –аккаунте. Просто зайдите на сайт и сделайте свою ставку. Принимаются только наличные. Результат торгов будет оглашен завтра в 10 утра, и победитель сможет прийти в кампус Tamper Evident и забрать свою кофемашину. Не глупите и не вздумайте сделать максимальную ставку, чтобы потом за ней не прийти. Все полученные средства пойдут на реализацию инициативы «Диана». Я обещаю, что буду следить за всеми этими сделками, чтобы обеспечить абсолютную прозрачность.

Если никто не захочет поучаствовать, ну что же, это DefCon, где всякое случается. На последнем слайде вы видите мой настоящий аккаунт в Twitter, так что пишите, огромное вам спасибо!

Аукцион начинается со ставки в 1 доллар, так что я пойду и размещу это объявление прямо сейчас. Еще раз спасибо, ребята, вы потрясающие!




Немного рекламы :)


Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас, оформив заказ или порекомендовав знакомым, облачные VPS для разработчиков от $4.99, уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps от $19 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле в дата-центре Equinix Tier IV в Амстердаме? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
ua-hosting.company
Хостинг-провайдер: серверы в NL / US до 100 Гбит/с

Комментарии 39

    +2
    Эта схема стара как мир
    Отмывка и обналичка денег через краденные карты путем покупки и продажи товаров
    0
    Изящная схема, на Avito как то поскучней, все разводы в стиле купи слона, не дорого, вот смотри, я тебе отправил, вот квитанция с печатью, мужЫк ты мне теперь денег должен, и ведь ведутся же люди.
      +1
      Я бы не назвал это разводом, скорее способ обналички денег с краденых карт
        +2
        У меня всё наоборот — отправлял, а потом завтраками давился. Даже в авито написал — почему нельзя покупательский рейтинг делать? Два месяца прошло, а воз и ныне там — на плохих покупателей не пожаловаться.
        0
        Хорошее исследование, а вот вывод и предлагаемое решение — меня смутили.
          0
          А можно уточнить в чем схема для не очень умных? Суть в том, что они отмывают деньги, оплачивая товар крадеными реквизитами, но присылая его реальному человеку и получая на «чистый счет» легальный перевод? Или я что-то не так понимаю? И откуда берется лишний товар? Они таким образом легализуют краденый товар по 0ой цене или что?
            0
            Это не отмывание а воровство. Просто если перевести себе чужие деньги на счет то владелец опротестует это, а еще есть риск быть вычисленым
              0

              Продавец-мошенник А выступает перевалочным звеном. Когда реальный покупатель В заказывает у А товар, А на самом деле заказывает его у производителя С на адрес В, используя краденую карту.
              При этом А получает деньги от В за продажу. Чтобы В с большей вероятностью молчал, они присылают ему больше, чем он заказывал. Не свои деньги не жалко.
              Когда владелец краденой карты опротестовывает транзакцию, убытки реального продавца С покрываются страховкой.
              Вроде такая схема.

                +5
                1. Девушка покупает на ebay товар, переводит продавцу свои "чистые" деньги со своей карточки, при этом...
                2. ...ebay служит посредником при переводе денег, получает % за перевод. Чтобы защитить себя, ebay требует от продавца подтверждения, что товар отправлен.
                3. Продавец-мошенник получает "чистые" деньги (за вычетом того самого % за посредничество) от ebay, и размещает заказ на сайте Nespresso, указывая в качестве адреса доставки адрес девушки, а в качестве средства оплаты — номер и прочие данные украденной карточки.
                4. Банк-эмитент карточки, сверив номер и данные, списывает деньги (плюс % за посредничество) со счёта настоящего владельца карточки, скажем, того самого Джорджа из Покипси.
                5. Nespresso получает из банка деньги (за вычетом % за обслуживание карты) и отправляет девушке-машину, а мошеннику — номер трекинга для отслеживания посылки.
                6. Мошенник вбивает номер трекинга в форму ebay, подтверждая "смотрите, всё по чесноку, товар отправлен именно ей".
                7. Через 2-3 дня девушка получает кофе (который просила) и бонусы (которые не просила), радуется "вот продавец мудак, дорогие бонусы прислал" и решает сидеть тихо и молчать в тряпочку ("а то ещё заставит за бонусы заплатить").
                8. Джорджа из Покипси в конце месяца получает счёт из банка, офигевает от количества купленного им кофе, звонит в банк и орёт "да вы что, окофеели там, что ли, не покупал я столько кофе". Банк униженно извиняется и отменяет покупки.
                9. Банк звонит в ebay и говорит — "вот этот вот чувак заплатил с ворованной карточки". Ebay закрывает аккаунт мошенника, но уже поздно — деньги с него мошенник успел вывести ещё несколько дней назад.
                10. Дальнейшие разборки происходят между ebay, банком (который деньги отдал) и Nespresso (которая деньги получила), результат их может разниться в зависимости от того какие соглашения они подписывали, но проигравшие будут где-то в этой тройке, и, как правильно отметили, могут покрываться страховкой, оплата за которую идёт из тех самых вышеуказанных %.
                  +2
                  9. Только не в Ebay а Nespresso, с которого мошенник и оформил заказ.
                  10. Nespresso ничего не знает о Ebay, все что они могут это заблокировать мошенника и обратиться в ФБР.
                  11. ФБР приходит к Китти и уже от нее узнает о продавце с Ebay.

                  Скорее всего банк отзывает транзакцию, а Nespresso только блокирует аккаунт мошенника и добавляет адрес в блэк-лист. А мошенник сам закрывает аккаунты на Ebay, чтобы ФБР не связало все эпизоды в одно крупное дело.

                  PS: Видимо только после 5 заказов банк отозвал одну из транзакций и адрес Китти попал в блэк-лист Nespresso, отсюда и отмена заказа.
                    0
                    Это всё понятно. Непонятным остается только то, почему Джоржу не приходит смс о списании с карточки. Я уж молчу про 3Dsecure.
                      +1
                      1) Смс-уведомления о движениях по счету стоят денег. А Джордж пенсионер и, наверное, на этом экономит.
                      2) 3DSecure поддерживают не все платежные системы. Могут банально не прикрутить.
                        0
                        3DSecure поддерживают не все платежные системы.

                        Тут не только от платежной системы зависит, но и от репутации получателя платежа в платежной системе. Например, в паре крупных магазинов у меня проходили без пин-кода оплаты на суммы сильно выше стандартного лимита 1000 рублей. Еще на нескольких крупных онлайн площадках оплаты проходили без 3DSecure, в том числе Амазон и большой российский интернет-магазин. Оплата через сайт одного сотового оператора — как повезет, в некоторые дни спрашивает код на платеж 100-1000 рублей, но иногда без подтверждений проходит платеж на 2000+ рублей.
                          +1
                          Вот это как раз интересный вопрос. То есть технологии защиты есть, но их применение зависит от продавца. Если продавец не хочет использовать данную технологию, то у клиента нет никакой возможности защититься. Я понимаю, что возможно не у каждого пользователя платежной системы есть телефон, но хотелось бы иметь возможность самому заботиться о безопасности платежей. Пусть даже для этого на сайтах типа Амазон и ебей мне пришлось бы отдельно приобретать предоплаченные карты. То есть как клиент платежных сиситем я хотел бы быть уверен, что все мои онлайн платежи защищены 3DSecure.

                          И что еще вспомнилось — я часто на городских сайтах и в сообществах соц.сетей вижу фото найденных карт. Некоторые даже не прикрывают номер, а кто-то просто пользуется размытием. И аргумент всегда один — без смс ничего не купишь через интернет.
                            0
                            Потому, что интернет магазин борется за покупателей. И при выборе сделать всем покупку сложнее или вернуть деньги в нескольких случаях мошенничества, для амазона выгоднее вернуть деньги.

                            Я вот не понимаю банки, почему приоритет уровня безопасности они отдают интернет магазину, а не своим клиентам, держателям карт. Возможно это требование мастеркард и виза… Но как-то тупо получается.
                              0
                              Я вот не понимаю банки, почему приоритет уровня безопасности они отдают интернет магазину, а не своим клиентам, держателям карт.

                              Потому что покупки без 3DSecure можно просто опротестовать, с ним — уже не факт. Аналогично и с пин-кодом.
                              Соответственно для клиента это выбор между «легче украсть — легко вернуть» и «сложнее украсть — невозможно вернуть». Для продавца же в обоих случаях это потери, потому продавец может решать — меньше рисковать, или согласиться на неизбежные потери для упрощения покупок.
                        –2

                        Там до сих пор чеки в ходу! Американская банковская система застряла в прошлом веке.

                          0
                          Чеки есть, но ими мало кто пользуется. Чеки для дебитового аккаунта, а оплату принимают в основном только кредитками. Есть дебитовые визы и мастеркард, но это для бедноты, у кого кредитный рейтинг отрицательный.
                            0

                            Сам факт их существования в ходу вызывает много вопросов.
                            Много где зарплату выдают чеками. Сам видел, что в обычных продуктовых магазинах в Сан-Франциско можно расплатиться чеком.
                            Чеки же неудобны! Их долго обрабатывать, они небезопасны.

                              +1
                              В смысле — неудобны?
                              Мобилой сфоткал — деньги на счету. Сейчас интерак везде, а до этого чек был удобен для оплаты с дебитового счёта. Написал, отдал — и привет. Не идти же в банк за налом.
                              Я знаю, что в РФ наличные очень популярны. Наверное, в этом есть смысл. Здесь я кэш не держал в руках лет шесть, не считая мелочи на мороженое.
                                +1

                                Удобно — это когда в приложении на телефоне нажал кнопочку и перевел деньги на счет в любом другом банке просто зная номер телефона получателя (почти мгновенно!). Ничего писать и фоткать не надо. Удобно — это когда работодатель кидает деньги на счет автоматом, и не надо ждать и фоткать какую-то бумажку.
                                Удобно — это когда в интернет банке вводишь один раз реквизиты компании, продающей тебе электричество, и деньги сами списываются каждый месяц (Именно нужная сумма. Это не автоматический фиксированный перевод, а электронный invoice с автоматической оплатой). С уведомлениями заранее, конечно. И уже не надо руками каждый месяц ничего вводить. Удобно — это когда во всех магазинах можно расплатиться просто приложив карточку к ридеру (и обязательно ввести пинкод при большой сумме покупки для безопасности). Удобно — это когда обо всех списаниях приходят push уведомления.


                                Вот это все — это банковская система 21 века. Если что, я сейчас про Швецию. В Финляндии такая же система. В России не так радужно все, но все-же много чего гораздо лучше, чем в США. Те же смски и зарплатные счета.


                                А чеки — это неудобно. Это надо руками что-то писать, надо бумажки эти иметь под рукой. Это тебе дают бумажку и надо проверить, что она не поддельная, что у плательщика деньги на счету есть. Это лишняя опасность кражи (там процветает мошенничество с чеками, как с ним не борются).


                                Сам несколько лет назад застрял в очереди в магазине, когда какая-то бабушка на кассе выписывала чек, а потом кассирша его проверяла, подшивала, сканировала...

                                  +1
                                  -нажал кнопочку и перевел деньги

                                  Я же написал про интерак. Но есть люди, которые интераком не пользуются принципиально, не знаю, почему. В этом случае есть два варианта — побить человека и заставить использовать интерак или выписать чек.

                                  -когда работодатель кидает деньги на счет автоматом

                                  Удобно работнику, но не удобно работодателю.

                                  -деньги сами списываются каждый месяц

                                  Так и делают. Никто не платит за жкх чеком.

                                  -можно расплатиться просто приложив карточку к ридеру

                                  Так и делают.

                                  -обо всех списаниях приходят push уведомления

                                  Можно настроить в онлайн банке. Мне лично нафиг не нужно. И чеки тут не при чём, на списание чека так же точно придёт СМС.

                                  -гораздо лучше, чем в США

                                  Я в США ни разу не был, я живу в Канаде. Не видел в РФ ничего, что было бы лучше, чем здесь. В банковской сфере, я имею в виду. Буду признателен, если приведёте конкретные примеры похорошения российской финансовой системы.

                                  -процветает мошенничество с чеками

                                  Когда я плачу чеком, мошенничества не опасаюсь.

                                  -бабушка на кассе выписывала чек

                                  Причуды пожилых следует уважать. Они так всю жизнь делали, не переучишь. Но это вряд ли стоит всерьёз обсуждать, я за шесть лет один раз видел, как в магазине платили чеком, тоже бабулечка. Произошло всё это относительно быстро, и это был супермаркет, где в основном пенсионеры.

                                  Чеки сейчас используют в нескольких случаях. Выдают зарплату, в основном там, где текучка — стройка и т.п. Телефонный оператор или поставщик газа может чек прислать, если переплатил, например. Правительство присылает чек, если это какое-то временное пособие. Такс кредит и детские приходят на счёт.

                                  Внезапно, не у всех есть смартфон или компьютер. В этом случае все ваши примеры теряют смысл. И смысла нету обсуждать в духе — интернет доступен, телефоны доступны. Такие люди есть, и их надо обслуживать.
                                    +1
                                    Внезапно, не у всех есть смартфон или компьютер. В этом случае все ваши примеры теряют смысл.

                                    Сколько таких знаете в Канаде? )

                                    И по поводу работодателя не понятно, почему чек удобнее автоматических начислений ЗП?

                                    Можно настроить в онлайн банке. Мне лично нафиг не нужно. И чеки тут не при чём, на списание чека так же точно придёт СМС.

                                    Вам не нужно, потому, что у Вас опротестовать платеж просто. А у нас вернуть деньги это тот еще квест…
                          +1
                          Непонятным остается только то, почему Джоржу не приходит смс о списании с карточки.

                          SMS о списании — это, похоже, чисто русская фишка, у меня (в США) штук 15 разны карточек, и на каждый чих никогда ничего не приходило — только на очень крупные покупки, и не о списании, а о подозрении — типа "с вашей карточки только что пытались списать 100500 долларов, мы заблокировали транзакцию, перезвоните нам для подтверждения". Да и, если честно, зае… дает, если тедефон на каждый чих плямкает.


                          P.S. И, кстати, напоминаю, что SMS (в отличие от, скажем, TCP) не является протоколом с гарантированной доставкой.

                            0
                            Канада, та же фигня.
                            В РФ очень большое давление создают злоумышленники, поэтому везде нал, двух-трёхфакторная идентификация и прочие радости. Я когда прилетел в Москву, не мог подключить бесплатный вайфай из-за того, что не было местного номера. Вообще, весь банкинг там мне показался ужасно параноидальным и неудобным, слишком много действий надо делать для простейших операций.
                            Мой опыт со Сбером и ВТБ, если что, 2017 год.
                            В Канаде в онлайн банкинге можно настроить уведомления по СМС, я как-то сделал, через месяц отключил. Смысла не вижу.
                            0
                            Могу ошибаться, но смс-информирование и 3Ds — не самые распространенные услуги для клиентов достаточно консервативного американского рынка кредитных карт.

                            Так что «непонятно» это для нас, пропустивших этап чеков и привыкших к эппл-пею в каждом ларьке
                      0
                      Я не совсем понял, что такое «приготовление бурбона»? Бурбон получают дистилляцией и выдерживанием в бочках, насколько я знаю.
                        +2
                        В оригинале — «She is also a certified bourbon steward»

                        Executive Bourbon Steward (EBS) is the advanced level in the Bourbon Certification Program… provides classroom training, hands-on bourbon distilling, and advanced sensory training ...
                        0
                        Схема стара как мир.
                        Обычно используется при покупке электронных товаров (подарочных карт в игры, карт пополнения баланса, электронных валют и т.д.), т.к. лаг в доставке товара и выплаты денег за него — снижает эффективность, с другой стороны скорее всего всё это изрядно автоматизировано — так что эффективность уже не так критична как во времена ручного труда.

                        Однако несколько непонятно зачем было дарить кофемашины, да еще тайно.
                        В рамках расследования оплаты товара краденной картой спросят так, что ни за какую кофе-машину покупатель капсул скрывать детали покупки не будет. Так что это не для молчания.
                        У автора исследования подозрение вызвало в первую очередь то, что была лишняя кофе-машина. Тут получается ненужное палево и подозрительность.
                        Опять же, заказать 2 товара на бОльшую сумму — лишний шанс что владелец кредитки это заметит. Снова избыточные риски.
                          0
                          Однако несколько непонятно зачем было дарить кофемашины… заказать 2 товара на бОльшую сумму — лишний шанс что владелец кредитки это заметит

                          Без конкретных дат трудно искать, но у больших фирм регулярно происходят акции типа «купите два дофига фигни и получите штуковину в подарок». Если учесть, что типичная большая пачка капсул у неспрессо — 50 или 100 штук, то «минимум 200 штук» мог быть создан под какую-то конкретную промо-акцию.
                          Так что, кофемашина и капучинатор могли быть просто подарками от фирмы за покупку большого количества капсул.
                            0
                            Владелец кредитки может сказать «зачем мне капсулы, у меня же нет кофемашины». А так всё логично. :)
                            Если серьезно, то скорее всего для того чтобы клиент не отправил обратно. Ведь многие делают возвраты — например, заказали по ошибке не те капсулы. История всё-таки от спеца по безопасности, и даже она признаёт, что был соблазн не расследовать и оставить как есть.
                            В этом треугольнике возврат товара и денег слишком проблематичен и подозрителен. При этом у мошенника есть время до возможного опротестования владельцем карты, он старается просто немного потянуть время и такие «странные» варианты могут быть наиболее эффективны.
                            0

                            Вот посмотрел эту новость, новость о регулировании ИИ в ЕС.
                            Почему-то на съездах и конференциях учёных, например по вопросам квантовой физики, собираются учёные, а на ИТ съездах, собираются политологи, датасаентисто-маркетологи, эффективные манагеры и, как правило, ни одного инженера или программиста.

                              +1
                              Лет десять назад читал рассказ на схожую тему (хоть убей, название не помню):
                              Мальчик на роликах снёс зеркало Мерседеса. «Бык» — владелец Мерса хотел побить мальчика, но тот обещал расплатиться. Денег у мальчика не было, он с аккаунта «Быка» заказал кучу всяких вкусняшек в качестве компенсации и чуть-чуть товаров для себя. Оплатил краденой кредиткой.
                              А потом Мерс взорвался вместе с «Быком», а мальчик радостный поехал дальше
                                0
                                А потом Мерс взорвался вместе с «Быком»

                                Опасный мальчик.
                                +1
                                Ну история с ценой прямо как в старом анекдоте.
                                — У кого товар дешевле, у производителя или дилера?
                                — У сторожа.

                                А так — обычный обнал краденных карт же, разве нет?
                                  0
                                  Банальный обнал через дропа не проще ли?
                                    0
                                    Обнал через дропа предполагает как минимум владение пластиком на руках. Здесь достаточно только номера карты.
                                    +1
                                    Доклад на DEFCON? Про треугольник обналички? В 2020? На эту конференцию пенсионеры приходят или специалисты по безопасности? Почему эта информация для них новая?

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое