Хакеры воруют и отмывают деньги через сервисы доставки еды и бронирования отелей

По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и другим интересным вещам. Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения, случаются ситуации, когда “новинками” делятся силовики. Думаю многие разделят мою точку зрения касательно того, что если “схема” или “уязвимость” попала на форум, то, как правило, все “сливки” с нее уже давно кто то снял. Да и форумы вне зоны .onion супер серьезно воспринимать не стоит. Но в этот раз была найдена схема которая удивила своей относительной простотой и новизной. Собственно о том, как хакеры воруют и отмывают деньги через сервисы доставки еды и будет сегодняшний рассказ.

Как убили значительную часть кардинга, предыстория

Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону (через смс, звонок или приложение). У MasterCard такая система называется 3D Secure сокращенно 3DS у VISA это аналогичная система Verified by Visa (VbV). Суть проста, если Вы ввели где то данные со своей кредитной карты, для успешного платежа, вам потребуется еще и ввести код полученный из смс, звонка или приложения, чтоб подтвердить что это именно Вы совершаете покупку, а не хакеры грабят Вас.

С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие.

Гигантам важнее объем выручки и оборота средств, чем безопасность

Однако крупные, высоко нагруженные сервисы вроде Booking.com, Airbnb, Amazon.com, Facebook.com отключили или ограничено используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсии. Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, однако это не сильно помогло. Проблема не нова и широко обговаривается (пруф). Так же Федеральная торговая комиссия США заявила что за период с 2012 до 2016 года поступило 13 миллионов жалоб, 3 миллиона только за 2016 год, 13% из которых это хищение личности и кредитной карты. И это данные только по США. Реальность такова, что лучше содержать штат юристов занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие появились целые форумы с предложением забронировать отель за 25%-50% от стоимости (пруф). Бизнес риски не более.

Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:

1. Берут квартиру в аренду с правом субаренды.
2. Регистрируют квартиру на booking.com и/или Airbnb
3. Покупают данные ворованных кредитных карт
4. Якобы бронируют квартиру у самих себя, на данные ворованных карт
5. Получают уже чистые деньги от Booking или Airbnb

Естественно вариантов вышеописанной схемы может быть миллион, от регистрации на Booking, Airbnb не существующих квартир (это реально), до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут/скупают недобросовестных владельцев отелей (пруф) или же предлагают свои услуги (пруф).

Почему деньги отмывают именно через сервисы аренды квартир? Как я писал Выше там нет (или используется ограниченно) VBV и 3DS и карты туда легче “вбиваются”. Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение в POS терминалах с поддержкой ручного ввода карт (пруф), но это уже совсем другая история о которой я расскажу в следующий раз.Вернемся к нашим доставщикам еды.

Сервисам доставки еды тоже не важно чья карта

GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует совпадает ли имя владельца аккаунта, с именем на кредитной карте. Им не Важно куда доставлять и откуда брать товар. Им так же как гигантам бронирования отелей не так важны VBV и 3DS, куда важнее оборот и выручка.

Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на “новинку”. Кардеры и мошенники и придумали схему, которая в первом приближении выглядит так.

1. Регистрируют магазин/хотдожную/ресторан/лавку в системе доставки еды, или просто указывают доставщику где именно он должен купить заказ.
2. Покупают ворованную кредитную карту и привязываем к аккаунту.
3. Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером скупаемся в собственном магазине и ждут доставку.
4. Отвозят продукты обратно и так по кругу.

Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется.

Дисклеймер и выводы

Данная публикация не несет в себе цели показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует на роль исчерпывающего руководства по защите и предотвращению мошеннических действий. Не может быть трактовано как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды — абсолютно незаконны и являются уголовным преступлением.

Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам отвечающих за риски и архитекторам нужно иногда спускаться в “подземелье”, чтоб посмотреть как еще можно использовать разработанные ими сервисы. Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на мошенничество с бизнес логикой. На сегодняшний день даже тестирование на проникновение без проверки бизнес логики уже становиться не полным. Бизнес не покупает шаблонные услуги, продажи идут скорее через бизнес аналитиков помогающих улучшить тот или иной процесс и предотвратить риски. При создании сервиса доставки нужно продумывать не только основные риски, вроде “а не будут ли через нас доставлять наркотики”, но и другие риски незаконного использования сервиса в противоправной деятельности.