Briefing del discurs:
Nina Kollars, també coneguda com Kitty Hegemon, està escrivint actualment un llibre sobre les contribucions dels pirates informàtics a la seguretat nacional. És una politòleg que estudia l'adaptació tecnològica dels usuaris a diversos dispositius cibernètics. Collars és professor del Departament d'Estudis Estratègics i Operatius del Naval War College i ha treballat a la Divisió Federal de Recerca de la Biblioteca del Congrés, al Departament d'Estudis Afroamericans de la Universitat de Harvard, al Banc Mundial, un recobriment antireflectant. planta, i a la nit com a voluntari de BSides. Com a afició, una vegada va dirigir el grup DC Cigars, Scotch and Strategy i encara és una batedora de bourbon certificada.
Hola, sóc la Kitty, però a la feina sovint la gent em diu Nina. Abans de començar la meva presentació, les opinions expressades aquí no són necessàriament les de la Marina, el Departament de Defensa o el govern dels Estats Units. Ho he de dir perquè tècnicament sóc un empleat federal, ja que treballo com a professor al Naval War College del Departament d'Estudis Estratègics i Operatius. Això vol dir que estudio les últimes tecnologies i com afecten el combat i la defensa, que inclourà elements de cibernètica. Aquesta és una de les raons per les quals miro la comunitat DefCon. Tanmateix, el que parlaré avui no té res a veure amb la indústria militar.
Així que l'agost passat vaig comprar una màquina Nespresso usada i volia venir aquí i explicar-vos què va passar després. Com ja sabeu, les màquines de cafè i les càpsules es compren principalment en línia. Hi ha diverses botigues Nespresso arreu del país, però en general, podeu comprar el vostre cafè de la màquina Nespresso directament des del lloc web de l'empresa. Després de comprar una màquina usada, em vaig adonar que les càpsules de cafè al lloc web de Nespresso eren bastant cares i vaig decidir buscar un venedor més barat.
Va resultar que podeu comprar cafè a eBay per molt més barat: el preu de les càpsules era aproximadament la meitat del que hauria de pagar si comprés directament a Nespresso. L'únic inconvenient va ser que havia de comprar almenys 200 càpsules alhora, però com que prenc molt cafè això no em va molestar massa, i vaig apostar per un lot de càpsules. Quan va acabar la subhasta, vaig veure que havia guanyat i vaig pagar la meva compra mitjançant PayPal.
Aproximadament una setmana després em van lliurar la mercaderia. Imagineu la meva sorpresa quan, juntament amb caixes de cafè, em van lliurar una caixa que contenia una màquina de cafè nova. Va ser el model compacte més venut de Nespresso, el Pixie de 280 dòlars, que utilitza petites "tauletes" de cafè que costaven 70 cèntims cada una.
Vaig pensar que m'havia equivocat en fer la meva comanda i vaig tornar a eBay per comprovar si havia fet clic en alguna cosa malament i vaig comprar la cosa per accident. Tanmateix, no vaig trobar res semblant.
Aleshores vaig mirar els adhesius de les caixes i vaig veure que tant les càpsules com la màquina de cafè provenien del mateix remitent, i el més estrany és que aquest remitent era la mateixa empresa Nespresso. Tanmateix, vaig demanar el producte no al fabricant, sinó a un tercer!
Vaig tornar a eBay per mirar els detalls de la transacció i comparar-los amb la factura i vaig saber que el nom del venedor a eBay, anem a dir-li Sue de Chicago, no s'assembla en res al nom del remitent al compte de Nespresso, anem a dir-li George. de Poughkeepsie. A més, Sue de Chicago tenia una puntuació de venedor zero i va crear el seu compte només un parell de setmanes abans de fer la comanda. L'únic que va vendre era cafè Nespresso.
Vaig pensar que semblava una estafa, així que vaig decidir investigar l'assumpte i vaig trucar a Nespresso. Molt a contracor, perquè sóc una mica golafre i no m'importaria mantenir aquesta màquina de cafè per a mi. Vaig explicar al servei d'atenció al client que no vaig demanar la màquina, sinó només les càpsules i que no les vaig comprar a Nespresso, sinó a un venedor tercer a eBay. Em van confirmar que els dos articles de la meva comanda es van carregar a la targeta de crèdit de George of Poughkeepsie.
Vaig pensar que trucaria a aquest George que em va enviar un regal tan meravellós per aclarir les coses, però el servei d'atenció al client es va negar a donar-me el seu número de telèfon. Vaig seguir sospitant d'algun tipus de frau aquí, però no tenia manera d'entendre qui guanyava què en aquesta situació. Així que li vaig dir a Nespresso "si us plau, envieu-me una etiqueta de devolució prepagada per correu i tan bon punt la rebi, estaré encantada de tornar-vos-hi la meva màquina". Aquesta va ser una estratagema per part meva perquè tothom sap com de reticents són els fabricants a recuperar els seus productes.
La noia del servei d'atenció al client va escriure les meves dades, les va enviar al departament de frau i em va dir que mirés el meu correu electrònic. Si una empresa vol retornar una màquina de cafè que s'ha enviat per error, el departament m'enviarà una etiqueta de prepagament perquè no hagi de pagar els meus propis diners per enviar el paquet.
Com podeu veure, un any després encara tinc la cafetera. Però la meva consciència està tranquil·la: vaig denunciar el frau i em vaig quedar amb aquest cotxe. Tanmateix, no podia entendre què passava realment, i això em molestava constantment.
Així que vaig fer una mica de google i vaig trobar un diagrama a la secció de seguretat d'eBay per al que s'anomena un frau de triangulació. Es diu així perquè hi ha tres parts implicades. Aquest diagrama va ajudar a entendre què podria haver passat específicament en el meu cas.
L'objectiu d'aquesta estafa és cobrar una targeta de crèdit mitjançant una connexió entre l'empresa i l'element final de l'esquema: la mula, com s'anomena habitualment. Aquesta és la persona que converteix l'efectiu.
Tres participants en aquest esquema:
- un client desprevingut que fa una comanda en una subhasta o en un mercat electrònic mitjançant qualsevol forma de crèdit, dèbit o licitació de PayPal;
- un venedor fraudulent que rep una comanda i després fa la comanda d'un producte real en un lloc web de comerç electrònic legítim mitjançant una targeta de crèdit robada per pagar;
- un lloc de comerç electrònic legítim que processa la comanda de l'estafador.
Molt sovint, l'estafador utilitzarà un venedor legítim i de bona reputació per treballar des de casa en el seu esquema. És possible que el venedor ni tan sols s'adoni que formen part d'una xarxa d'estafa i alguns d'aquests venedors tenen un historial de vendes sòlid. Fraudulent els empresaris solen publicar anuncis de contractació venedor per vendre els seus productes en un percentatge determinat, generalment el 30%, i molts venedors accepten aquest treball.
L'empresari és el veritable criminal en possessió de la informació de la targeta de crèdit robada. Proporciona al venedor una llista dels "seus" articles a la venda, incloses les descripcions completes del producte.
El venedor col·loca la mercaderia al seu compte a la plataforma de comerç electrònic. Els clients legítims compren béns i el venedor envia informació sobre la comanda al seu empresari.
L'empresari fa la mateixa comanda en un lloc web legítim, la paga amb una targeta de crèdit robada i lliura el rastrejador d'articles al venedor.
El venedor dóna el rastrejador al client. La comanda fraudulenta s'envia ara al client des del lloc web legítim del fabricant del producte.
El client que va rebre inesperadament béns robats i l'empresa legítima de fabricació són víctimes. Si es detecta frau, el lloc web legítim emetrà una devolució de càrrec o perdrà els fons rebuts com a pagament de la comanda. Aquest lloc pot contactar amb el client per retornar la mercaderia robada, o el mateix client ho denunciarà, com va passar en el meu cas. El comprador també pot presentar una reclamació per frau al seu banc contra el venedor.
No obstant això, hi ha una altra víctima: una persona a la qual li van robar la targeta de crèdit. No sap res de la transacció fins que no rep l'extracte de la targeta de crèdit. Naturalment, intentarà disputar la compra i, de vegades, això es tradueix en una devolució del càrrec del lloc web legítim.
Normalment l'estafador representa una gran empresa, en aquest cas Nespresso, i hi obre un compte. Aquestes empreses tenen un sistema de lliurament simplificat i un sistema de compte senzill que no conté controls de seguretat complexos. Aleshores, l'estafador, si treballa sol i és alhora l'empresari i el venedor, crea el seu propi compte d'eBay, un perfil fals i comença a vendre coses molt barates. Quan la subhasta acaba, el comprador desprevingut envia els seus diners a eBay i es converteix en una mula: gràcies al comprador honest, l'estafador aconsegueix els diners que necessita.
No obstant això, val la pena recordar que l'estafador ven un article que en realitat no té. I el procés de compra d'eBay no es completa fins que es tanca la factura d'enviament. Això vol dir que el defraudador utilitza la targeta de crèdit per comprar el producte directament al fabricant i el triangle es completa. El lloc genera una notificació de lliurament i tothom està content. L'estafador agafa els diners de la venda de l'article, paga una comissió a eBay i paga articles addicionals, en el meu cas són càpsules per a la màquina de cafè. És un triangle sense fissures, i el comprador no té ni idea que és una "mula", l'únic que sap és que va rebre el seu producte a un preu de saldo. L'incentiu perquè l'estafa continuï és que tothom calli. Per descomptat, tret que el comprador sigui jo, que va rebre una màquina de cafè exprés que no vaig demanar i realment volia saber per què va passar.
Vaig tenir 2 versions del que va passar. El primer va ser un error de processament de comandes en què algú va copiar per error una línia addicional d'un full de càlcul Excel al lloc web del fabricant i em va enviar accidentalment una cafetera addicional. En segon lloc, els estafadors només volien comprar el meu amor! Potser aquest triangle fraudulent és una cosa tan fràgil, i tots aquests comptes i targetes de crèdit "escalades" són coses tan delicades, que l'estafador va intentar fer-me tan feliç que no dubtaria de res i continuaria comprant el seu producte.
Per tant, el millor que pots fer després de rebre una màquina Nespresso gratuïta va ser començar la teva pròpia investigació comprant més cafè! Sé que creus que sóc una persona terrible, però... en primer lloc, per alguna raó, encara vaig anomenar el meu discurs "confessions", i en segon lloc, només vaig suposar que era una estafa, però no n'estava segur. No sé com de gran és aquesta operació, la qual cosa vol dir que necessito més dades.
En particular, no només volia més dades d'un venedor, volia saber si hi havia un munt d'estafadors del tipus "príncep nigerià" o venedors de targetes de regal fraudulents. En resum, necessitava avaluar d'alguna manera l'escala del que estava passant.
Per tant, em plantegen un munt de preguntes per esbrinar qui són aquests lladres. Per ser clar, eBay està ple de lladres. Només volia trobar aquests. Per tant, els estafadors tenen altres comptes, els puc trobar? Amb quina rapidesa s'esgoten aquests comptes? I la pregunta més important és: puc aconseguir que cometin el mateix error dues vegades? Com "envieu-me més coses gratis?"
Utilitzant l'eina de cerca de subhastes d'eBay i el compte inicial com a plantilla, vaig intentar trobar un altre compte recentment creat amb zero puntuacions per vendre Nespresso. Per tant, necessitava 3 coses: que venguessin Nespresso, que tinguessin una qualificació de zero 0 i que el compte s'hagi creat relativament recentment.
Vaig pensar que els estafadors no intentarien que cadascun dels seus anuncis fos únic, sinó que preferirien descripcions de plantilles i imatges idèntiques per a diversos comptes de venedor. A més, si aquests "triangles" són prou fràgils i ràpidament "s'arrossen", hauré de buscar aquests anuncis cada dia.
Com que eBay us permet automatitzar les vostres cerques, he configurat la meva pròpia plantilla per comprar 200 càpsules Nespresso per 99 dòlars. Vaig establir la tercera condició a les màquines de cafè, però tres paràmetres creen un conjunt de dades dubtós, així que em vaig limitar a buscar només càpsules. Vaig rebre un informe de cerca per correu electrònic i vaig haver de comprovar fins a 100 correus electrònics cada dia. Al principi va ser una mica difícil: va trigar temps a trobar un munt que compleixi exactament amb els meus criteris de selecció. Molta gent ven cafè, però 200 càpsules de Nespresso per 99 dòlars d'un venedor amb zero puntuacions i un compte nou és un article força rar.
Si mireu aquesta diapositiva, veureu estrelles a la part superior. Per tant, aquesta no és una valoració del venedor, com podríeu pensar, sinó les ressenyes de la gent sobre aquest producte. Però veient aquestes estrelles, els compradors se senten més tranquils, imaginant-se que aquesta és la valoració del venedor. De fet, per als comptes nous, la qualificació s'escriu en lletra petita a la part inferior de l'anunci. Per visualitzar-lo, a més de conèixer la data de creació del compte, cal que feu clic a un botó separat, la qual cosa requereix temps.
La bona notícia és que el lloc web d'eBay m'ajuda en la meva cerca; fins i tot si els meus clics no van produir els resultats que buscava, em va observar i va col·locar una selecció de llistes a la part inferior de la pàgina: "hem trobat un article similar per a tu que et podria interessar" " Com a resultat, aviat vaig descobrir els comptes que m'interessaven i, com un veritable investigador, vaig crear un full de càlcul per fer un seguiment de cada compte únic amb la data en què es va crear, els canvis temporals en les valoracions, el nombre d'articles venuts i els imports de les vendes.
A continuació, vaig seleccionar 2 comptes, creats un darrere l'altre en un termini de 6 dies i vaig fer 2 compres diferents per veure si m'enviaven articles addicionals no inclosos a la comanda.
Com a resultat, després d'una setmana vaig rebre 200 càpsules de cafè més 200 càpsules més, i després d'altres 6 dies vaig rebre 200 càpsules de cafè i un espumador de llet cappuccino nou per un cost de 119 dòlars. Va ser un regal molt útil perquè sóc una persona capuccino i m'agrada que el meu cafè tingui una mica d'escuma. En general, vaig canviar del cafè normal al cappuccino, però el que és més important, em vaig adonar que havia trobat aquests estafadors. Van utilitzar les mateixes imatges i les mateixes descripcions de productes als seus anuncis. I després vaig entrar en correspondència amb ells. Els vaig escriure tota mena de tonteries sobre el producte, els vaig preguntar sobre diferents productes de cafè, diferents tipus de cafè, de vegades només els vaig enviar salutacions. Però no em van contestar mai.
També vaig mirar la pàgina d'estafa d'eBay per intentar informar-los d'aquests comptes perquè em vaig adonar que no era just, que no hi hauria de formar part, oi? Però resulta que un comprador no pot denunciar el frau al lloc web d'eBay si realment ha rebut l'article. Hi ha un formulari de reclamació per "No he rebut l'article que vaig demanar" o "He rebut un article danyat", però no hi ha res com "He rebut un article addicional i vull informar-lo". Així que vaig renunciar a la idea de queixar-me a eBay sobre aquests estafadors.
Per tant, vaig continuar la meva investigació, vaig trobar 2 comptes més similars i vaig fer 2 comandes més. Vaig tornar a rebre 200 + 200 càpsules de cafè i després va passar alguna cosa interessant: l'estafador em va escriure una carta.
"Hola amic! En primer lloc, gràcies per triar el meu producte per comprar. En segon lloc, demano disculpes perquè l'article no està en les millors condicions i no us el podria enviar perquè sempre intento vendre només coses grans. La meva mare és a l'hospital, però aviat intentaré trobar un altre article en bones condicions per enviar-te'l. Necessito anar a l'hospital per estar amb la meva mare, així que espero que em sentiu i em permeteu cancel·lar la comanda. Gràcies i Déu us beneeixi!"
Quin noi més simpàtic, no? Va cancel·lar la comanda i em van tornar els diners. El seu compte es va tancar una setmana després. Era un estafador molt delicat, i vull creure que tot va bé amb la seva mare. Probablement el vaig espantar amb el meu desig de rebre regularment cafè addicional gratis.
Llavors vaig passar diverses hores buscant una determinada eina. La meva imaginació salvatge va suggerir que potser algú havia creat alguna cosa que en anglès es podria anomenar un endevinador: un "generador d'errors gramaticals", una cosa així com una versió de merda de Google Translate, que distorsiona deliberadament la traducció per adaptar-la a una llengua estrangera. Resulta que aquesta eina no existeix, així que la vostra tasca és desenvolupar alguna cosa semblant!
Vaig començar a preguntar als amics que parlaven altres idiomes si havien vist alguna cosa semblant, alguns van pensar que les meves preguntes eren racistes, així que vaig deixar de buscar. El fet és que em vaig adonar que els estafadors intentaran fingir un mal coneixement de l'idioma per treure't de l'olor col·locant deliberadament anuncis analfabets en anglès, i hauria de localitzar-los.
De totes maneres, el meu negoci del cafè s'ha descontrolat i la meva consciència em rosseja. La meva cuina és un desastre total, així que és hora d'aturar aquest joc. No necessitava tant cafè, de fet només estava pagant cent dòlars cadascun per recollir informació sobre el compte del venedor. Cada vegada que pagava aquests diners, volia saber el màxim possible sobre aquestes persones.
Tanmateix, no sóc prou ric per dur a terme constantment investigacions tan costoses. Aquí teniu el resultat de les meves activitats, resumit en una taula.
Total 5 compres, 1 devolució, nombre total de càpsules de cafetera rebudes: 1200 peces, 1 espumador de llet, 1 cafetera compacta. Els meus costos van ser de 391,9 $ i el cost total de l'article que vaig rebre va ser d'aproximadament 939 $. A l'octubre vaig agafar tota la informació que havia recopilat, les factures, les dades del compte i, juntament amb els documents impresos que tenia, la vaig enviar a l'FBI. Em preguntava si intentarien fer alguna cosa al respecte. També vaig enviar els resultats de la meva investigació a eBay ia qualsevol altra persona interessada. Encara no he rebut cap resposta de l'FBI, però després de 30 dies, semblava que l'activitat de l'estafa del cafè s'hagués apagat. Potser va passar alguna cosa. No he pogut esbrinar qui eren aquestes persones. Tenia moltes ganes de descobrir algun anell de crim genial, com lladres de targetes de crèdit del Marroc o alguna cosa així, però no va passar. Però aquesta no és una història heroica, oi? Aquesta és la meva confessió.
Això és bàsicament tot el que vaig aprendre sobre el triangle de l'estafa d'eBay. Quan vaig començar a explicar a la gent aquesta història, vaig començar a explicar com funciona, sovint em deien que es tracta d'un crim sense víctimes. Tanmateix, un cop hi penseu, us adoneu que això no és cert; no hi ha delictes sense víctimes. Vaig aprendre molt poc sobre George de Poughkeepsie, així com sobre els altres venedors, però vaig saber que tots estaven jubilats o estaven a prop de l'edat de jubilació. Es tracta d'un grup de població força vulnerable. I actuen com a víctimes que no poden mitigar els danys que han causat, la majoria ni tan sols saben què passa en el seu nom. Les persones que els van robar les targetes de crèdit, després d'haver descobert càrrecs il·legals, comencen a desafiar-los. I els últims d'aquesta cadena no són les empreses manufactureres, sinó els venedors, la gent gran, a qui poden recuperar els diners robats pel defraudador.
Com a nació, no hem anat prou lluny per protegir aquesta gent. Per a empreses o grans venedors, aquest tipus de frau no és tan devastador com per a la gent gran. El més trist és que qualsevol es pot convertir fàcilment en còmplice d'aquest tipus d'esquemes. Caldria establir un cert límit de descompte per estimular el comprador, per sota del qual comença el frau. Aquesta és una autèntica mina d'or per als lladres. Però a eBay no li importa això, a Nespresso tampoc li importa, perquè quan compres béns a preus de ganga, segueixes comprant, i ells aconsegueixen el seu percentatge o augmenten les vendes.
Us animem a participar en esquemes fraudulents perquè tothom està encantat amb aquests descomptes i productes gratuïts. No obstant això, en realitat, tot això es ven a preu de mercat i els grans venedors estan protegits de pèrdues per una assegurança, que també cobreix els danys per frau de targetes de crèdit robades. No tindran res a veure si aconsegueixen donar-li la volta a qui els va comprar la mercaderia amb el propòsit de revendre'ls -en aquest cas, John de Poughkeepsie, o aquell a qui li van robar la informació de la targeta de crèdit.
Així que realment l'única persona que pot aturar això som tu o jo. I em vaig aturar. Això ja no ho faré. No és normal. Només em queda la meva confessió i la meva promesa de deixar de comprar productes súper barats. I encara em queda molt de cafè. Potser una cosa més bona que puc fer és subhastar aquesta meravellosa màquina Nespresso d'ús suau.
El comerç, per cert, és una idea terrible. Començaran tan aviat com publiqui un anunci al meu compte de Twitter. Només has d'anar al lloc i fer la teva aposta. Només s'accepten diners en efectiu. El resultat de la licitació es donarà a conèixer demà a les 10 del matí, i el guanyador podrà venir al campus de Tamper Evident i recollir la seva cafetera. No siguis estúpid i no intentis fer l'aposta màxima i després no tornis a buscar-la. Tots els fons rebuts es destinaran a implementar la iniciativa Diana. Prometo que supervisaré totes aquestes transaccions per garantir una transparència absoluta.
Si ningú vol participar, bé, és DefCon, on passen coses. A l'última diapositiva podeu veure el meu compte de Twitter real, així que feu-me un cop, moltes gràcies!
La subhasta comença amb una oferta d'1 $, així que continuaré i publicaré aquest anunci ara mateix. Gràcies de nou nois, sou increïbles!
Alguns anuncis 🙂
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, , un anàleg únic dels servidors d'entrada, que vam inventar per a vosaltres: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat al centre de dades Equinix Tier IV a Amsterdam? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com
