Брифінг виступу:
Нина Колларс, відома також як Kitty Hegemon, пише книгу про вклад хакерів у справу забезпечення національної безпеки. Вона політолог, що займається дослідженнями технологічної адаптації користувачів до різних кібернетичних пристроїв. Колларс є професором факультету стратегічних та оперативних досліджень Військово-морського коледжу і працювала у Федеральному дослідному відділі Бібліотеки Конгресу США, Департаменті афроамериканських досліджень Гарвардського університету, Світовому банку, заводі з виробництва антивідблисків, а вночі – як волонтер BSides. Як хобі вона колись очолювала групу DC Cigars, Scotch та Strategy і досі є сертифікованим фахівцем із приготування бурбону.
Привіт, я Кітті, але на роботі люди найчастіше звуть мене Ніна. Перш ніж я почну свою презентацію, скажу, що висловлена думка не обов'язково збігається з думкою військово-морського флоту, департаменту оборони або уряду США. Я зобов'язана це сказати, тому що технічно є федеральним службовцем, тому що працюю професором у Військово-Морському коледжі на факультеті стратегічних та оперативних досліджень. Це означає, що я вивчаю новітні технології і те, як вони впливають на бойові дії та оборону, які включатимуть елементи кібернетики. Це одна з причин, чому я спостерігаю за спільнотою DefCon. Однак те, про що я сьогодні говоритиму, не має до військової галузі жодного відношення.
Отже, у серпні минулого року я купила вживану кавоварку Nespresso, і захотіла прийти сюди і розповісти, що сталося після цього. Як відомо, кавомашини та капсули купуються в основному онлайн. Є кілька бутиків Nespresso по всій країні, але загалом і в цілому, ви можете купити свою каву для машин Nespresso прямо на сайті компанії. Купивши уживану машину, я зрозуміла, що кавові капсули на сайті Nespresso коштують досить дорого і вирішила пошукати дешевшого продавця.
Виявилося, що на аукціоні eBay можна купити каву набагато дешевше - ціна капсул складала приблизно половину того, що мені довелося б заплатити при покупці безпосередньо від Nespresso. Єдина незручність полягала в тому, що потрібно було купити одразу мінімум 200 капсул, але оскільки я п'ю багато кави, це не надто мене напружило, і я зробила свою ставку на партію капсул. Коли аукціон закінчився, я побачила, що перемогла та сплатила покупку через PayPal.
Приблизно за тиждень мені доставили товар. Уявіть мій подив, коли разом з коробками кави мені доставили коробку з новою кавомашиною. Це була найпопулярніша компактна модель кавоварки Nespresso Pixie вартістю 280 доларів, яка використовує маленькі «таблетки» кави ціною 70 центів за штуку.
Я подумала, що просто помилилася при оформленні замовлення і повернулася на eBay, щоб перевірити, чи я там не натиснула чогось зайвого і чи не купила випадково цю штуку. Однак нічого такого я не виявила.
Тоді я оглянула наклейки на коробках і побачила, що і капсули, і кавоварка прийшли мені від одного і того ж відправника, і що найдивніше, цим відправником була сама компанія Nespresso. Однак я замовляла товар не у виробника, а у третьої сторони!
Я знову зайшла на eBay, щоб подивитися на деталі транзакції та порівняти їх з інвойсом, і дізналася, що ім'я продавця на eBay, давайте назвемо її Сью з Чикаго, зовсім не схоже на ім'я відправника в акаунті Nespresso, назвемо його Джордж із Покіпсі. До того ж Сью з Чикаго мав нульовий рейтинг продавця і вона створила свій аккаунт буквально за пару тижнів до замовлення. Єдине, що вона продавала, була кава Nespresso.
Я подумала, що це схоже на шахрайство, тому вирішила розібратися з питанням і зателефонувала компанії Nespresso. Дуже неохоче, бо я трохи жадібна і була б не проти залишити цю кавомашину собі. Я пояснила службі підтримки клієнтів, що не замовляла машину, а замовила лише капсули та купувала їх не у Nespresso, а у стороннього продавця на eBay. Мені підтвердили, що гроші за обидва предмети мого замовлення були справді зняті з кредитної картки Джорджа з Покіпсі.
Я подумала, що варто зателефонувати цьому Джорджу, який надіслав мені такий чудовий подарунок, щоб прояснити ситуацію, проте клієнтська служба відмовилася дати мені його номер телефону. Я продовжувала підозрювати тут якесь шахрайство, але я не мав ніякого способу зрозуміти, хто і в чому виграє в цій ситуації. Тому я сказала Nespresso: «Будь ласка, надішліть мені передоплачену етикетку на повернення товару поштою, і як тільки я її отримаю, то з радістю відправлю вам назад свою кавоварку». З мого боку це було хитрощами, бо всі знають, наскільки неохоче виробники забирають свій товар.
Дівчина зі служби підтримки клієнтів записала мої дані, відправила їх до відділу боротьби з шахрайством і сказала, щоб я стежила за своєю поштою. Якщо компанія захоче повернути помилково надіслану кавоварку, то цей відділ надішле мені передплачену етикетку, щоб мені не довелося платити свої гроші за відправку посилки.
Як бачите, через рік кавоварка все ще в мене. Але моє сумління спокійне – я повідомила про шахрайство, і я залишила цю машину собі. Однак я ніяк не могла зрозуміти, що ж насправді сталося, і це мене постійно турбувало.
Так що я трохи загугла і знайшла в розділі безпеки сайту eBay схему так званого Triangulation Fraud, або «шахрайського трикутника». Вона названа так, тому що в ній бере участь три сторони. Ця схема допомогла зрозуміти, що могло статися у моєму випадку.
Весь сенс цього шахрайства полягає в тому, щоб перевести в готівку кошти з кредитної картки, використовуючи стикування між компанією і останнім елементом схеми - мулом, як його прийнято називати. Це та людина, яка конвертує готівку.
Три учасники цієї схеми:
- клієнт, який нічого не підозрює, який розміщує замовлення на аукціоні або електронному ринку, використовуючи будь-яку форму кредиту, дебету або тендеру PayPal;
- продавець-шахрай, який отримує замовлення, а потім розміщує це замовлення на реальний продукт на легальному веб-сайті електронної комерції, використовуючи для оплати вкрадену кредитну картку;
- законний сайт електронної комерції, який опрацьовує замовлення шахрая.
Найчастіше шахрай задіяє у своїй схемі легального продавця з репутацією, який займається ”роботою вдома”. Такий продавець може навіть не припускати, що є частиною шахрайської мережі, а деякі з таких продавців мають солідну історію продажу. Роботодавці-шахраї часто розміщують оголошення про найм. Продавця для реалізації свого товару під певний відсоток, зазвичай це 30%, і багато продавців погоджуються на таку роботу.
Саме роботодавець є справжнім злочинцем, який має вкрадену інформацію про кредитну картку. Він надає продавцеві список своїх товарів для продажу, включаючи повне опису продуктів.
Продавець розміщує товари у своєму обліковому записі на електронному торговому майданчику. Легальні клієнти купують товари, і продавець надсилає інформацію про замовлення свого роботодавця.
Роботодавець розміщує таке ж замовлення на легальному веб-сайті, оплачує його вкраденою кредитною карткою та передає трекер товару продавцю.
Продавець передає клієнту трекер. Тепер замовлення, зроблене шахрайським чином, надсилається клієнту з легального веб-сайту компанії-виробника товару.
Клієнт, який несподівано отримав вкрадений товар, та легальна компанія-виробник є жертвами. Якщо шахрайство буде виявлено, законний веб-сайт оформить зворотний платіж або втратить кошти, отримані для оплати замовлення. Цей сайт може зв'язатися з клієнтом, щоб повернути вкрадені товари, або про це заявить сам клієнт, як це сталося в моєму випадку. Покупець також може подати позов про шахрайство до свого банку проти продавця.
Однак є ще одна жертва – це людина, яка вкрала кредитну картку. Він нічого не знає про угоду, доки не отримає виписку за кредитною карткою. Природно, що він намагатиметься оскаржити покупку, і іноді це призводить до повернення платежу легальним веб-сайтом.
Зазвичай шахрай представляє велику компанію, у разі Nespresso, і відкриває там аккаунт. Такі компанії мають налагоджену систему доставки та просту систему облікових записів, яка не містить складних перевірок безпеки. Потім шахрай, якщо він працює один і одночасно є і роботодавцем, і продавцем, створює свій аккаунт на eBay, фальшивий профіль і починає продавати речі дуже дешево. Коли аукціон завершується, покупець, що нічого не підозрює, відправляє свої гроші на eBay і стають мулом - завдяки чесному покупцю шахрай отримує потрібну йому готівку.
Проте варто пам'ятати, що шахрай продає товар, який насправді не володіє. І процес покупки на eBay не буде завершений доти, доки не закрита накладна на доставку. Це означає, що шахрай використовує кредитну картку, щоб купити товар безпосередньо у виробника, і тоді трикутник замкнеться. На сайті згенерується повідомлення про доставку, і всі задоволені. Шахрай забирає гроші від продажу товару, платить eBay комісію та оплачує додаткові предмети, у моєму випадку це капсули для кавоварки. Це безшовний трикутник, і покупець поняття не має, що він «мул», все що він знає – це те, що отримав свій товар за вигідною ціною. Стимулом для продовження шахрайства є те, що всі мовчать. Звичайно, якщо покупець – це не я, яка отримала машину для еспресо, яку не замовляла, і яка справді хотіла дізнатися, чому так сталося.
У мене було дві версії того, що сталося. Перша – помилка служби обробки замовлень, коли хтось помилково скопіював зайву сходинку з електронної таблиці Excel на сайті виробника, і вони випадково надіслали мені додаткову кавоварку. Друга – шахраї просто хотіли купити моє кохання! Можливо, цей шахрайський трикутник настільки тендітна річ, а всі ці акаунти та «палені» кредитні картки настільки делікатні речі, що шахрай спробував настільки мене ощасливити, щоб я ні в чому не засумнівалася і продовжила купувати його товар.
Отже, найправильнішим кроком після отримання дармової кавомашини Nespresso було розпочати власне розслідування, купивши ще каву! Я знаю, ви думаєте, що я жахлива людина, але… по-перше, я з якоїсь причини все ж таки назвала свій виступ «визнаннями», по-друге, я лише припускала, що це шахрайство, але не була в цьому. впевнена. Я не знаю, наскільки велика ця операція, отже, мені потрібне більше даних.
Зокрема, мені не просто потрібно було більше даних від одного продавця, я хотіла знати, чи не діє тут ціла зграя аферистів на кшталт «нігерійських принців» чи продавців шахрайських подарункових карток. Коротше, мені потрібно було якимось чином оцінити масштаб того, що відбувається.
Отже, я вигадую купу питань, щоби з'ясувати, хто ці злодії. Щоб було ясно, на eBay повно злодіїв. Я просто хотіла знайти саме цих. Отже, чи шахраї мають інші акаунти, чи можу я їх знайти? Як швидко згоряють ці облікові записи? І найголовніше питання — чи зможу я змусити їх зробити одну й ту саму помилку двічі? Типу «надайте мені ще більше безкоштовних речей?».
Використовуючи інструмент пошуку аукціону eBay і початковий обліковий запис як шаблон, я спробував знайти інший, недавно створений обліковий запис, з нульовим рейтингами з продажу Nespresso. Отже, мені потрібно було 3 речі: щоб вони продавали Nespresso, щоб вони мали нульовий рейтинг 0 і щоб аккаунт був створений порівняно недавно.
Я подумала, що шахраї не намагатимуться робити кожне своє оголошення унікальним, а віддадуть перевагу шаблонним описам і однаковим картинкам для декількох акаунтів продавців. Крім того, якщо ці «трикутники» досить тендітні і швидко «паляться», мені доведеться вишукувати такі оголошення щодня.
Оскільки eBay дозволяє автоматизувати пошуки, я поставила свій власний шаблон на купівлю 200 капсул Nespresso за ціною 99 доларів. Третьою умовою я виставила кавомашини, але три параметри створюють сумнівний пул даних, тому я дотримувалася тільки пошуку капсул. Я отримувала звіт про результати пошуку електронною поштою, і мені доводилося перевіряти до 100 листів щодня. Спочатку це було трохи складно – потрібен був час, щоб знайти лот, який точно відповідає моїм критеріям відбору. Каву продають багато людей, але 200 капсул Nespresso за ціною 99 доларів у продавця з нульовим рейтингом та свіжим акаунтом — досить рідкісний лот.
Якщо ви подивитеся на цей слайд, то побачите вгорі зірочки. Так ось, це не рейтинг продавця, як можна подумати, а відгуки людей про цей товар. Але, бачачи такі зірочки, покупці почуваються спокійніше, уявляючи, що це саме рейтинг продавця. Насправді для нових облікових записів рейтинг пишеться дрібним шрифтом у самому низу оголошення. Щоб його переглянути, а також дізнатися дату створення облікового запису, потрібно натиснути окрему кнопку, що потребує часу.
Хороша новина полягає в тому, що веб-сайт eBay допомагає мені в пошуках – навіть якщо мої кліки не призводили до результатів, він спостерігав за мною і розміщував внизу сторінки вибірку оголошень: «ми підібрали для вас схожий товар, можливо, він вас зацікавить ». В результаті я незабаром виявила акаунти, що цікавлять мене, і як справжній дослідник, створила електронну таблицю для відстеження кожного унікального акаунту з датою його створення, тимчасовими змінами рейтингу, кількістю проданих лотів і сумами продажів.
Після цього я вибрала 2 акаунти, створені один за одним протягом 6 днів, і зробила 2 окремі покупки, щоб дізнатися, чи не надішлють вони мені додаткові товари, не передбачені замовленням.
В результаті через тиждень я отримала 200 капсул кави плюс ще 200 капсул, а ще через 6 днів - 200 капсул кави і зовсім новий спінювач молока для капучіно ціною 119 доларів. Це було дуже корисним подарунком, тому що я людина капучино, я люблю, коли кава має пінку. Загалом, я перейшла зі звичайної кави на капучино, але що важливіше зрозуміла, що знайшла цих шахраїв. У своїх оголошеннях вони використовували одні й самі картинки і однакові описи товару. І тут я вступила з ними в листування. Я писала їм будь-яку нісенітницю з приводу товару, питала про різні кавові продукти, різні сорти кави, іноді просто посилала привіти. Але вони ніколи не відповідали мені.
Я також переглянула сторінку eBay, присвячену питанням шахрайства, щоб спробувати повідомити їх про ці облікові записи, тому що зрозуміла, що це не чесно, я не повинна в цьому брати участь, правильно? Але з'ясувалося, що покупець не може повідомити про шахрайство на веб-сайті eBay, якщо він справді отримав товар. Там є форма скарги "я не отримав замовлений товар" або "я отримав пошкоджений товар", але немає нічого типу "я отримав зайвий товар і хочу про це повідомити". Так що я відмовилася від думки скаржитися eBay на цих шахраїв.
Отже, я продовжила своє розслідування, знайшла ще 2 схожі облікові записи і зробила ще 2 замовлення. Я знову отримала 200 + 200 капсул кави, і тут сталося щось цікаве – шахрай написав мені листа.
"Здрастуй друг! По-перше, дякую за те, що ти вибрав для покупки мій товар. По-друге, я вибачаюсь за те, що товар не в кращому стані, і я не зміг його тобі вислати, бо намагаюся завжди продавати лише чудові речі. Моя мама перебуває в лікарні, але незабаром я постараюсь знайти інший товар у хорошому стані, щоб відправити його тобі. Мені потрібно в лікарню, щоб побути поряд з мамою, тож сподіваюся, ти увійдеш у моє становище і дозволиш мені скасувати замовлення. Спасибі і бережи тебе Господь!».
Який милий хлопець, чи не так? Він скасував замовлення і мені повернули мої гроші. Його обліковий запис було закрито через тиждень. Це був дуже делікатний шахрай, і мені хочеться вірити, що з його матусею все гаразд. Мабуть, я злякала його своїм бажанням регулярно отримувати безкоштовно додаткові партії кави.
Далі я витратила кілька годин на пошуки якогось інструмента. Моя буйна уява підказала, що можливо, хтось створив щось, що англійською можна назвати guessor – «генератор граматичних помилок», щось на кшталт лайнової версії Google Translate, що спеціально перекручує переклад під іноземну мову. Виявилося, такого інструменту не існує, тож для вас завдання – розробити щось подібне!
Я почала запитувати друзів, які розмовляють іншими мовами, чи не зустрічали вони чогось схожого, деяким мої питання здалися расистськими, тож я припинила пошуки. Справа в тому, що я зрозуміла, що шахраї намагатимуться зображати погане знання мови, щоб збити вас зі сліду, спеціально розміщуючи неписьменні оголошення англійською мовою, і мені варто було б їх розшукати.
Так чи інакше, моя справа з кавою вийшла з-під контролю, і мене тягне сумління. Моя кухня - це повна катастрофа, так що настав час припинити цю гру. Мені не потрібно було стільки кави, фактично я просто платила по сто доларів за збирання інформації про обліковий запис продавця. Щоразу, коли я платила ці гроші, я хотіла дізнатися якнайбільше про цих людей.
Однак я не настільки багата, щоби постійно вести такі дорогі дослідження. Ось результат моєї діяльності, зведений до таблиці.
Всього 5 покупок, 1 повернення, загальна кількість отриманих капсул для кавоварки – 1200 штук, 1 спінювач молока, 1 компактна кавоварка. Мої витрати становили 391,9 доларів, загальна вартість отриманого мною товару – приблизно 939 доларів. У жовтні я взяла всю зібрану мною інформацію, інвойси, дані акаунтів, і разом з друкованими документами, які я маю, відправила до ФБР. Мені було цікаво, чи спробують вони щось із цим зробити. Я також надіслала результати свого розслідування на eBay та всім, кого це зацікавило. Я досі не отримала відповіді від ФБР, але через 30 днів активність каво-шахраїв, здавалося, зійшла нанівець. Можливо, щось сталося. Я не змогла дізнатися, хто були ці люди. Мені дуже хотілося розкрити якусь круту злочинну спільноту, щось на кшталт викрадачів кредитних карток з Марокко або щось таке, але цього не сталося. Але ж це не героїчна історія, правда? Це моє зізнання.
Ось власне, все, що я дізналася про шахрайський трикутник на eBay. Коли я почала розповідати людям цю історію, починала пояснювати, як це працює, мені часто казали, що це злочин без жертв. Однак варто було замислитись, і ти розумієш, що це неправда, злочинів без жертв не буває. Про Джорджа з Покіпсі я дізналася зовсім небагато, як і про інших продавців, але з'ясувала, що всі вони були пенсіонерами або перебували у передпенсійному віці. Це досить уразлива група населення. І вони виступають у ролі жертв, які не здатні ніяк пом'якшити завдані ними збитки, більшість з них навіть не знає, що походить від їхнього імені. Люди, у яких вкрали кредитні картки, виявивши незаконні списання грошей, починають їх опротестовувати. І крайніми в цьому ланцюжку виявляються не компанії-виробники, а такі ось продавці, люди похилого віку, з яких можуть стягнути вкрадені шахраєм гроші.
Як нація, ми мало далеко просунулися у справі захисту цих людей. Компаніям або великим продавцям подібний вид шахрайства завдає не настільки нищівного удару, як людям похилого віку. Сумно те, що будь-хто з легкістю може стати співучасником таких схем. Слід було б встановити певну межу знижок стимулювання покупця, нижче якого починається шахрайство. Це справжня золота жила для шахраїв. Але eBay це не хвилює, Nespresso це теж не хвилює, тому що купуючи товар за непрямими цінами, ви продовжуєте купувати, а вони – отримувати свій відсоток або збільшувати продажі.
Вас стимулюють брати участь у шахрайських схемах, тому що від таких знижок та дармових товарів кожен захоплюється. Однак насправді все це продається за ринковою ціною, а великі продавці захищені від збитків страховкою, яка покриває збитки від шахрайства з вкраденими кредитними картками. Вони залишаться ні до чого, якщо вдається перевести стрілки на того, хто купив у них товар з метою подальшого перепродажу - в даному випадку на Джона з Покіпсі, або на того, у кого вкрали дані кредитної картки
Так що насправді єдина людина, яка здатна це зупинити – це ви чи я. І я зупинилася. Я не більше цього робитиму. Це не нормально. Все, що в мене залишилося, це моє визнання та обіцянка кинути купувати супердешеві товари. І ще в мене лишилося багато кави. Можливо, я зможу зробити ще одну гарну річ — виставити на аукціон цю чудову кавоварку Nespresso, що дбайливо використовується.
Торги, до речі, це жахлива ідея. Вони почнуться відразу, як тільки я розміщу оголошення у своєму Twitter-акаунті. Просто зайдіть на сайт та зробіть свою ставку. Приймаються лише готівка. Результат торгів буде оголошено завтра о 10-й ранку, і переможець зможе прийти в кампус Tamper Evident і забрати свою кавоварку. Не дуріть і не надумайте зробити максимальну ставку, щоб потім за нею не прийти. Усі одержані кошти підуть на реалізацію ініціативи «Діана». Я обіцяю, що стежитиму за всіма цими угодами, щоб забезпечити абсолютну прозорість.
Якщо ніхто не захоче взяти участь, то що ж, це DefCon, де всяке трапляється. На останньому слайді ви бачите мій справжній аккаунт у Twitter, так що пишіть, велике вам спасибі!
Аукціон починається зі ставки в 1 долар, так що я піду і розміщу це оголошення прямо зараз. Ще раз спасибі, хлопці, ви чудові!
Небагато реклами 🙂
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, , унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd вдвічі дешевше в дата-центрі Equinix Tier IV в Амстердамі? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com
