演講內容簡介:
Nina Kollars,又名 Kitty Hegemon,目前正在寫一本關於駭客對國家安全的貢獻的書。 她是一位政治科學家,研究使用者對各種控制論設備的技術適應。 科拉斯是海軍戰爭學院戰略與作戰研究系教授,曾在美國國會圖書館聯邦研究部、哈佛大學非裔美國人研究部、世界銀行、抗反射塗層工作植物,晚上擔任 BSides 志工。 作為一種愛好,她曾領導 DC 雪茄、蘇格蘭威士忌和策略小組,並且仍然是一名經過認證的波本威士忌調配師。
嗨,我是凱蒂,但在工作中人們經常叫我妮娜。 在我開始演講之前,這裡表達的觀點不一定代表海軍、國防部或美國政府的觀點。 我不得不這樣說,因為從技術上講,我是聯邦僱員,因為我是海軍戰爭學院戰略與作戰研究系的教授。 這意味著我研究最新的技術以及它們如何影響戰鬥和防禦,其中包括控制論的要素。 這是我關注 DefCon 社群的原因之一。 不過,我今天要講的內容與軍工無關。
所以去年八月我買了一台二手奈斯派索咖啡機,想來這裡告訴你之後發生的事。 如您所知,咖啡機和膠囊主要是在網路上購買的。 全國各地有多家 Nespresso 精品店,但一般來說,您可以直接從該公司的網站購買 Nespresso 咖啡機咖啡。 購買二手機器後,我發現 Nespresso 網站上的咖啡膠囊相當昂貴,因此決定尋找更便宜的賣家。
事實證明,你可以在 eBay 上以便宜得多的價格購買咖啡 - 膠囊的價格大約是我直接從 Nespresso 購買的一半。 唯一的不便之處在於,我必須一次購買至少200粒膠囊,但由於我喝了很多咖啡,這並沒有太困擾我,我就押注了一批膠囊。 拍賣結束後,我看到我贏得了勝利並透過 PayPal 支付了購買費用。
大約一周後,貨物送到了我的手中。 想像一下,當我收到一盒咖啡的同時,也收到了一個裝有全新咖啡機的盒子時,我有多驚訝。 Nespresso 最暢銷的緊湊型產品是售價 280 美元的 Pixie,它使用小型咖啡“片劑”,每片售價 70 美分。
我以為我剛下訂單時犯了一個錯誤,然後回到 eBay 檢查我是否點擊了錯誤並意外購買了該東西。 但是,我沒有找到類似的東西。
然後我看了看盒子上的貼紙,發現膠囊和咖啡機都來自同一個寄件人,最奇怪的是這個寄件者是Nespresso公司本身。 然而,我不是從製造商訂購產品,而是從第三方訂購的!
我回到 eBay 查看交易詳情並與發票進行比較,發現 eBay 上的賣家名字(我們暫且稱她為來自芝加哥的 Sue)與 Nespresso 帳戶上的發件人姓名(暫稱他為 George)完全不同。來自波基普西。 此外,來自芝加哥的 Sue 的賣家評級為零,她在訂購前幾週才創建了自己的帳戶。 她唯一賣的東西是奈斯派索咖啡。
我認為這看起來像一個騙局,所以我決定調查此事並致電 Nespresso。 很不情願,因為我有點貪心,不介意把這台咖啡機留給自己。 我向客服解釋說,我沒有訂購機器,只訂購了膠囊,也不是從 Nespresso 購買的,而是從 eBay 上的第三方賣家購買的。 我確認訂單中的兩件商品確實都是從波基普西的喬治的信用卡扣款的。
我想我應該打電話給喬治,他送了我一個如此美妙的禮物來解決問題,但客戶服務拒絕給我他的電話號碼。 我一直懷疑這裡有某種欺詐行為,但我無法理解在這種情況下誰贏得了什麼。 因此,我告訴 Nespresso“請通過郵件向我發送預付費退貨標籤,一旦我收到它,我將很樂意將我的機器寄回給您。” 這是我的一個策略,因為每個人都知道製造商多麼不願意收回他們的貨物。
客戶服務部的女孩寫下了我的詳細信息,將其發送給詐欺部門,並告訴我查看我的電子郵件。 如果一家公司想要退回錯誤發送的咖啡機,該部門會向我發送預付標籤,這樣我就不必自己支付運送包裹的費用。
正如你所看到的,一年後我仍然擁有一台咖啡機。 但我的良心是清白的——我舉報了欺詐行為,我保留了這輛車。 然而,我無法理解到底發生了什麼,這一直困擾著我。
因此,我在 eBay 的安全部分進行了一些谷歌搜索,找到了一張所謂三角詐欺的圖表。 之所以如此命名,是因為涉及三個面向。 該圖有助於理解在我的案例中具體可能發生的情況。
這個騙局的全部目的是利用該公司與該計劃的最後一個要素(通常稱為騾子)之間的連接來兌現信用卡。 這是兌換現金的人。
該計劃的三個參與者:
- 使用任何形式的 PayPal 信用卡、金融卡或投標方式在拍賣或電子市場下訂單的毫無戒心的客戶;
- 詐欺賣家收到訂單,然後使用被盜信用卡在合法電子商務網站上下訂單購買真實產品;
- 處理詐騙者訂單的合法電子商務網站。
詐騙者通常會在他的騙局中使用合法、信譽良好的在家工作賣家。該賣家甚至可能沒有意識到自己是詐騙網絡的一部分,而且其中一些賣家擁有可靠的銷售歷史。雇主經常會發布招聘賣家的廣告,以一定比例(通常是30%)出售他們的商品,並且許多賣家都同意這樣的工作。
雇主才是擁有被盜信用卡資料的真正罪犯。 它為賣家提供了“他的”待售商品列表,包括完整的產品說明。
賣方將貨物存入其在電子交易平台上的帳戶。 合法客戶購買商品,賣方將有關訂單的資訊發送給其雇主。
雇主在合法網站上下了相同的訂單,用被盜的信用卡付款,並將物品追蹤器提供給賣家。
賣家將追蹤器交給客戶。 詐欺訂單現已從產品製造商的合法網站發送給客戶。
意外收到贓物的顧客和合法的製造公司都是受害者。 如果偵測到欺詐,合法網站將發出退款或遺失作為訂單付款收到的資金。 本站可能會聯絡客戶退回贓物,或客戶自己舉報,就像我的情況一樣。 買方也可以向銀行針對賣方提出詐欺索賠。
然而,還有另一個受害者——信用卡被盜的人。 在收到信用卡帳單之前,他對交易一無所知。 當然,他會嘗試對購買提出異議,有時這會導致合法網站退款。
通常,詐騙者代表一家大公司(在本例中為 Nespresso),並在那裡開設帳戶。 這類公司擁有精簡的交付系統和簡單的帳戶系統,不包含複雜的安全檢查。 然後,如果騙子單獨工作並且既是雇主又是賣家,他就會創建自己的 eBay 帳戶(一個虛假的個人資料),並開始以非常便宜的價格出售商品。 當拍賣結束時,毫無戒心的買家將錢匯到 eBay 並成為騾子 - 感謝誠實的買家,騙子得到了他需要的現金。
然而,值得記住的是,騙子正在出售他實際上並不擁有的物品。 直到運輸發票關閉後,eBay 購買流程才算完成。 這意味著詐欺者隨後使用信用卡直接從製造商購買產品,三角關係就完成了。 該網站產生了一個交貨通知,每個人都很高興。 詐騙者從商品銷售中獲取金錢,向 eBay 支付佣金並支付額外商品的費用,在我的例子中,這些是咖啡機的膠囊。 這是一個無縫的三角形,買家不知道自己是“騾子”,他只知道他以便宜的價格收到了產品。 騙局繼續下去的動力是每個人都保持沉默。 當然,除非買家是我,我收到了一台我沒有訂購的濃縮咖啡機,並且真的很想知道為什麼會發生這種情況。
我對所發生的事情有兩個版本。 第一個是訂單處理錯誤,有人錯誤地從製造商網站上的 Excel 電子表格中複製了額外的一行,結果他們意外地給我發送了一個額外的咖啡機。 第二,騙子只是想收買我的愛情! 也許這個欺詐性的三角形是一個如此脆弱的東西,所有這些帳戶和「燒焦」的信用卡都是如此脆弱的東西,騙子試圖讓我如此高興,讓我不會懷疑任何事情並繼續購買他的產品。
因此,收到免費 Nespresso 咖啡機後最好的方法就是購買更多咖啡來開始自己的調查! 我知道你認為我是一個可怕的人,但是……首先,出於某種原因,我仍然稱我的演講為“懺悔”,其次,我只是認為這是一個騙局,但我不確定。 我不知道這個操作有多大,這意味著我需要更多數據。
特別是,我不只是想從一個賣家那裡獲得更多數據,我想知道是否有一大群「尼日利亞王子」類型的詐騙者或欺詐性禮品卡賣家在那裡運營。 簡而言之,我需要以某種方式評估正在發生的事情的規模。
所以,我想出了一堆問題來找出這些小偷是誰。 需要明確的是,eBay 上充斥著小偷。 我只是想找到這些。 那麼,騙子是否還有其他帳戶,我可以找到他們嗎? 這些帳戶的消耗速度有多快? 最重要的問題是:我能讓他們犯下同樣的錯誤兩次嗎? 例如“給我發送更多免費的東西?”
使用 eBay 拍賣搜尋工具和初始帳戶作為模板,我試圖找到另一個最近創建的、銷售 Nespresso 評級為零的帳戶。 因此,我需要 3 件事:他們銷售 Nespresso,他們的評級為零 0,而該帳戶是最近創建的。
我認為詐騙者不會試圖讓每個廣告都獨一無二,而是更喜歡多個賣家帳戶的範本描述和相同的圖片。 另外,如果這些“三角形”足夠脆弱,很快就會“燒焦”,我就不得不每天尋找這樣的廣告了。
由於 eBay 允許您自動進行搜索,因此我設置了自己的模板,以 200 美元的價格購買 99 粒 Nespresso 膠囊。 我將第三個條件設為咖啡機,但三個參數創建了一個可疑的資料池,因此我堅持只搜尋膠囊。 我透過電子郵件收到搜尋報告,每天必須檢查多達 100 封電子郵件。 起初有點困難 - 花了一些時間才找到很多完全符合我的選擇標準的東西。 很多人都賣咖啡,但從零評價和新帳戶的賣家那裡以 200 美元的價格購買 99 粒 Nespresso 膠囊是相當罕見的。
如果您查看這張投影片,您會在頂部看到星星。 因此,這不是您可能認為的賣家評級,而是人們對該產品的評論。 但看到這樣的星星,買家心裡平靜多了,想像這就是賣家的評價。 事實上,對於新帳戶,評級以小字體寫在廣告的最底部。 要查看它並找出帳戶建立日期,您需要點擊一個單獨的按鈕,這需要時間。
好消息是 eBay 網站幫助我進行搜尋 - 即使我的點擊沒有產生我正在尋找的結果,它也會監視我並在頁面底部放置一系列列表:“我們找到了一個您可能感興趣的類似商品" " 結果,我很快就發現了我感興趣的帳戶,並且像一個真正的研究人員一樣,我創建了一個電子表格來追蹤每個唯一的帳戶及其創建日期、評級的臨時變化、已售商品數量和銷售額。
然後我選擇了 2 個帳戶,在 6 天內一個接一個地創建,並進行了兩次單獨的購買,看看他們是否會向我發送訂單中未包含的其他商品。
結果,一週後我收到了 200 粒咖啡膠囊,再加上另外 200 粒膠囊,又過了 6 天,我收到了 200 粒咖啡膠囊和一個全新的卡布奇諾奶泡器,售價 119 美元。 這是一份非常有用的禮物,因為我是一個喜歡卡布奇諾的人,我喜歡我的咖啡有一些泡沫。 總的來說,我從普通咖啡換成了卡布奇諾,但更重要的是,我意識到我發現了這些騙子。 他們在廣告中使用了相同的圖片和相同的產品描述。 然後我與他們建立了書信往來。 我寫信給他們各種關於產品的廢話,詢問不同的咖啡產品、不同類型的咖啡,有時只是發問候。 但他們從來沒有回答過我。
我還查看了 eBay 的詐騙頁面,試圖向他們報告這些帳戶,因為我意識到這不公平,我不應該參與其中,對吧? 但事實證明,如果買家實際收到了該商品,則無法在 eBay 網站上舉報詐欺行為。 有「我沒有收到我訂購的商品」或「我收到了損壞的商品」的投訴表,但沒有像「我收到了額外的商品並想要報告它」這樣的投訴表。 所以我放棄了向eBay投訴這些騙子的想法。
於是,我繼續調查,又發現了 2 個類似的帳戶,並又下了 2 個訂單。 我又收到了200+200粒咖啡膠囊,然後有趣的事情發生了——騙子給我寫了一封信。
「朋友你好! 首先感謝您選擇購買我的產品。 其次,我很抱歉該商品狀況不佳,無法將其發送給您,因為我總是盡力只出售優質商品。 我的母親住院了,但很快我會盡力找到另一件狀況良好的物品寄給您。 我要去醫院陪媽媽,希望您能體諒我,允許我取消訂單。 謝謝你,願上帝保佑你!”
多好的一個人啊,不是嗎? 他取消了訂單,我拿回了錢。 一周後,他的帳戶被關閉。 他是一個非常狡猾的騙子,我想相信他媽媽一切都好。 我可能因為想要定期免費獲得額外的咖啡而嚇跑了他。
然後我花了幾個小時尋找某種工具。 我的瘋狂想像表明,也許有人創造了一種在英語中可以被稱為猜測器的東西——一個“語法錯誤生成器”,類似於谷歌翻譯的劣質版本,它故意扭曲翻譯以適應外語。 事實證明這樣的工具並不存在,所以你的任務是開發類似的東西!
我開始詢問說其他語言的朋友是否見過類似的東西,有些人認為我的問題是種族主義,所以我停止搜尋。 事實上,我意識到詐騙者會試圖假裝不懂英語,故意放置不識字的英文廣告,讓你迷失方向,我必須追蹤他們。
不管怎樣,我的咖啡生意已經失控了,我的良心正在折磨我。 我的廚房完全是一場災難,所以是時候停止這個遊戲了。 我不需要那麼多咖啡,事實上我只是每人支付一百美元來收集有關賣家帳戶的資訊。 每次我付了這筆錢,我都想盡可能地了解這些人。
然而,我並沒有足夠的錢來不斷地進行如此昂貴的研究。 這是我的活動結果,總結在表格中。
共購買 5 次,退貨 1 次,收到的咖啡機膠囊總數 - 1200 顆、1 個奶泡器、1 台緊湊型咖啡機。 我的成本為 391,9 美元,我收到的商品總成本約為 939 美元。 十月,我把收集到的所有資訊、發票、帳戶數據,連同我擁有的印刷文件一起發送給了聯邦調查局。 我想知道他們是否會嘗試為此做點什麼。 我還將調查結果發送給 eBay 和其他有興趣的人。 我仍然沒有收到 FBI 的回复,但 30 天后,咖啡詐騙活動似乎已經平息了。 也許發生了什麼事。 我無法找出這些人是誰。 我真的很想揭露一些很酷的犯罪團夥,比如來自摩洛哥的信用卡竊賊之類的,但它沒有發生。 但這不是一個英雄故事,對嗎? 這是我的懺悔。
這基本上就是我對 eBay 三角騙局的了解。 當我開始告訴人們這個故事時,我開始解釋它是如何運作的,他們經常告訴我這是一種無受害者的犯罪。 但仔細想想,你會發現事實並非如此,沒有受害者就沒有犯罪。 我從波基普西以及其他賣家那裡對喬治了解甚少,但我了解到他們都已經退休或接近退休年齡。 這是一個相當弱勢的人群。 他們充當受害者,無法減輕他們所造成的損害,他們中的大多數人甚至不知道他們正在發生什麼。 信用卡被盜的人們在發現非法收費後開始向他們提出質疑。 而這個鏈中的最後一個不是製造公司,而是賣家、老年人,他們可以從他們那裡追回被騙子偷走的錢。
作為一個國家,我們在保護這些人方面做得還不夠。 對於公司或大型賣家來說,這種類型的詐欺並不像對老年人那麼具有破壞性。 可悲的是,任何人都可以輕易成為此類計劃的同謀。 應設定一定的折扣限額以刺激買家,低於該限額,詐欺就會開始。 對於騙子來說,這是一個真正的金礦。 但 eBay 不關心這個,Nespresso 也不關心這個,因為當你以便宜的價格購買商品時,你會繼續購買,他們會得到他們的百分比或增加銷售額。
我們鼓勵您參與詐欺計劃,因為每個人都對這樣的折扣和免費商品感到高興。 然而,實際上,所有這些都是以市場價格出售的,大賣家可以透過保險免受損失,該保險還涵蓋被盜信用卡詐欺造成的損失。 如果他們設法扭轉從他們那裡購買商品以進一步轉售的人(在本例中是來自波基普西的約翰,或者信用卡資訊被盜的人),他們將與此無關。
所以真正能夠阻止這一切的人就是你或我。 我停了下來。 我不會再這樣做了。 這是不正常的。 我只剩下我的懺悔和不再購買超便宜產品的承諾。 我還剩下很多咖啡。 也許我能做的另一件好事就是拍賣這台用過的、很棒的奈斯派索咖啡機。
順便說一句,交易是一個糟糕的主意。 一旦我在 Twitter 帳戶上發佈公告,它們就會開始。 只需訪問該網站並下注即可。 只接受現金。 競標結果將於明天上午 10 點公佈,獲勝者將能夠來到 Tamper Evident 園區領取咖啡機。 不要犯傻,不要嘗試下最大賭注,然後就不回來了。 收到的所有資金將用於實施戴安娜倡議。 我保證我將監控所有這些交易以確保絕對透明。
如果沒有人願意參加,那麼 DefCon 就是事情發生的地方。 在最後一張投影片上,您可以看到我真實的 Twitter 帳戶,所以請聯繫我,非常感謝!
拍賣以 1 美元的出價開始,所以我現在就發布這個廣告。 再次感謝你們,你們太棒了!
一些廣告🙂
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, , 我們為您發明的入門級服務器的獨特模擬: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
Dell R730xd 在阿姆斯特丹的 Equinix Tier IV 數據中心便宜 2 倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com
