Цепочка поставок мошенничества

Man

Professional
Messages
2,965
Reaction score
488
Points
83
Недавно я написал твит-шторм, в котором затронул тему цепочки поставок для мошенничества с кредитными картами, и многие люди сказали, что были удивлены этим, поэтому я решил углубиться в эту тему немного глубже.

Бизнес мошенничества почти так же разнообразен, как и бизнес... бизнеса. И это действительно бизнес. Организованное мошенничество имеет много атрибутов профессиональных систем с дифференцированным трудом, как и сама финансовая сфера. Существуют отделы кадров, профессиональные форумы, сертификации, хедхантеры и тому подобное.

Это удивительный факт о мире, и совсем не очевидный. Ментальная модель большинства относительно преступлений заключается в том, что они совершаются в основном импульсивными, не очень хорошо организованными людьми или небольшими группами. Это происходит и в финансах, но большую часть работы выполняют профессионалы.

Различные классификации мошенничества с платежами​

О мошенничестве можно написать несколько книг, даже не касаясь темы поверхностно, но, к сожалению, на полях этого информационного бюллетеня для них слишком мало места. (Лучшее, что я когда-либо читал, — это «Ложь о деньгах» Дэна Дэвиса). Поэтому я позволю себе сосредоточиться на мошенничестве с платежами, которое близко и дорого моему сердцу.

Обязательное уведомление об отказе от ответственности: я работаю по специальности, смежной с этим, в течение последних нескольких лет в Stripe, и начал заниматься мошенничеством у предыдущего работодателя, проводя антиспамовые исследования (где у противника действительно удивительно много общего с мошенничеством с платежами). Нижеизложенное представляет только мои собственные взгляды.

Мошенничество с платежами заключается в незаконном присвоении денег у кого-либо в законной экономике путем убеждения субъекта в законной экономике перевести их кому-либо, кому они не принадлежат. Существует миллион разновидностей этого; это происходит на всех мыслимых платежных рельсах. Почти любой в цепочке поставок законных платежей может стать его целью.

В отрасли мы иногда находим, что мошенничество можно разбить на категории по матрице намерений со стороны текущего держателя платежных данных и намерений бизнеса, в котором эти данные используются. Квадрант «злонамеренный/злонамеренный» — это тот, о котором большинство людей думают, когда думают, например, о мошенничестве с кредитными картами, но мошенничество происходит и в других квадрантах — квадрантах «злонамеренный». Тем не менее, это самый простой способ подумать: кто-то крадет, например, номер кредитной карты и хочет превратить его в деньги. Как это происходит?

Оптовая кража учетных данных​

Некоторые номера кредитных карт крадут отдельные лица. Можно украсть кошелек, запомнить номер клиента в ресторане, где работаешь, или уговорить кого-то по телефону дать его вам, искажая свою личность.

Но это не основной способ кражи карт (или других платежных данных).

Дилетанты говорят о стратегии или тактике. Профессионалы говорят о логистике. Большинство случаев незаконного присвоения платежных данных происходит в промышленных масштабах. Эту отрасль часто называют «кардингом», хотя каждый метод перевода стоимости уязвим к чему-то в этом роде, не только кредитные карты.

Иногда это происходит через исследования безопасности против фирм, которые видят много учетных данных законно. Известным примером был взлом Target, где около 70 миллионов учетных данных были скомпрометированы вредоносным программным обеспечением, работающим на законном оборудовании точек продаж, которое регулярно взаимодействовало с физическими картами. Программное обеспечение было внедрено путем взлома сети с использованием учетных данных, незаконно присвоенных у поставщика HVAC, который сам в конечном итоге был скомпрометирован, потому что кто-то нажал на ссылку в электронной почте, которая установила вредоносное ПО на его машину.

Здесь замешаны несколько перекрывающихся экосистем зла, и часто они образуют цепочки поставок, где выходы одной фирмы являются входами другой. Например, подразумевается специализация навыков в рассылке вредоносных писем в больших масштабах, в компрометации машин самых разных малых предприятий, в использовании этих машин, например, для превращения их в облачную инфраструктуру для злоумышленников или кражи их учетных данных, в проведении агрессивных исследований сетевой безопасности, в разработке вредоносного ПО для точек продаж и в эксплуатации указанного ПО для кражи карт.

Теоретически это все в пределах досягаемости одного преданного своему делу человека, так же как создание компании по разработке программного обеспечения в пределах досягаемости одного преданного своему делу человека, но большинство программного обеспечения не пишется людьми, действующими в одиночку и в изоляции. Поверьте этому многократным основателям-одиночкам: это чертовски много работы для одного человека.

Есть и другие способы украсть карты. Например, вы можете рассылать спам-сообщения сотням миллионов людей, предлагая им желанные товары по невероятным (или правдоподобным) ценам, отправлять их на поддельные сайты электронной коммерции, которые вы контролируете и которые размещены в облачной инфраструктуре, и таким образом получать номера их кредитных карт.

Обратите внимание, что это повторно использует несколько промежуточных выходов из приведенного выше примера. Для каждой фирмы неэффективно внедрять свою цепочку инструментов с нуля каждый раз, когда они пытаются что-то сделать, что по сути является причиной того, почему в экономике фирмы специализируются и покупают инструменты и услуги друг у друга.

Списки известных учетных записей электронной почты, которые часто составляются фирмами, специализирующимися на маркетинговых исследованиях (но это зло), потребляющими труд специалистов по анализу данных (но это зло), потребляющими труд специалистов по проникновению в веб-приложения (но это зло), определенно являются продуктом, который можно купить. «Ratware» для автоматизации отправки электронной почты таким образом, чтобы она попадала в почтовые ящики, как у почтового сервиса (но это зло), — это то, что можно купить в готовом виде или заказать в бутик-консалтинговых магазинах (но это зло).

Эта экономическая деятельность координируется способами, не отличающимися от законной торговли. Большая ее часть происходит на отраслевых форумах (но зло), но есть также сайты торговых площадок (но зло), которые имеют службы поддержки клиентов (но зло) для администрирования систем репутации (но зло), чтобы ничего не подозревающие клиенты (но зло) не были обмануты мошенниками, обманывая мошенников, которых они обманывают профессионально.

И это только для того, чтобы получить карты!

Превращение украденных учетных данных в деньги​

Предположим, у вас есть небольшой объем текста, который вам не принадлежит. Вы не можете есть текст, платить своим сотрудникам текстом, жить в тексте, возить детей в школу в тексте и т. д. Вы хотите превратить этот текст в деньги.

Вы обратитесь к услугам «обнальщика» или, в качестве альтернативы, выставите свой ценный текст (платежные реквизиты) на продажу, где обнальщики смогут его приобрести, например, на вышеупомянутых мошеннических площадках.

Термин «Темная паутина» сейчас употребляется довольно часто, потому что он очень выразителен, но на самом деле многое из этого происходит в тех же сетях, что и все остальное, а не, например, на сайтах, которые доступны только через Tor. (Tor — это технология безопасности с открытым исходным кодом, изначально разработанная правительством США. Не все в цепочке поставок Evil Inc. изначально плохо! Большая часть — это браузеры, языки программирования, операционные системы и т. д. и т. п., которые являются такими же, как те, которые используете вы.)

Почему операционное разделение между кардерами и обнальщиками? Причины схожи для специализации внутри фирм и профессионалов, занимающихся кардингом, с дополнительной загвоздкой, которая заключается в риске. Так же, как законная финансовая индустрия имеет чрезвычайно развитые системы для оценки риска и передачи его людям, которые хотят определенные доли риска в обмен на определенные профили возврата, у Evil Inc. есть относительно более безопасные профессиональные специализации и относительно более рискованные профессиональные специализации, и то, что они происходят у разных людей, возможно, в разных фирмах, возможно, в разных странах, одновременно снижает общую сумму риска в системе и помогает эффективно его распределять.

В традиционных финансах большая часть риска выражена в деньгах. В мошенничестве риск иногда выражен в риске действий правоохранительных органов против вас, а иногда выражен в состязательных действиях со стороны других преступников. И, конечно, деньги тоже.

Существует столько же способов стать обналичивателем, сколько и кардером, и (так же, как кардером можно стать, просто украв кошелек или запомнив номер), можно попасть на первый этаж обналичивания, получив один-единственный идентификатор. Вы могли бы, возможно, принести этот один идентификатор в любой понравившийся вам интернет-магазин, купить вещь, отправить ее вам, а затем перепродать ее за деньги или использовать для личного пользования. Случайное мошенничество — это очень распространенное явление, и (говоря в общем) его целями часто являются те же самые предприятия, которые борются с случайными магазинными кражами. (Магазинные кражи также иногда являются организованным бизнесом, как многие американские города в настоящее время осознают к своему неудовольствию, но это уже совсем другая рассылка).

Когда законный держатель карты узнает, что это произошло, он, скорее всего, позвонит в свой банк и пожалуется. Банк отменит транзакцию, и интернет-магазину придется вернуть средства. Они также заплатят комиссию финансовой системе за посредничество в споре, что призвано побудить компании вкладывать свое время и талант в ревностную защиту экосистемы.

Но вернемся к плохим парням. Обратите внимание, что физическое получение товара сопряжено с определенным риском, поскольку оставляет записи в законной экономике о физическом местоположении, которые могут быть тесно связаны с вами лично. Если вы сделаете это один раз, вы вряд ли попадете в поле зрения правоохранительных органов. Но если вы сделаете это привычкой, вы... все еще, к сожалению, вряд ли попадете в поле зрения правоохранительных органов, но вполне вероятно попадете в поле зрения отделов по борьбе с мошенничеством, которые попытаются вас закрыть.

Поэтому обнальщики будут делать другие вещи, как для достижения операционного масштаба, так и для снижения своего профиля риска. Одним из примеров является треугольное мошенничество в электронной коммерции, которое (как и многое другое мошенничество) настолько гениально, что если бы оно не было абсурдно злым, вам пришлось бы почти восхищаться людьми, которые его придумали.

Базовая механика такова: откройте счет на законной платформе электронной коммерции. Вы работаете как настоящий бизнес, продавая людям ценные вещи за деньги. Вы приобретаете клиентов, размещая рекламу или отправляя электронные письма, конкурируя в SEO или агрессивно ценя или что-то еще.

Затем, когда клиент что-то у вас заказывает, вы выполняете его заказ по мере необходимости, переходя в другую компанию электронной коммерции (в идеале, не на той платформе, на которой вы совершаете транзакцию), регистрируясь как новый клиент и заказывая вещь, которую купил ваш клиент, с доставкой вашему клиенту. Вы платите украденной кредитной картой.

Это действительно трудно обнаружить платформе электронной коммерции, потому что вы выглядите ужасно похожим на законный бизнес! У вас будет много довольных клиентов, которые законно заплатили вам деньги и законно получили именно тот продукт, который они ожидали получить! Очень немногие заметят, кто его отправил, а если и заметят, то, вероятно, они из тех чудаков, которые заботятся о бизнес-моделях электронной коммерции и знают, что дропшиппинг — это то, чем занимаются и законные компании.

Забавный момент: я впервые узнал слово дропшиппинг в старшей школе, на своей первой работе, работая в отделе ввода заказов на публичную американскую розничную торговую компанию офисными принадлежностями. Во время собеседования представитель, с которым я говорил, начал объяснять, как вводить заказ дропшиппинга в их систему, понял, что использовал жаргон, и начал объяснять.

Я сказал: «Я понимаю этот термин; это когда вы покупаете что-то после того, как клиент это заказывает, и отправляете это напрямую от поставщика, а не со своего собственного склада. Ваше предложение о бесплатной доставке не действует, и клиенту нужно иметь лифт, чтобы подняться на этаж, на котором происходит доставка, иначе это будет стоить дополнительные 75 долларов».

Она спросила, откуда я, старшеклассник, это знаю.

Я сказал: «Это в вашем каталоге, мелким шрифтом после формы заказа». Она спросила, зачем мне копия каталога канцелярских товаров, я ответил: «Я сделал своим долгом знать ваш бизнес», и это, читатель, самое умное, что я когда-либо сделаю на собеседовании при приеме на работу.

Другие варианты обналичивания включают отмывание денег в законной финансовой экосистеме, часто используя украденные учетные данные для покупки вещей, которые не являются деньгами, а затем перепродавая эти вещи за реальные деньги. Например, подарочные карты очень тесно связаны с деньгами, и есть процветающие предприятия, которые покупают и продают их в Интернете. Большая их часть использования совершенно законна. Кардеры могут либо использовать украденные учетные данные для покупки подарочных карт у первоначального эмитента, а затем перепродать их по стоимости, либо использовать украденные учетные данные для покупки подарочных карт на рынке подарочных карт. (Предприниматели, которые управляют рынками подарочных карт, либо выходят из бизнеса, либо становятся самыми безжалостными и эффективными борцами с мошенничеством в платежной индустрии.)

Превращаем депозиты в ценность рядом с вами​

Предположим, у вас есть аккаунт на законной платформе электронной коммерции, поставщике подарочных карт или подобном. Вы хотите принимать выплаты от него, но можете физически не жить там, где они поддерживают пользователей, или вы просто не хотите связывать свою (крайне контролируемую) банковскую информацию с цепочкой вашей преступной деятельности.

Вы можете воспользоваться услугами так называемого «денежного мула». Этот человек будет использовать личность, очень часто свою собственную или члена своей семьи, чтобы получить ваши средства. Затем они будут перемещать их в финансовой экосистеме так же, как они обычно перемещают деньги в финансовой экосистеме, отправляя большую часть вам и оставляя что-то за свои усилия.

Мулы — это лопухи Evil Inc. Многие из них даже не осознают, что участвуют в мошенничестве. Их набирают по объявлениям, предлагающим работу на дому, например, «в качестве клерка по дебиторской задолженности». Базовое описание работы: «Мы периодически отправляем вам по электронной почте описания входящих платежей на ваш банковский счет. Вы будете пересылать их нам через указанный нами механизм, например, снимая наличные и затем отправляя их через службу денежных переводов в наш зарубежный офис. Оставьте себе 10% в качестве комиссии».

Денежные мулы с большой долей вероятности попадут в поле зрения отделов по борьбе с мошенничеством и (часто) властей, но это очень, очень привлекательная уловка, и люди постоянно на нее клюют (с разной степенью понимания того, что это не законно). Их сложно исключить из финансовой экосистемы в больших масштабах, потому что они законные люди с законными, например, текущими счетами. Они легко проходят проверку KYC; они законно являются теми, за кого себя выдают, и имеют выданную правительством документацию, подтверждающую это.

Особенно досадный вариант денежного мула, с точки зрения финансовой индустрии, — это компании, работающие в качестве мулов. У компаний есть законная потребность в перемещении денег, иногда в больших количествах, с высокой скоростью, способами, которые выглядят немного странно, если вы не работаете в них, но, вероятно, являются законными. Они также чрезвычайно раздражаются, если банки регулярно задают им глупые вопросы об их внутренних операциях. Это, как правило, создает среду контроля, в которой счета предприятий контролируются меньше, чем счета потребителей, хотя количественно оценить это сложно.

Однажды, когда я завершал один из своих стартапов в Японии, моя жена заметила мне, что она видела рекламу для людей, покупающих закрывающиеся компании, чтобы «переработать» их, и что я мог бы получить ~$1000. «Дорогая, это преступление, и человек, покупающий бизнес, — преступник». «Что, нет. Они просто не хотят проходить через всю эту канитель, которую нужно было пройти, чтобы открыть компанию, а затем получить для нее банковский счет». «Нет, нет, нет, поверьте мне, любой с таким заявлением, скорее всего, окажется преступником, и когда полиция придет за украденными деньгами, то в документах будет указано мое имя».

Это не обязательно даже требует, чтобы бизнес потерпел крах и был продан. Иногда бизнес участвует в мошенничестве, иногда даже одновременно с использованием открытых счетов для своего законного бизнеса. Иногда они используют счета одновременно для законных целей и не понимают, почему вещь, предложенная их новым деловым партнером / клиентом / инвестором, является каким-либо образом незаконной.

Мошенничество – это увлекательная глубокая кроличья нора​

Если бы я не скатился назад в предпринимательство, я думаю, что весьма вероятно, что я бы в конечном итоге работал в сфере мошенничества на постоянной основе (на стороне хороших парней, чтобы быть точным). Это фрактально интересно и представляет собой игру в кошки-мышки между очень, очень талантливыми людьми.

Финансовая индустрия вкладывает колоссальные усилия в борьбу с мошенничеством, но это не единственный приоритет. Правильный уровень мошенничества не равен нулю. Мы как общество заботимся, например, о том, чтобы потребители, даже неискушенные потребители, могли зайти в любое финансовое учреждение и выйти с банковским счетом. Многие вмешательства, например, против денежных мулов, пошли бы на компромисс с этой общественной целью.

Если вас интересует эта тема, особенно как технического специалиста, в книге «Кребс о безопасности» вы найдете много полезной литературы.
 
Top