Однажды я решил открыть карту, используя «украденную личность». Купить украденные личные данные элементарно и дешево — это стоит около 12 фунтов за штуку. Хотя красть чьи-то данные или покупать украденные данные онлайн не входило в мои планы. Вместо этого я попросил разрешения у друга использовать его данные и открыть счет. Давайте посмотрим, насколько это может быть просто и что преступники могут сделать с этой информацией.
Если вы открыли банковский счет после 2017 года, вы, скорее всего, сделали это удаленно, не посещая отделения — необанки не имеют таких отделений, и многие традиционные банки также начали предлагать удаленное подключение. Чтобы открыть счет удаленно, вы должны пройти электронные проверки Know-Your-Customer (e-KYC). Большинство финтехов не рассматривают заявки самостоятельно, а передают KYC на аутсорсинг одному из поставщиков услуг. Процесс состоит из подтверждения личности и подтверждения адреса. Хотя требования могут различаться у разных поставщиков, большинство поставщиков попросят вас отправить фотографии вашего удостоверения личности и счетов, а также сфотографироваться. Другие поставщики требуют видеозаписи человека и некоторых операций с удостоверением личности, чтобы доказать его подлинность.
Все эти шаги создавали у меня иллюзию надежности e-KYC до прошлого года, когда мы показали одному финтеху, как легко открыть поддельный счет. Я использовал свое удостоверение личности и Photoshop в изображенных сценариях и выделил все последствия такого преступления — отмывание денег, уклонение от санкций и спонсорство терроризма. Затем я начал думать, а что, если даже эти шаги излишни? Что, если есть способы открыть счет без формальной проверки KYC?
Сегодня я покажу, как легко зарегистрировать кошелек и виртуальную карту, используя только общедоступные данные. Для этого мы будем использовать мобильный кошелек Samsung Pay. Все слышали о Samsung Pay, верно? Возможно, не каждый из вас, если вы живете в Великобритании/ЕС. Этот кошелек не очень популярен здесь — менее десяти банков поддерживают Samsung Pay в Великобритании, в то время как в США Samsung Pay поддерживают сотни банков. Это было проблемой для Samsung. Если вы попытаетесь добавить свою карту в Samsung Pay, вы получите уведомление «Извините, ваш банк пока не поддерживается», и вы ничего не сможете сделать. Каждый банк должен иметь соглашение с Samsung, чтобы быть добавленным в кошелек Samsung. Пару лет назад Samsung заключил партнерство с Curve, чтобы решить эту проблему.
Что за новенький Curve, спросите вы? Curve — это карта, которая заменяет целый кошелек карт! Довольно удобный стартап, которым я сам постоянно пользуюсь. Как только у вас появится карта Curve, вы сможете добавлять другие карты в свое приложение Curve. При оплате картой Curve будет списана «карта по умолчанию», выбранная в приложении. Нет денег на счете по умолчанию? Вы можете выбрать запасную карту, с которой автоматически будет списана следующая сумма («Режим Anti-Embarrassing»). Вы указали неправильную «карту по умолчанию»? Curve может отменить вашу транзакцию и снять деньги с правильного счета в течение трех месяцев. Превосходно!
Из-за нехватки банков в своем портфолио Samsung заключил партнерское соглашение с Curve. Теперь при попытке добавить карту, которую Samsung Pay не поддерживает, телефон зарегистрирует учетную запись Curve и автоматически добавит вашу карту в Curve. И вуаля! Samsung Pay поддерживает вашу карту через «прокси»-решение Curve.
Как выглядит открытие счета для Samsung и Curve?
Шаг 1. Получение последней версии приложения Samsung Pay — теперь оно называется Wallet:
Шаг 2. Добавление карты Revolut, которая не поддерживает Samsung Pay, в кошелек:
Samsung предложила установить приложение Curve, как и ожидалось.
Шаг 4. Мы будем использовать новый номер мобильного телефона и адрес электронной почты для регистрации. Затем мы используем данные «украденной личности» — имя и фамилию, дату рождения и домашний адрес:
Откуда кто-то мог получить эту информацию? Я не хочу показывать пальцем, но есть пара простых способов. Например, преступники могли получить эти части из разных публичных баз данных.
И вот оно! У нас есть виртуальная карта для оплаты в Интернете и мобильный кошелек для оплаты в магазинах! А как насчет подтверждения адреса и подтверждения личности? Мы так привыкли к ним с такими необанками, как Revolut или Monzo. Curve по-прежнему использует Onfido для этих проверок, но когда они объединились с Samsung, оба придумали ярлык под названием Progressive или Tiered KYC. В Интернете не так много ссылок на эту концепцию. Я не нашел ни одного другого необанка, который бы реализовал такое решение. Однако вы можете прочитать об этом подходе от GSMA (орган по соблюдению требований телекоммуникаций) и FATF (Группа разработки финансовых мер борьбы с отмыванием денег):
https://www.fatf-gafi.org/media/fatf/content/images/AML CFT measures and financial inclusion.pdf В Канаде идентификация (и верификация) клиента требуется для переводов на сумму 1 000 канадских долларов и выше. Некоторые компании по переводу денежных средств ввели «прогрессивный подход» к CDD, при котором отправка более 1 000 канадских долларов требует от клиентов предоставления дополнительной информации, включая род занятий и источник средств.
Многоуровневый KYC позволяет Curve не проводить множество проверок, пока вы не потратите свои первые £100. После этого будет сделано формальное подтверждение адреса и личности с использованием поставщика услуг Onfido.
Достаточно безопасно, считает FATF, пока преступники не научатся добавлять украденные карты в Curve. К тому времени, как началось это исследование, я уже отправил несколько отчетов о безопасности в Curve, большинство из которых они проигнорировали. Возможно, это было связано с постоянной сменой сотрудников отдела безопасности. Когда вы добавляете свои карты в Curve, это может только выглядеть безопасным, но это не так. Одна из уязвимостей позволяла мне добавлять украденные карты, зная длинный номер карты и дату истечения срока действия. Другая уязвимость позволяла обойти дополнительную проверку 3D-Secure при добавлении вашей карты. Чтобы обойти эту проверку, преступникам требовался прямой доступ к выпискам по транзакциям украденной карты.
Это довольно стандартная информация, которая продается на черных рынках:
Таким образом, можно будет добавить украденную карту в учетную запись Curve без кода CVV2 или кода 3D-Secure.
Наконец, я знал, что у Curve есть слепое пятно вокруг простой логики и математики в их бэкендах . Поэтому я предположил, что смогу потратить более 100 фунтов стерлингов без какой-либо проверки. Поэтому я сделал три платежа на общую сумму 135 фунтов стерлингов, прежде чем аккаунт был заблокирован:
Но даже лимит в 100 фунтов стерлингов — иллюзия. Используя один и тот же телефон, я зарегистрировал три разных аккаунта с информацией от людей, которые любезно предоставили мне свои имена для целей тестирования. Снова и снова на одном и том же устройстве, без каких-либо подозрений. Так что никто не мешает преступникам открывать сотни счетов и переводить более 100 фунтов стерлингов с каждого с помощью украденных карт.
Повторим еще раз: как преступники, владеющие Samsung Pay, могут использовать украденные идентификационные данные и карты?
1. Купите устройство, поддерживающее Samsung Pay.
2. Создайте новую цифровую учетную запись (номер телефона и адрес электронной почты).
3. Загрузите приложение Curve и создайте учетную запись, используя информацию из украденных личных данных (имя и фамилия, дата рождения, адрес).
4. Добавьте украденные карты в Curve, зная только длинный номер карты и дату истечения срока действия, а также имея доступ к банковским выпискам в режиме реального времени.
5. Совершайте платежи в магазине или онлайн на сумму от 100 до 135 фунтов стерлингов.
6. Перепродать купленный товар или применить известную схему перемещения денег.
7. Повторите шаги 2–6, используя то же устройство, но другие идентификаторы и номера телефонов.
Что Samsung и Curve МОГЛИ бы сделать лучше?
Технологические и маркетинговые преимущества иногда открывают двери для преступников. Важно противодействовать этому, внедряя дополнительные проверки. В самом многоуровневом KYC нет ничего плохого, пока преступники не начнут добавлять украденные карты или применять схемы перемещения денег, которые возможны из-за специфических особенностей финтеха. Ответ заключается в том, чтобы повысить пороги риска для этих особенностей и исправить процесс регистрации, чтобы отпугнуть преступников.
Я меньше опасаюсь, что какой-либо злоумышленник начнет использовать эти методы, так как недавно Curve исправил некоторые из самых серьезных проблем, и теперь гораздо сложнее регистрировать украденные карты в приложении (но не невозможно). Но есть и другие угрозы, которые может представлять неограниченный доступ к виртуальным картам. Мы расскажем об этом в нашей следующей статье!
Источник
Если вы открыли банковский счет после 2017 года, вы, скорее всего, сделали это удаленно, не посещая отделения — необанки не имеют таких отделений, и многие традиционные банки также начали предлагать удаленное подключение. Чтобы открыть счет удаленно, вы должны пройти электронные проверки Know-Your-Customer (e-KYC). Большинство финтехов не рассматривают заявки самостоятельно, а передают KYC на аутсорсинг одному из поставщиков услуг. Процесс состоит из подтверждения личности и подтверждения адреса. Хотя требования могут различаться у разных поставщиков, большинство поставщиков попросят вас отправить фотографии вашего удостоверения личности и счетов, а также сфотографироваться. Другие поставщики требуют видеозаписи человека и некоторых операций с удостоверением личности, чтобы доказать его подлинность.
Все эти шаги создавали у меня иллюзию надежности e-KYC до прошлого года, когда мы показали одному финтеху, как легко открыть поддельный счет. Я использовал свое удостоверение личности и Photoshop в изображенных сценариях и выделил все последствия такого преступления — отмывание денег, уклонение от санкций и спонсорство терроризма. Затем я начал думать, а что, если даже эти шаги излишни? Что, если есть способы открыть счет без формальной проверки KYC?
Сегодня я покажу, как легко зарегистрировать кошелек и виртуальную карту, используя только общедоступные данные. Для этого мы будем использовать мобильный кошелек Samsung Pay. Все слышали о Samsung Pay, верно? Возможно, не каждый из вас, если вы живете в Великобритании/ЕС. Этот кошелек не очень популярен здесь — менее десяти банков поддерживают Samsung Pay в Великобритании, в то время как в США Samsung Pay поддерживают сотни банков. Это было проблемой для Samsung. Если вы попытаетесь добавить свою карту в Samsung Pay, вы получите уведомление «Извините, ваш банк пока не поддерживается», и вы ничего не сможете сделать. Каждый банк должен иметь соглашение с Samsung, чтобы быть добавленным в кошелек Samsung. Пару лет назад Samsung заключил партнерство с Curve, чтобы решить эту проблему.
Что за новенький Curve, спросите вы? Curve — это карта, которая заменяет целый кошелек карт! Довольно удобный стартап, которым я сам постоянно пользуюсь. Как только у вас появится карта Curve, вы сможете добавлять другие карты в свое приложение Curve. При оплате картой Curve будет списана «карта по умолчанию», выбранная в приложении. Нет денег на счете по умолчанию? Вы можете выбрать запасную карту, с которой автоматически будет списана следующая сумма («Режим Anti-Embarrassing»). Вы указали неправильную «карту по умолчанию»? Curve может отменить вашу транзакцию и снять деньги с правильного счета в течение трех месяцев. Превосходно!
Из-за нехватки банков в своем портфолио Samsung заключил партнерское соглашение с Curve. Теперь при попытке добавить карту, которую Samsung Pay не поддерживает, телефон зарегистрирует учетную запись Curve и автоматически добавит вашу карту в Curve. И вуаля! Samsung Pay поддерживает вашу карту через «прокси»-решение Curve.
Как выглядит открытие счета для Samsung и Curve?
Шаг 1. Получение последней версии приложения Samsung Pay — теперь оно называется Wallet:
Шаг 2. Добавление карты Revolut, которая не поддерживает Samsung Pay, в кошелек:
Samsung предложила установить приложение Curve, как и ожидалось.
Шаг 4. Мы будем использовать новый номер мобильного телефона и адрес электронной почты для регистрации. Затем мы используем данные «украденной личности» — имя и фамилию, дату рождения и домашний адрес:
Откуда кто-то мог получить эту информацию? Я не хочу показывать пальцем, но есть пара простых способов. Например, преступники могли получить эти части из разных публичных баз данных.
И вот оно! У нас есть виртуальная карта для оплаты в Интернете и мобильный кошелек для оплаты в магазинах! А как насчет подтверждения адреса и подтверждения личности? Мы так привыкли к ним с такими необанками, как Revolut или Monzo. Curve по-прежнему использует Onfido для этих проверок, но когда они объединились с Samsung, оба придумали ярлык под названием Progressive или Tiered KYC. В Интернете не так много ссылок на эту концепцию. Я не нашел ни одного другого необанка, который бы реализовал такое решение. Однако вы можете прочитать об этом подходе от GSMA (орган по соблюдению требований телекоммуникаций) и FATF (Группа разработки финансовых мер борьбы с отмыванием денег):
https://www.fatf-gafi.org/media/fatf/content/images/AML CFT measures and financial inclusion.pdf В Канаде идентификация (и верификация) клиента требуется для переводов на сумму 1 000 канадских долларов и выше. Некоторые компании по переводу денежных средств ввели «прогрессивный подход» к CDD, при котором отправка более 1 000 канадских долларов требует от клиентов предоставления дополнительной информации, включая род занятий и источник средств.
Многоуровневый KYC позволяет Curve не проводить множество проверок, пока вы не потратите свои первые £100. После этого будет сделано формальное подтверждение адреса и личности с использованием поставщика услуг Onfido.
Достаточно безопасно, считает FATF, пока преступники не научатся добавлять украденные карты в Curve. К тому времени, как началось это исследование, я уже отправил несколько отчетов о безопасности в Curve, большинство из которых они проигнорировали. Возможно, это было связано с постоянной сменой сотрудников отдела безопасности. Когда вы добавляете свои карты в Curve, это может только выглядеть безопасным, но это не так. Одна из уязвимостей позволяла мне добавлять украденные карты, зная длинный номер карты и дату истечения срока действия. Другая уязвимость позволяла обойти дополнительную проверку 3D-Secure при добавлении вашей карты. Чтобы обойти эту проверку, преступникам требовался прямой доступ к выпискам по транзакциям украденной карты.
Это довольно стандартная информация, которая продается на черных рынках:
Таким образом, можно будет добавить украденную карту в учетную запись Curve без кода CVV2 или кода 3D-Secure.
Наконец, я знал, что у Curve есть слепое пятно вокруг простой логики и математики в их бэкендах . Поэтому я предположил, что смогу потратить более 100 фунтов стерлингов без какой-либо проверки. Поэтому я сделал три платежа на общую сумму 135 фунтов стерлингов, прежде чем аккаунт был заблокирован:
Но даже лимит в 100 фунтов стерлингов — иллюзия. Используя один и тот же телефон, я зарегистрировал три разных аккаунта с информацией от людей, которые любезно предоставили мне свои имена для целей тестирования. Снова и снова на одном и том же устройстве, без каких-либо подозрений. Так что никто не мешает преступникам открывать сотни счетов и переводить более 100 фунтов стерлингов с каждого с помощью украденных карт.
Повторим еще раз: как преступники, владеющие Samsung Pay, могут использовать украденные идентификационные данные и карты?
1. Купите устройство, поддерживающее Samsung Pay.
2. Создайте новую цифровую учетную запись (номер телефона и адрес электронной почты).
3. Загрузите приложение Curve и создайте учетную запись, используя информацию из украденных личных данных (имя и фамилия, дата рождения, адрес).
4. Добавьте украденные карты в Curve, зная только длинный номер карты и дату истечения срока действия, а также имея доступ к банковским выпискам в режиме реального времени.
5. Совершайте платежи в магазине или онлайн на сумму от 100 до 135 фунтов стерлингов.
6. Перепродать купленный товар или применить известную схему перемещения денег.
7. Повторите шаги 2–6, используя то же устройство, но другие идентификаторы и номера телефонов.
Что Samsung и Curve МОГЛИ бы сделать лучше?
Технологические и маркетинговые преимущества иногда открывают двери для преступников. Важно противодействовать этому, внедряя дополнительные проверки. В самом многоуровневом KYC нет ничего плохого, пока преступники не начнут добавлять украденные карты или применять схемы перемещения денег, которые возможны из-за специфических особенностей финтеха. Ответ заключается в том, чтобы повысить пороги риска для этих особенностей и исправить процесс регистрации, чтобы отпугнуть преступников.
Я меньше опасаюсь, что какой-либо злоумышленник начнет использовать эти методы, так как недавно Curve исправил некоторые из самых серьезных проблем, и теперь гораздо сложнее регистрировать украденные карты в приложении (но не невозможно). Но есть и другие угрозы, которые может представлять неограниченный доступ к виртуальным картам. Мы расскажем об этом в нашей следующей статье!
Источник
Last edited by a moderator: