Купите сейчас. Платите меньше или… не платите

[Man]

Как преступники могут получить прибыль от совместной ответственности.​

BNPL (Buy Now Pay Later) — это тип краткосрочного финансирования, позволяющий потребителям совершать покупки и платить позже (часто без процентов). Это одна из величайших историй успеха финансовых технологий («fintech») за последнее десятилетие. Кредиты BNPL резко возросли за последние пару лет, поскольку потребители пользуются обещанием получить товары за ограниченный авансовый платеж. 24 процента европейцев теперь используют BNPL при онлайн-оплате. Но BNPL теперь беспокоит регулирующие органы, поскольку рост процентных ставок и опасения по поводу безнадежных долгов привели к падению стоимости ключевых игроков BNPL, таких как шведская Klarna. BNPL добавил удобства для потребителей, но также использовался сомнительно. В недавно опубликованном случае американский поставщик BNPL под названием Credova предлагал беспроцентные кредиты на покупку оружия и боеприпасов под маркетинговым слоганом «стреляй сейчас, плати позже».

И есть еще одна вещь, о которой стоит беспокоиться, когда дело доходит до BNPL. Ниже я покажу, как просто использовать украденные удостоверения, чтобы отобрать деньги у любого торговца, который поддерживает компании BNPL в качестве платежного механизма. Мошенники никогда не спешат переходить на новый технологический тренд, и на данный момент несколько хорошо документированных мошеннических схем против BNPL либо используют украденные данные карт, либо задерживают платежи торговцу. После моей предыдущей работы в области синтетических удостоверений и мошенничества с картами я рассмотрел, как преступники могут использовать бреши в системе безопасности, чтобы украсть деньги у поставщиков BNPL. И я был шокирован тем, как мало усилий требуется для усиления мошенничества с синтетическими удостоверениями и вывода прибыльных преступных схем на новый уровень.

Шаг 1. Выпуск карты с использованием поддельного удостоверения личности

Для выбранного мной поставщика BNPL процесс регистрации начинается с добавления существующей кредитной карты. Я не собирался использовать чужую украденную карту, так как это невозможно для многих поставщиков BNPL, включая выбранного мной. Большинство европейских платежных сервисов теперь требуют надлежащей проверки 3D-Secure (отправки одноразового кода на отдельное устройство) при выполнении операций с картой. Эта настройка теперь является обязательной из-за правила, о котором мы писали в прошлом году. Но добавление реальной карты в приложение BNPL в качестве источника средств оставит ненужные следы, которые в конечном итоге могут привести к преступникам. Но что, если бы существовал способ создать карту MasterCard без следа к настоящей личности? Будут ли преступники рады использовать это преимущество против поставщиков BNPL?

Поэтому вместо того, чтобы использовать одну из своих карт, я выпустил новую карту Samsung Pay+ без какой-либо формальной проверки, используя имя моего друга. Из-за пробелов в процедурах комплексной проверки клиентов Samsung и «Знай своего клиента» (KYC) это было относительно просто. Мне все еще нужно добавить действительную карту в качестве источника средств для карты Samsung Pay+. На этот раз я добавлю свою настоящую карту в Samsung Pay+, и мы вернемся к этому позже. Схема моей симуляции может показаться немного сложной:

Шаг 2. Регистрация в BNPL с использованием только что выданной карты

Если бы Facebook предложил вам схему BNPL, он, скорее всего, знал бы о вас все: вашу зарплату, ваши расходы, даже если вы, скорее всего, умрете (и не сможете выплатить платеж). Но у выбранного мной провайдера BNPL такой информации обо мне не было. Вместо этого провайдер просто просит действительную карту, чтобы убедиться, что клиент настоящий. Чтобы поддерживать высокий уровень удержания клиентов, он также не будет проводить надлежащие проверки KYC, то есть не требуется подтверждения адреса или удостоверения личности. Поэтому, если бы я был преступником, я бы купил новую SIM-карту и использовал тот же подход, что и в моей предыдущей статье о Samsung Pay+, выбрав информацию о некоторых существующих лицах из одной из общедоступных баз данных Великобритании.

Это самый простой способ получить правильное соответствие имени и адреса. Если бы преступник мог узнать дату рождения потенциальной жертвы, это привело бы его к нужной карте, зарегистрированной на поддельное имя. В этот момент вы можете спросить: неужели вы не можете просто найти чье-то имя и адрес в общедоступной базе данных, а затем использовать их для создания поддельного удостоверения личности? Что ж, бывший банкир и активист Грэм Барроу уже много лет указывает на то, как легко это сделать с помощью базы данных Companies House. В недавнем случае мошенники украли идентификационные данные государственного служащего Министерства юстиции Великобритании и сотрудника налогового органа Великобритании, чтобы создать подставные компании (для вероятного использования в отмывании денег). Нельзя сказать, что у преступников нет чувства юмора.

Итак, теперь мы добавим карту, которую мы только что выпустили (с поддельным удостоверением личности), в качестве источника средств в приложении BNPL. Опять же, эта карта не имеет ко мне никакого отношения — если коллектор решит обнаружить у меня информацию, которую я оставил в системе, им будет трудно это сделать. Другими словами, мы могли бы использовать личные данные любого человека для выпуска виртуальной карты и создания учетной записи BNPL.

Вам не нужно слишком много информации для создания учетной записи BNPL

Шаг 3. Покупка товаров

После того, как я создал учетную запись BNPL, я посмотрел на список магазинов, которые работают с поставщиком, чтобы найти жертву, и в итоге выбрал H&M. Преступники попытаются максимизировать свои выгоды и обороты. Они купят подарочные карты, чтобы заработать как можно больше денег на мошенничестве с BNPL. Однако H&M не разрешает покупать подарочные карты с использованием схемы BNPL (умно с их стороны!). Поэтому следующим лучшим вариантом с точки зрения преступника является покупка дорогих, но популярных гаджетов (iPhone, iPad, Nintendo и т. д.). Но я был скромнее и просто решил обновить свои носки и собрал корзину почти на 50 фунтов стерлингов:

Когда вы совершаете покупки в Интернете, у вас есть адрес выставления счета и адрес доставки. Вокруг адреса выставления счета проводится множество проверок. Если клиент указывает один адрес выставления счета в приложении BNPL и другой адрес выставления счета в форме оформления заказа, поставщик BNPL может это заметить, и покупка будет приостановлена. Но адрес доставки может быть любым. Чаще всего товары доставляются по другому адресу. Преступники не заказывают товары, используя свой настоящий адрес, а используют публичные адреса с легким доступом, например, ресепшен отеля или многоквартирный дом с консьержем. И многие магазины, использующие услуги BNPL, предоставляют идеальный вариант: вы можете выбрать «забрать в магазине».

Суть в том, что пока адрес выставления счета в корзине совпадает с адресом в системе BNPL, они не будут забанены или проверены. На этапе «оформления заказа у поставщика BNPL», в зависимости от текущего расчета риска, у преступников будет несколько вариантов: заплатить 25% или 30% сейчас, а остальное в течение следующих нескольких недель или заплатить все в течение 30 дней. Оба эти варианта довольно прибыльны, если вы не планируете платить в конечном итоге.

Поставщики BNPL предлагают возможность разбить платеж на три части в течение 60 дней или отложить полную выплату на 30 дней.

Шаг 4. Как избежать наказания за мошенничество

Мошенничество было совершено. Что дальше? Через 30 дней, когда клиент откажется вносить следующий платеж, он попадет в категорию дефолта. Чья это вина? Согласно действующим британским правилам, торговцы несут ответственность за любые дефолты BNPL. Большинство поставщиков BNPL не берут на себя риски мошенничества; для тех немногих, кто это делает, это жест доброй воли.

Если преступник отказывается платить, жертва кражи личных данных получит довольно запутанное письмо

Теперь представим, что торговец решил продать долг коллекторскому агентству, которое очень хочет найти преступника. И это возможно, в теории, если преступник воспользуется своей настоящей картой, как это сделал я в этот раз.

Позвольте мне напомнить вам длинную цепочку событий, связанных с преступлением:
- настоящая карта преступника, которая была добавлена в Samsung Pay+. Эта карта - единственная улика, которая может вывести на мошенника;
- виртуальная карта Samsung Pay+, выпущенная на вымышленное имя;
- Счет BNPL, выпущенный под другим поддельным именем:

Проще говоря, если бы я был коллекционером, я бы отложил это дело и сосредоточился на чем-то более легком.
Но что, если преступники захотят полностью скрыть свои следы? Им придется найти ответ на вопрос: «Насколько легко получить дебетовую карту, используя поддельное удостоверение личности?»

Что мы можем сделать, чтобы остановить это?

Современный финтех реализует свои услуги в рамках существующих платежных систем: поставщики мобильных точек продаж (POS) интегрируют свои услуги между банками-эквайерами и торговцами, поставщики BNPL вклиниваются между торговцами и клиентами, а мобильные кошельки и другие гаджеты располагаются между клиентами и их банками-эмитентами. Но каждый раз финтех-компании пытаются избежать принятия какой-либо ответственности. Финтех привязывает себя к платежной цепочке и своей прибыли, но предпочитает делить риски и ответственность. Я вижу здесь закономерность — «разделенная ответственность означает отсутствие ответственности». Вместо этого правильным способом было бы явно определить ответственность в соответствии с функциями, техническими возможностями и распределением доходов каждой части новой цепочки.

Например, мобильные платежи, такие как Apple Pay или Google Pay, забирают большую часть каждого выполненного платежа. Но в любых случаях мошенничества с участием их устройств их позиция по отношению к финтехам такова: «Мы просто предоставляем инфраструктуру, это ваше имя и логотип на технологии!». То же самое относится и к BNPL: они не собираются проводить проверки KYC, как и их клиенты, торговцы. Вместо этого они полагаются на тот факт, что «невозможно» выпустить дебетовую карту без надлежащей проверки. Но как только в стаде появляется белая ворона, вся ваша стратегия разваливается.

Источник