Man
Professional
- Messages
- 2,963
- Reaction score
- 486
- Points
- 83
Столько слов было сказано о мошенничестве Buy Now Pay Later (BNPL). Столько причудливых терминов было придумано: buy-now-pay-never, buy-now-pay-less. Но мы все еще находимся в то время и в том месте, где процветает мошенничество BNPL. Уровень входа в методы мошенничества BNPL смехотворно низок. Столько предложений в Интернете о том, как украсть пару сотен у провайдера и не заплатить ни копейки. И главными жертвами здесь являются торговцы, которые безрассудно решили иметь опцию BNPL на своей странице оформления заказа.
Предложение на форуме даркнета о рабочем методе обмана магазинов с использованием одного из провайдеров BNPL
В нашем блоге мы пишем о мошенничестве в целом и в частности о мошенничестве с BNPL. Но не потому, что мы хотим, чтобы преступники использовали схемы, которые мы раскрываем. Важно подчеркнуть эти уязвимости и сделать их публичными, чтобы оказать давление на компании, которые не хотят предпринимать никаких шагов для улучшения своей безопасности, оставляя продавцов без защиты. Напоминаем еще раз, что бремя любого мошенничества, происходящего с BNPL, ложится на продавцов. Поэтому они являются основными жертвами мошенничества.
Сегодня мы делаем следующий шаг: мы подробно опишем некоторые мошеннические методы BNPL. Опять же, не для того, чтобы давать советы преступникам, а чтобы помочь тем, кто нуждается в помощи. Основная аудитория, которая найдет эту статью полезной, — это сами поставщики BNPL и крупные торговцы, которые ими пользуются. А как насчет малого бизнеса, и что он может сделать? Честно говоря, не слишком много. Поскольку у них не будет дополнительных бюджетов или внутренних ресурсов для проведения учений Red Team, они могут только надеяться остаться вне радаров мошенников.
Планирование учений BNPL Red Team
Итак, вы крупная компания, скажем, торговая площадка вроде Amazon или eBay, с выделенной командой по безопасности, и вы решили использовать поставщика BNPL на кассе. Или, может быть, вы поставщик BNPL, который действительно хочет знать реальный уровень безопасности и какие финансовые риски лежат в вашей системе. Мы предлагаем провести учения Red Team, чтобы смоделировать несколько мошеннических сценариев BNPL и выявить пробелы перед преступниками.
Что такое Red Team для финтеха? Это нечто большее, чем просто аудит безопасности приложений или пентест инфраструктуры. Это смесь хакерских приемов, которые ведут к простой цели — смоделированному и контролируемому «грабежу», смогут ли ваши специалисты украсть деньги со счетов друг друга или из бизнеса. Также жизненно важно использовать смесь технических уязвимостей и пробелов в контроле рисков, таких как недостаточные правила борьбы с мошенничеством. Просто потому, что результаты этих упражнений должны быть переработаны в решения и план восстановления для ваших систем.
Не очень полезно, если вы смоделируете ограбление «скрыт и убежит» против вашего генерального директора, так как вы ничего не можете изменить в своей инфраструктуре и системах, чтобы предотвратить это в будущем. Но если вы покажете, как преступники могут открывать и использовать поддельные счета и начинать занимать деньги у поставщика BNPL без каких-либо намерений возвращать эти деньги. Если вы разберете все технические и организационные меры, которые были призваны снизить эти риски, — это будет полезным упражнением для Red Team.
Вам нужна настоящая команда A-Team для этой работы! Инженеры по безопасности или разработчики изнутри здесь не помогут. Вместо этого вам нужен как минимум один хороший эксперт по безопасности приложений, который хорошо знает, как находить уязвимости в бизнес-логике.
Это вопрос личного выбора, хотят ли эксперты получить какие-либо предварительные знания об оцениваемой системе или же они предпочитают сначала использовать подход черного ящика. Конечно, будет продуктивнее, если у вас будет какой-то механизм обратной связи. Например, если учетная запись эксперта была заблокирована, полезно знать, почему, вместо того, чтобы пытаться стучать в каждую запертую дверь.
Давайте попробуем подробно рассмотреть, как могут выглядеть эти упражнения. Каковы цели? Какие знания понадобятся вашей команде?
Проверка 0. Разведка угроз
Шаг ноль — всегда будьте ближе к земле. От какого мошенничества страдает ваш бизнес или ваши конкуренты? Чем занимаются преступники в наши дни? Вам не нужно нанимать дорогую TI-компанию, вам нужен список популярных ресурсов, которые используют хакеры в вашей теме. Например, хакеры, которые взламывают игры, любят продвигать свои услуги на каналах Discord. Плодотворными платформами для финтех-хакеров являются Telegram и некоторые региональные форумы:
Распространенные предложения по мошенническим методам против торговцев, использующих популярные бренды BNPL.
Эта информация не обязательно должна поступать извне. Вы можете получить список болевых точек от ваших внутренних команд, например, по борьбе с мошенничеством или управлению рисками.
В целом, эта информация должна дать вам представление о направлении. Она также поможет измерить успешность упражнений Red Team. Если никто не хотел вас взломать до этого, вы потратили $50 тыс., и никто вас не взламывает после этого — это просто успех для бизнеса. Было бы здорово вместо этого показать снижение конкретных цифр мошенничества.
Проверка 1. Взлом аккаунта
Мы начнем с некоторых распространенных методов и постепенно будем увеличивать сложность наших проверок. Одной из самых распространенных угроз для любой финансовой организации является захват аккаунта, который увеличился на 121% в 2022 году. При использовании этих методов преступники получают доступ к аккаунтам жертв тем или иным способом. Это может быть распространенный фишинг или отсутствие двухфакторной аутентификации и легко угадываемых паролей. Иногда преступники могут взломать электронные письма и/или использовать утекшие базы данных паролей. Способы, которыми преступники могут получить доступ к аккаунту, остаются за пределами этой статьи и наших упражнений. Для Red Team жизненно важным является вопрос: что могут сделать преступники, взломав аккаунт?
* «Оплата тремя частями» или «Оплата четырьмя частями» — распространенные предложения среди поставщиков BNPL, когда платежи делятся на части в течение определенного периода времени.
Проверка 2. Проверки регистрации и KYC
Поставщики BNPL не являются банками, поэтому регулирующие органы не заставляют их соблюдать правила по борьбе с отмыванием денег. Это главная причина, по которой проверки при поступлении на обслуживание настолько снисходительны, а у каждого поставщика BNPL полно поддельных счетов. Поиск пробелов в различных проверках при поступлении на обслуживание — это то, чем я занимался последние двенадцать месяцев. Ранее мы публиковали, как открыть поддельные счета у одного из крупных поставщиков BNPL. К сожалению, эта статья расстроила несколько финтех-компаний, и они не попытались это скрыть (размытые скриншоты?).
На чем должны сосредоточиться участники красной команды в ходе процесса:
Проверка 3. Углубляемся в процесс подачи заявления на получение кредита BNPL
Теперь пришло время немного подробнее изучить особенности приложения. Основной целью здесь является интеграция API мобильных или настольных компьютеров и веб-сайтов, которая используется для обработки приложений покупки. Вот некоторые функции, которые могут быть использованы преступниками:
Проверка 4. Виртуальные карты
Это удобная и полезная функция — иметь виртуальную карту, которая выдается для конкретной покупки в конкретном магазине. Что может пойти не так?
Проверка 5. Мошенничество со стороны продавца
Торговцы имеют власть — возвращать деньги, переводить деньги из одного кармана в другой и так далее. Вот почему злонамеренные торговцы представляют наибольшую угрозу для борцов с мошенничеством на каждом этапе процесса оплаты. Этот сайт не существовал бы, если бы не наш первый проект по исследованию карт. На самом деле, все это стало возможным благодаря низким порогам для открытия бизнес-счетов в Великобритании.
Если вы думаете, что преступники не любят использовать торговые счета, чтобы оставить какие-либо следы своей личности, подумайте дважды. Преступникам даже не нужно оставлять свои настоящие данные, поскольку они могут открывать бизнес-счета, используя поддельную информацию. Если вы подпишетесь на Грэма Барроу в LinkedIn или Twitter, вам не понадобится много времени, чтобы понять, как легко открыть поддельный бизнес-счет в наши дни. Что еще хуже, крупные торговые платформы, такие как eBay или Etsy, вообще не требуют иметь бизнес-счета, предпочитая работать с частными лицами. Это одна из причин, по которой эти платформы сильно страдают от всех видов «мошенничества со стороны продавцов». Вот несколько вещей, которые вы, возможно, захотите проверить на своей платформе:
Реклама рекомендует использовать поставщиков BNPL для усиления мошенничества с возвратами
В заключение
Многие посредники теперь вклиниваются в процесс оплаты. У нас есть поставщики BNPL, которые отдают деньги покупателям, у нас есть торговые площадки, которые берут часть за листинг позиций продавцов. У нас есть платежные провайдеры, которые занимаются переводами денег от первых ко вторым. Но я хотел бы отметить, что «разделенная ответственность означает отсутствие ответственности». И последний пример с поддельным продавцом является показателем этой проблемы. Кто виноват в том, что мошенничество может быть совершено таким простым способом на некоторых крупных торговых площадках? Кто платит за это мошенничество?
Источник
Предложение на форуме даркнета о рабочем методе обмана магазинов с использованием одного из провайдеров BNPL
В нашем блоге мы пишем о мошенничестве в целом и в частности о мошенничестве с BNPL. Но не потому, что мы хотим, чтобы преступники использовали схемы, которые мы раскрываем. Важно подчеркнуть эти уязвимости и сделать их публичными, чтобы оказать давление на компании, которые не хотят предпринимать никаких шагов для улучшения своей безопасности, оставляя продавцов без защиты. Напоминаем еще раз, что бремя любого мошенничества, происходящего с BNPL, ложится на продавцов. Поэтому они являются основными жертвами мошенничества.
Сегодня мы делаем следующий шаг: мы подробно опишем некоторые мошеннические методы BNPL. Опять же, не для того, чтобы давать советы преступникам, а чтобы помочь тем, кто нуждается в помощи. Основная аудитория, которая найдет эту статью полезной, — это сами поставщики BNPL и крупные торговцы, которые ими пользуются. А как насчет малого бизнеса, и что он может сделать? Честно говоря, не слишком много. Поскольку у них не будет дополнительных бюджетов или внутренних ресурсов для проведения учений Red Team, они могут только надеяться остаться вне радаров мошенников.
Планирование учений BNPL Red Team
Итак, вы крупная компания, скажем, торговая площадка вроде Amazon или eBay, с выделенной командой по безопасности, и вы решили использовать поставщика BNPL на кассе. Или, может быть, вы поставщик BNPL, который действительно хочет знать реальный уровень безопасности и какие финансовые риски лежат в вашей системе. Мы предлагаем провести учения Red Team, чтобы смоделировать несколько мошеннических сценариев BNPL и выявить пробелы перед преступниками.
Что такое Red Team для финтеха? Это нечто большее, чем просто аудит безопасности приложений или пентест инфраструктуры. Это смесь хакерских приемов, которые ведут к простой цели — смоделированному и контролируемому «грабежу», смогут ли ваши специалисты украсть деньги со счетов друг друга или из бизнеса. Также жизненно важно использовать смесь технических уязвимостей и пробелов в контроле рисков, таких как недостаточные правила борьбы с мошенничеством. Просто потому, что результаты этих упражнений должны быть переработаны в решения и план восстановления для ваших систем.
Не очень полезно, если вы смоделируете ограбление «скрыт и убежит» против вашего генерального директора, так как вы ничего не можете изменить в своей инфраструктуре и системах, чтобы предотвратить это в будущем. Но если вы покажете, как преступники могут открывать и использовать поддельные счета и начинать занимать деньги у поставщика BNPL без каких-либо намерений возвращать эти деньги. Если вы разберете все технические и организационные меры, которые были призваны снизить эти риски, — это будет полезным упражнением для Red Team.
Вам нужна настоящая команда A-Team для этой работы! Инженеры по безопасности или разработчики изнутри здесь не помогут. Вместо этого вам нужен как минимум один хороший эксперт по безопасности приложений, который хорошо знает, как находить уязвимости в бизнес-логике.
Это вопрос личного выбора, хотят ли эксперты получить какие-либо предварительные знания об оцениваемой системе или же они предпочитают сначала использовать подход черного ящика. Конечно, будет продуктивнее, если у вас будет какой-то механизм обратной связи. Например, если учетная запись эксперта была заблокирована, полезно знать, почему, вместо того, чтобы пытаться стучать в каждую запертую дверь.
Давайте попробуем подробно рассмотреть, как могут выглядеть эти упражнения. Каковы цели? Какие знания понадобятся вашей команде?
Проверка 0. Разведка угроз
Шаг ноль — всегда будьте ближе к земле. От какого мошенничества страдает ваш бизнес или ваши конкуренты? Чем занимаются преступники в наши дни? Вам не нужно нанимать дорогую TI-компанию, вам нужен список популярных ресурсов, которые используют хакеры в вашей теме. Например, хакеры, которые взламывают игры, любят продвигать свои услуги на каналах Discord. Плодотворными платформами для финтех-хакеров являются Telegram и некоторые региональные форумы:
Распространенные предложения по мошенническим методам против торговцев, использующих популярные бренды BNPL.
Эта информация не обязательно должна поступать извне. Вы можете получить список болевых точек от ваших внутренних команд, например, по борьбе с мошенничеством или управлению рисками.
В целом, эта информация должна дать вам представление о направлении. Она также поможет измерить успешность упражнений Red Team. Если никто не хотел вас взломать до этого, вы потратили $50 тыс., и никто вас не взламывает после этого — это просто успех для бизнеса. Было бы здорово вместо этого показать снижение конкретных цифр мошенничества.
Проверка 1. Взлом аккаунта
Мы начнем с некоторых распространенных методов и постепенно будем увеличивать сложность наших проверок. Одной из самых распространенных угроз для любой финансовой организации является захват аккаунта, который увеличился на 121% в 2022 году. При использовании этих методов преступники получают доступ к аккаунтам жертв тем или иным способом. Это может быть распространенный фишинг или отсутствие двухфакторной аутентификации и легко угадываемых паролей. Иногда преступники могут взломать электронные письма и/или использовать утекшие базы данных паролей. Способы, которыми преступники могут получить доступ к аккаунту, остаются за пределами этой статьи и наших упражнений. Для Red Team жизненно важным является вопрос: что могут сделать преступники, взломав аккаунт?
- Могут ли они изменить адрес покупателя и сразу же что-то заказать?
- Могут ли преступники забирать покупки в магазине, не раскрывая свои адреса?
- Получает ли жертва уведомления о недавних покупках, и может ли преступник изменить адрес электронной почты жертвы, чтобы избежать этого?
- Что еще можно сделать, войдя в систему, не запрашивая дополнительные одноразовые коды, например, сбросить пароль учетной записи или изменить личные данные?
- Каковы правила использования паролей?
- Разрешает ли система учетные записи без двухфакторной аутентификации? Имейте в виду, что некоторые методы проверки слабее других, например, одноразовые коды, доставленные автоматическими звонками, могут быть отправлены на голосовую почту и взломаны позже.
- Даже если вы защищаете счета или финансовые операции одноразовыми кодами, это не значит, что эти коды нельзя перебрать или обойти другими способами.
- Могут ли преступники использовать какие-либо другие методы автоматизации, например, атаки методом распыления паролей?
- После взлома учетной записи могут ли преступники использовать функцию «оплата тремя платежами»* с картой жертвы без дополнительной проверки карты, известной как 3D-Secure?
* «Оплата тремя частями» или «Оплата четырьмя частями» — распространенные предложения среди поставщиков BNPL, когда платежи делятся на части в течение определенного периода времени.
Проверка 2. Проверки регистрации и KYC
Поставщики BNPL не являются банками, поэтому регулирующие органы не заставляют их соблюдать правила по борьбе с отмыванием денег. Это главная причина, по которой проверки при поступлении на обслуживание настолько снисходительны, а у каждого поставщика BNPL полно поддельных счетов. Поиск пробелов в различных проверках при поступлении на обслуживание — это то, чем я занимался последние двенадцать месяцев. Ранее мы публиковали, как открыть поддельные счета у одного из крупных поставщиков BNPL. К сожалению, эта статья расстроила несколько финтех-компаний, и они не попытались это скрыть (размытые скриншоты?).
На чем должны сосредоточиться участники красной команды в ходе процесса:
- Какая должная осмотрительность применяется? Возможно ли открыть фейковый счет на торговой площадке и прикрепить его к свежесозданному счету BNPL, используя фейковое имя и адрес?
- Если нет, то какие данные требуются? Дата рождения, законный адрес, правильное имя и фамилия? Проверка удостоверения личности? Мы показали, что эти данные легко получить с помощью общедоступных баз данных, таких как Companies House.
- Если вы можете открыть один аккаунт, можете ли вы открыть дюжину? Нужно ли вашей команде для этого менять IP-адреса и использовать несколько устройств?
- Связаны ли эти счета каким-либо образом во внутренней системе подсчета очков?
Проверка 3. Углубляемся в процесс подачи заявления на получение кредита BNPL
Теперь пришло время немного подробнее изучить особенности приложения. Основной целью здесь является интеграция API мобильных или настольных компьютеров и веб-сайтов, которая используется для обработки приложений покупки. Вот некоторые функции, которые могут быть использованы преступниками:
- Могут ли преступники перемещать деньги, используя оцениваемую торговую площадку? Например, совершая покупку, используя деньги BNPL, и выдавая возврат на другой источник средств?
- Можно ли обойти минимальную или максимальную сумму заявки?
- Можно ли злоупотреблять и изменять условия, на которых берутся деньги в долг? Например, можно ли изменить «платить в три» так, чтобы первый платеж стал нулевым?
- Можно ли создать более одного приложения одновременно или в параллелизме? Это называется Race Condition.
- Если заявка была отклонена, можете ли вы изменить информацию и повторно подать заявку на получение займа?
- Если заявка была отклонена, изменит ли это немедленно покупка дешевого продукта? Этот распространенный прием известен как «pump and dump».
Проверка 4. Виртуальные карты
Это удобная и полезная функция — иметь виртуальную карту, которая выдается для конкретной покупки в конкретном магазине. Что может пойти не так?
- Можно ли использовать карту не только в том магазине, для которого она была выпущена?
- Насколько строги срок действия и лимиты карты?
- Можно ли использовать карту для выпуска мобильного кошелька типа Apple Pay или GPay?
- Может ли преступник выпустить несколько карт одновременно, используя атаку Race Condition?
- Как преступники могут злоупотреблять потоками транзакций? Покупки, предварительная авторизация, возвраты, множественные источники средств — все эти элементы потока платежей могут быть использованы в больших масштабах для перемещения денег или получения прямой прибыли от поставщиков BNPL.
- Диапазон BIN карты следует изучать отдельно. У каждого провайдера будет ограниченный набор карт, которые он выпускает ежедневно. Что происходит с картой после ее уничтожения? Могут ли преступники каким-то образом предсказать реквизиты чужой карты или использовать их после уничтожения карты?
Проверка 5. Мошенничество со стороны продавца
Торговцы имеют власть — возвращать деньги, переводить деньги из одного кармана в другой и так далее. Вот почему злонамеренные торговцы представляют наибольшую угрозу для борцов с мошенничеством на каждом этапе процесса оплаты. Этот сайт не существовал бы, если бы не наш первый проект по исследованию карт. На самом деле, все это стало возможным благодаря низким порогам для открытия бизнес-счетов в Великобритании.
Если вы думаете, что преступники не любят использовать торговые счета, чтобы оставить какие-либо следы своей личности, подумайте дважды. Преступникам даже не нужно оставлять свои настоящие данные, поскольку они могут открывать бизнес-счета, используя поддельную информацию. Если вы подпишетесь на Грэма Барроу в LinkedIn или Twitter, вам не понадобится много времени, чтобы понять, как легко открыть поддельный бизнес-счет в наши дни. Что еще хуже, крупные торговые платформы, такие как eBay или Etsy, вообще не требуют иметь бизнес-счета, предпочитая работать с частными лицами. Это одна из причин, по которой эти платформы сильно страдают от всех видов «мошенничества со стороны продавцов». Вот несколько вещей, которые вы, возможно, захотите проверить на своей платформе:
- Зачастую BNPL используется для усиления других мошеннических схем. Вы уже страдаете от мошенничества с возвратом денег? Подумайте дважды, прежде чем давать своим клиентам возможность платить еще меньше за ваши продукты:
Реклама рекомендует использовать поставщиков BNPL для усиления мошенничества с возвратами
- Самый простой способ «заработать» деньги на поставщике BNPL — открыть счет продавца. Затем преступники размещают поддельные заказы и занимают деньги, чтобы заплатить за свои собственные «товары». Это приведет к тому, что деньги будут делаться из воздуха. Как вы думаете, хорошо ли защищена от этого ваша платформа? Проверьте сами, прежде чем это сделают мошенники, как мы сделали на одной из крупнейших торговых площадок в Великобритании:
- Вам следует создать новый аккаунт продавца на своей торговой площадке и выставить на продажу что-то, что не привлечет много внимания. Не пытайтесь продать «новенький iPhone» — его, скорее всего, сразу же забанят. Продайте пару кроссовок за 20 фунтов стерлингов. Также необходимо пересмотреть, насколько старыми должны быть аккаунты, чтобы можно было выставлять товары без блокировки антифродом.
- После того, как поддельный товар выставлен на продажу, вы создаете еще одну учетную запись, которая выдает себя за «покупателя». Во время оформления заказа покупатель выбирает «оплатить позже» или «оплатить через три».
- Покупатель платит всего 6,66 фунтов стерлингов, но продавец получает 20 фунтов стерлингов после совершения покупки (посылка была отправлена поддельным продавцом и получена поддельным покупателем).
В заключение
Многие посредники теперь вклиниваются в процесс оплаты. У нас есть поставщики BNPL, которые отдают деньги покупателям, у нас есть торговые площадки, которые берут часть за листинг позиций продавцов. У нас есть платежные провайдеры, которые занимаются переводами денег от первых ко вторым. Но я хотел бы отметить, что «разделенная ответственность означает отсутствие ответственности». И последний пример с поддельным продавцом является показателем этой проблемы. Кто виноват в том, что мошенничество может быть совершено таким простым способом на некоторых крупных торговых площадках? Кто платит за это мошенничество?
Источник
