Как хакеры воруют и отмывают деньги
По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и другим интересным вещам.
Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения, случаются ситуации, когда “новинками” делятся силовики. Думаю многие разделят мою точку зрения касательно того, что если “схема” или “уязвимость” попала на форум, то, как правило, все “сливки” с нее уже давно кто то снял. Да и форумы вне зоны .onion супер серьезно воспринимать не стоит.
Но в этот раз была найдена схема которая удивила своей относительной простотой и новизной. Собственно о том, как хакеры воруют и отмывают деньги через сервисы доставки еды и будет сегодняшний рассказ.
Как убили значительную часть кардинга, предыстория
Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону (через смс, звонок или приложение).
У VISA такая система называется 3-D Secure сокращенно 3DS, работает в рамках системы Verified by Visa (VbV) у Mastercard есть аналог под названием Mastercard SecureCode (MCC). Суть проста, если Вы ввели где то данные со своей кредитной карты, для успешного платежа, вам потребуется еще и ввести код полученный из смс, звонка или приложения, чтоб подтвердить что это именно Вы совершаете покупку, а не хакеры грабят Вас.
С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие.
Гигантам важнее объем выручки и оборота средств, чем безопасность
Однако крупные, высоко нагруженные сервисы вроде Booking.com, Airbnb, Amazon, Facebook отключили или ограничено используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсии. Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, однако это не сильно помогло. Проблема не нова и широко обговаривается (пруф).
Также Федеральная торговая комиссия США заявила что за период с 2012 до 2016 года поступило 13 миллионов жалоб, 3 миллиона только за 2016 год, 13% из которых это хищение личности и кредитной карты. И это данные только по США. Реальность такова, что лучше содержать штат юристов занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие появились целые форумы с предложением забронировать отель за 25%-50% от стоимости (пруф). Бизнес риски не более.
Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:
- Берут квартиру в аренду с правом субаренды
- Регистрируют квартиру на booking.com и/или Airbnb
- Покупают данные ворованных кредитных карт
- Якобы бронируют квартиру у самих себя, на данные ворованных карт
- Получают уже чистые деньги от Booking или Airbnb
Естественно вариантов вышеописанной схемы может быть миллион, от регистрации на Booking, Airbnb не существующих квартир (это реально), до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут/скупают недобросовестных владельцев отелей (пруф) или же предлагают свои услуги (пруф).
Почему деньги отмывают именно через сервисы аренды квартир? Как я писал Выше там нет (или используется ограниченно) VBV и 3DS и карты туда легче “вбиваются”. Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение в POS терминалах с поддержкой ручного ввода карт (пруф), но это уже совсем другая история о которой я расскажу в следующий раз.Вернемся к нашим доставщикам еды.
Сервисам доставки еды тоже не важно чья карта
GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует совпадает ли имя владельца аккаунта, с именем на кредитной карте. Им не Важно куда доставлять и откуда брать товар. Им так же как гигантам бронирования отелей не так важны VBV и 3DS, куда важнее оборот и выручка.
Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на “новинку”. Кардеры и мошенники и придумали схему, которая в первом приближении выглядит так.
- Регистрируют магазин/хотдожную/ресторан/лавку в системе доставки еды, или просто указывают доставщику где именно он должен купить заказ.
- Покупают ворованную кредитную карту и привязываем к аккаунту.
- Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером скупаются в собственном магазине и ждут доставку.
- Отвозят продукты обратно и так по кругу.
Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется.
Дисклеймер и выводы
Данная публикация не несет в себе цели показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует на роль исчерпывающего руководства по защите и предотвращению мошеннических действий. Не может быть трактовано как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды — абсолютно незаконны и являются уголовным преступлением.
Как киберпреступники отмывают украденные деньги
По словам эксперта по вопросам безопасности, они часто должны быть креативными, когда "выводят" или отмывают деньги, которые украли.
Зев Мадор, руководитель исследований в области безопасности в Trustwave SpiderLabs, сказал BBC, что похитители кредитных карт, например, имеют ограниченное время для получения прибыли, поскольку в какой-то момент жертва заблокирует свою карту.
Десятки тысяч похищенных номеров карт продают ежедневно подпольно, используя данные из взломанных баз данных и сайтов, сказал г-н Мадор.
"Они могут попытаться продать карточку, но это небольшие деньги, поскольку так они получат лишь несколько долларов за каждую", — сказал он.
Преступники, скорее всего, используют карточки, чтобы приобрести ценные вещи, такие как iPhone или Macbook. Эти товары популярны, поскольку, как правило, сохраняют свою ценность при перепродаже.
"Они не покупают по 100 штук iPhone за раз, — сказал он. — Они используют много различных кредитных карт в разное время".
Мадор говорит, что мошенники используют специальные программы, чтобы обмануть системы борьбы с мошенничеством, которые должны определять, что все покупки, даже те, что сделаны с помощью разных карт, осуществляются с одного компьютера.
Другая методика "вывод средств" использует подарочные сертификаты от крупных розничных торговцев, таких как Amazon и WalMart.
Автор фото, Reuters
Apple iPhone часто покупают и перепродают кибермошенники
Эта методика предусматривает приобретение подарочного сертификата с помощью похищенной кредитной карты, которую затем предлагают для перепродажи с большой скидкой.
Например, клиент может приобрести сертификат номиналом 400 долларов за полцены.
При этом существует риск блокирования сертификата, если торговая компания замечает, что он был приобретен с помощью украденной кредитки.
Существуют и более ловкие мошенники, которые используют Uber и другие подобные сервисы для отмывания наличных.
Г-н Мадор и другие видели объявление о поиске водителей, которые приняли участие в афере.
Популярными странами для мошенничества были Испания и США.
"Они ищут водителей Uber для мошеннических платежей, людей, которые могут зарегистрироваться на Uber и фальсифицировать поездки", — сказал г-н Мадор.
Автор фото, Reuters
Один из путей отмывания денег привлекает водителей Uber
Аккаунт водителя используется для отмывания средств.
Краденые кредитные карты используются для оплаты фиктивных поездок, за что водитель получает часть денег в виде оплаты.
Именно эти рынки составляют основу киберпреступлений мира, сказал доктор Майк МакГьюр, криминолог из Университета Суррей (Великобритания), который изучал это теневое сообщество.
"Мы целостно посмотрели на криминальную экономику и тогда смогли увидеть, куда идут потоки денег", — сказал он BBC.
Некоторые деньги отмывают через банки и другие хорошо налаженные маршруты, уже долгое время используюемые преступными группами, которые все чаще находят пути применения новых технологий.
Исследования доктора МакГьюра свидетельствуют, что миллиарды проходят через черные рынки ежегодно. Некоторые из них — это просто когда одни воры продают другим, но есть и операции, связанные с продажей наркотиков и другой контрабанды.
Путем бесед с осужденными мошенниками и полицией, которая их преследует, он обнаружил, что многие преступники участвовали в незаконной деятельности из очень приземленных соображений.
"Около 15% просто использовали свои доходы для погашения ипотечных кредитов и других счетов", — сказал он.
Те же, кто зарабатывает много денег, склонны тратить их на статусные вещи, сказал он BBC.
Бумажный след
Банки становятся более искусными в выявлении попыток отмывания денег, в которых используется имущество и подставные компании, сказал Роб Хортон.
Представитель подразделения прикладной разведки BAE, который помогает финансовым фирмам выявлять мошенничество, подчеркнул, что это не простая работа, потому что мошенники тяжело работают, чтобы скрыть структуру собственности фиктивных компаний.
Автор фото, Getty Images
Но, по его словам, подробный долгосрочный анализ информации, предоставляемой подставными компаниями, может помочь разоблачить их суть.
"Мы часто замечаем, что контактные данные и регистрационные адреса одинаковые у десятков компаний, — сказал он. — Это потому, что очень трудно реально создать такое количество совершенно новых корпоративных или индивидуальных идентичностей".
Он добавил, что усилия отрасли, направленные на привлечение финансовых организаций к обмену данных о компании, осуществляющей платежи и покупки, также помогают выявить фикции.
"Нужно создать сеть, чтобы победить сеть".
Такой долгосрочный подход помогает банкам определять лиц, которых некоторые преступники используют как "мулов", отмечает Кедар Самант, соучредитель фирмы Simility, занимающейся выявлением мошенничества.
"Мулы" используются многими преступными группировками, чтобы обналичивать средства, полученные преступными способами.
Некоторые банды выходят на контакт с людьми, которые выполняли низкооплачиваемую работу за рубежом, и предлагают приобрести доступ к банковскому счету, который они открыли, когда работали за границей.
Системы обнаружения мошенничества, которыми пользовались раньше, вряд ли заметили бы проблему при отмывании наличности по такой схеме, поскольку они были очень "хрупкими", сказал г-н Самант.
Они, как правило, искали аномальное поведение, а не рассматривали контекст вокруг счета, как он используется со временем и куда идут деньги.
Как киберпреступники отмывают похищенные у банков деньги
Как правило, деньги, до которых удается добраться преступникам, проходят сложный маршрут, прежде чем их получают организаторы атаки. Рассказываем об их нелегком пути.
29 сентября 2020
У некоторых киберпреступных группировок атаки на банки и иные финансовые учреждения поставлены на поток. Всем известно, что чаще всего отследить похищенные средства практически невозможно, но не все четко понимают, почему. О том, как злоумышленники отмывают украденные деньги, рассказали в совместном исследовании компания BAE Systems и исследователи платежной системы SWIFT.
Откуда и как уходят деньги
Атака на банки может идти по двум сценариям — непосредственно на инфраструктуру банка и счета или же на банкоматы и связанные с ними системы. Разумеется, схемы вывода и последующего отмыва денег после этого немного различаются. Но суть одна — злоумышленники пытаются вернуть средства, добытые неправомерными способами, в экономику.
Традиционно в криминалистике непосредственный процесс отмывания денег делят на три стадии:
- размещение — первый перевод со счета жертвы на счета мошенников или вклад похищенной наличности;
- наслоение — проведение многочисленных операций, которые призваны скрыть происхождение средств и их настоящего владельца;
- интеграция — отмытые деньги инвестируются в легальный или криминальный бизнес.
Последний этап — интеграция уже отмытых средств обратно в экономику — это отдельная тема, которая заслуживает отдельного поста. Поэтому подробно рассматривать его здесь мы не будем. Однако поскольку поиск методов отмывания денег после успешной атаки — не вариант, добавляется еще одна фаза. Задолго до того, как финансы будут похищены и механизмы легализации финансов придут в действие, начинается процесс подготовки.
Подготовка
Для того чтобы украденные средства можно было быстро перевести, злоумышленники, как правило, готовят множество счетов, принадлежащих физическим или юридическим лицам. Это могут быть счета ничего не подозревающих людей, доступ к которым был захвачен злоумышленниками; людей, втянутых в мошенническую операцию обманом; или же добровольных помощников киберпреступников.
Люди, оказывающие помощь злоумышленникам, обычно называются «мулами». Иногда их используют для открытия счетов по поддельным или краденым документам (разумеется, так просто это не провернуть — чтобы банк не распознал подлог, у преступников должен быть инсайдер). Иногда мулов вербуют через рекрутинговые агентства, маскируя откровенную незаконность своего предложения мутными формулировками вроде «организация удобного метода инвестирования». На самом деле такие люди, как правило, четко понимают, что участвуют в чем-то незаконном, но предпочитают закрывать на это глаза — уж больно выгодное предложение. Таких «сообщников» чаще всего обманывают.
Размещение
Итак, злоумышленникам удалось при помощи вредоноса, социальной инженерии или инсайдера перевести деньги на некий счет. В этот момент в игру вступают мулы. Они действуют следующим образом:
- переводят финансы на другие счета, чтобы запутать следы;
- заказывают товары на свой адрес (или на адрес, который к которому они каким-либо образом имеют доступ);
- снимают деньги в банкоматах.
Есть еще такой вид вариант мошенничества: людей нанимают работать в компанию, которая якобы помогает иностранцам покупать товары в магазинах, не пересылающих товары за границу. То есть они получают и отправляют посылки международной почтой. Работают такие организации, как правило, месяц-два. Далее к ним приходит местная полиция.
Наслоение
Когда товары или деньги в банкоматах получают сообщники, действующие сознательно, то добыча легализуется по давно отработанным схемам обычной преступности. Деньги обмениваются на свободно конвертируемую валюту (чаще всего доллары); вещи (чаще всего электроника) сдаются скупщикам. Разумеется, и у обменных пунктов, и у магазинов, скупающих предметы, должны работать какие-то механизмы для выявления потенциально незаконных сделок, однако они чаще всего обходятся — либо благодаря халатности, либо с использованием взяток. Полученные деньги через какие-нибудь третьи руки передаются организаторам схемы. Разумеется, мулов могут поймать. Но максимум, что могут найти представители закона — это самих мулов и их процент. Ни основной части похищенного, ни контактов организаторов преступления обнаружить не удается.
Далее наличные отмываются по «классическим» преступным схемам: покупка драгоценностей или металлов (этот бизнес до сих пор часто предпочитает работать с наличностью) или покупка и последующая продажа фишек в казино.
Если же деньги переводятся дальше безналично, то к процессу подключаются подставные компании, работающие в разных государствах. Обычно они находятся в странах, где нет жесткого контроля за финансовыми транзакциями, либо где очень строгие законы, охраняющие тайны коммерческих сделок. Несколько переводов с дроблением и конвертацией в разные валюты — и вот уже происхождение денег не отследить. И это не обязательно фирмы-однодневки, у них может быть и частично легальный бизнес, в который похищенные деньги вливаются незаметным потоком.
Сравнительно недавно для отмывания денег стали использовать криптовалюты. Они привлекают злоумышленников тем, что для совершения транзакций пользователю не нужно предоставлять свои персональные данные. Однако этот метод не так прост, как кажется. Ведь наряду с анонимностью валюты на базе блокчейна еще и абсолютно прозрачны. Так что для вывода средств приходится делать множество транзакций. Например, в 2018 году группировка Lazarus после взлома криптовалютной биржи вывела $30 миллионов, а потом за четыре дня совершила 68 переводов между разными кошельками.
Практические выводы
Как мы видим, киберпреступники выстроили сложную и многоступенчатую схему отмывания денег. В процессе они много раз меняют счета, компании, форму представления, валюту, юрисдикцию. И все это занимает считаные дни. Некоторые компании за это время еще даже не замечают, что были атакованы.
Поэтому разумнее всего именно банкам взять дело в свои руки и выстраивать систему кибербезопасности таким образом, чтобы минимизировать возможность взлома финансовых систем и получения контроля над ними. У нас есть специальный продукт, ориентированный именно на банки и другие финансовые учреждения: платформа Kaspersky Fraud Prevention. Она позволяет не только обеспечить поведенческий анализ пользователей и контроль транзакций и финансовых операций, но и отслеживать попытки отмывания похищенных денег через ваш банк. Узнать о нем подробнее можно на сайте решения.
Как киберпреступники отмывают деньги
Киберпреступность растет, и те, кто занимается незаконной деятельностью, сталкиваются с «проблемой» получения прибыли от своих действий, не вызывая подозрений. Вот некоторые из наиболее популярных методов, используемых киберпреступниками для отмывания своих незаконно нажитых доходов.
Одним из распространенных методов является использование «денежных мулов», которые неосознанно помогают облегчить процесс отмывания. Мошенники часто нанимают людей через поддельные объявления о работе, поручая им переводить средства или товары между счетами или местами, эффективно маскируя незаконные операции за кажущейся законной деятельностью.
Сайты электронной коммерции также стали привлекательным прикрытием для схем отмывания денег. Киберпреступники могут легко создавать поддельные интернет-магазины, создавая иллюзию законных продаж и переводя украденные деньги с одного счета на другой. Используя несколько учетных записей пользователей или осуществляя фиктивные продажи на известных платформах электронной коммерции, они могут скрыть происхождение своих незаконных доходов.
Преступники также могут использовать денежных мулов для конвертации незаконных денежных средств в подарочные карты или финансовые счета, которые затем можно использовать для покупки услуг, которые на самом деле никогда не оказываются. Проводя операции на таких платформах, как Uber или Airbnb, они могут представить эти, казалось бы, законные виды деятельности как источник своих средств.
Криптовалютные биржи и NFT также стали привлекательными для киберпреступников. Используя уязвимости в отдельных криптокошельках или выдавая себя за законные платформы, преступники могут конвертировать незаконные средства в криптовалюты и затем обменивать их обратно на традиционную валюту. NFT, в частности, представляют собой удобный путь для отмывания денег из-за высокой стоимости транзакций и сложности определения стоимости цифрового искусства.