Get best of the week

Conferencia 27 de DEFCON. Reconocimiento de estafas en Internet

Comentarios informativos:

actualmente, Nina Collars, también conocida como Kitty Hegemon, está escribiendo un libro sobre las contribuciones de los hackers a la seguridad nacional. Es una politóloga dedicada a la investigación sobre la adaptación tecnológica de los usuarios a diversos dispositivos cibernéticos. Collars es profesor en el Departamento de Estudios Estratégicos y Operativos en el Naval College y ha trabajado en la División de Investigación Federal de la Biblioteca del Congreso de EE. UU., El Departamento de Estudios Afroamericanos de la Universidad de Harvard, el Banco Mundial, la Planta Antideslumbrante, y por la noche como voluntario de BSides. Como pasatiempo, una vez dirigió el grupo DC Cigars, Scotch and Strategy y todavía es una especialista certificada en bourbon.



Hola, soy Kitty, pero en el trabajo la gente a menudo me llama Nina. Antes de comenzar mi presentación, diré que la opinión expresada aquí no coincide necesariamente con la opinión de la Armada, el Departamento de Defensa o el gobierno de los Estados Unidos. Tengo que decir esto porque técnicamente soy un empleado federal, ya que trabajo como profesor en el Colegio Naval del Departamento de Investigación Estratégica y Operativa. Esto significa que estoy estudiando las últimas tecnologías y cómo afectan las operaciones militares y la defensa, lo que incluirá elementos de cibernética. Esta es una de las razones por las que estoy viendo la comunidad DefCon. Sin embargo, de lo que hablaré hoy no tiene nada que ver con la industria militar.

Entonces, en agosto pasado, compré una máquina de café Nespresso usada, y quería venir aquí y contar lo que sucedió después de eso. Como saben, las máquinas de café y las cápsulas se compran principalmente en línea. Hay varias boutiques Nespresso en todo el país, pero en general, puede comprar su café para máquinas Nespresso directamente en el sitio web de la compañía. Después de comprar un automóvil usado, me di cuenta de que las cápsulas de café en el sitio web de Nespresso son bastante caras y decidí buscar un vendedor más barato.



Resultó que en una subasta de eBay puedes comprar café mucho más barato: el precio de las cápsulas era aproximadamente la mitad de lo que tendría que pagar cuando comprara directamente de Nespresso. El único inconveniente fue que tenía que comprar al menos 200 cápsulas a la vez, pero como tomo mucho café, esto no me molestó demasiado, e hice mi apuesta por un lote de cápsulas. Cuando terminó la subasta, vi que gané y pagué la compra a través de PayPal.
Aproximadamente una semana después, los bienes me fueron entregados. Imagine mi sorpresa cuando junto con cajas de café me entregaron una caja con una máquina de café completamente nueva. Era el modelo compacto más popular de una máquina de café Nespresso Pixie por $ 280, que usa pequeñas "tabletas" de café a un precio de 70 centavos cada una.

Pensé que simplemente me había equivocado al hacer el pedido y regresé a eBay para verificar si había presionado algo extra allí y había comprado esto por casualidad. Sin embargo, no encontré nada igual.

Luego miré las pegatinas en las cajas y vi que tanto las cápsulas como la máquina de café provenían del mismo remitente, y lo más extraño fue que el remitente era Nespresso. Sin embargo, no ordené los productos al fabricante, ¡sino a un tercero!



Regresé a eBay para ver los detalles de la transacción y compararlos con la factura, y descubrí que el nombre del vendedor en eBay, llamémosla Sue de Chicago, no se parece al nombre del remitente en la cuenta de Nespresso, lo llamaremos George de Pokeepsi. Además, Sue de Chicago tenía una calificación de vendedor cero y creó su cuenta solo un par de semanas antes del pedido. Lo único que estaba vendiendo era café Nespresso.

Pensé que parecía una estafa, así que decidí lidiar con el problema y llamé a Nespresso. Muy reacio, porque soy un poco codicioso y no me importaría dejar esta cafetera para mí. Le expliqué al servicio de atención al cliente que no ordené el automóvil, sino que ordené solo cápsulas y no las compré a Nespresso, sino a un vendedor externo en eBay. Me confirmaron que el dinero para ambos artículos de mi pedido en realidad fue retirado de la tarjeta de crédito de George Pokeepsi.

Pensé que valía la pena llamar a George, que me envió un regalo tan maravilloso para aclarar la situación, pero el servicio al cliente se negó a darme su número de teléfono. Continué sospechando algún tipo de fraude aquí, pero no tenía forma de entender quién estaba ganando qué en esta situación. Entonces le dije a Nespresso: "Por favor envíeme una etiqueta de devolución prepaga por correo, y tan pronto como la reciba, con gusto le devolveré mi cafetera". Por mi parte, esto fue un truco, porque todos saben cuán renuentes son los fabricantes a tomar sus productos.

La chica de servicio al cliente escribió mis datos, los envió al departamento de lucha contra el fraude y me dijo que supervisara mi correo. Si la empresa desea devolver la máquina de café enviada por error, este departamento me enviará una etiqueta prepaga para que no tenga que pagar mi dinero por enviar el paquete.

Como puede ver, un año después todavía tengo una máquina de café. Pero mi conciencia está tranquila: denuncié un fraude y dejé este auto solo. Sin embargo, no podía entender lo que realmente sucedió, y esto me molestaba constantemente.

Así que busqué en Google un poco y encontré en la sección de seguridad del sitio web de eBay un esquema del llamado Fraude de Triangulación, o "triángulo fraudulento". Se llama así porque involucra a tres partes. Este esquema ayudó a comprender lo que podría suceder específicamente en mi caso.



El objetivo de este fraude es retirar una tarjeta de crédito utilizando la conexión entre la empresa y el último elemento del esquema: la mula, como se la llama comúnmente. Esta es la persona que convierte el efectivo.

Tres participantes en este esquema:

  • un cliente desprevenido que realiza un pedido en una subasta o mercado electrónico utilizando cualquier forma de crédito, débito o licitación de PayPal;
  • -, , - , ;
  • , .

En la mayoría de los casos, un estafador utiliza un vendedor legítimo "en el hogar" en su esquema. Tal vendedor ni siquiera puede asumir que es parte de una red fraudulenta, y algunos de estos vendedores tienen un sólido historial de ventas. Los estafadores a menudo publican anuncios de empleo vendedor para vender sus productos en un cierto porcentaje, generalmente 30%, y muchos vendedores aceptan ese



trabajo. El empleador es el verdadero delincuente que ha robado información de la tarjeta de crédito. Proporciona al vendedor una lista de "sus" productos para la venta, incluida una descripción completa de los productos .

El vendedor coloca los bienes en su cuenta en la plataforma de comercio electrónico. Los clientes legales compran productos y el vendedor envía información sobre el pedido a su empleador.

El empleador hace el mismo pedido en un sitio web legal, lo paga con una tarjeta de crédito robada y pasa el rastreador de productos al vendedor.

El vendedor pasa el rastreador al cliente. Ahora se envía al cliente un pedido realizado de manera fraudulenta desde el sitio web legal del fabricante de los productos.

Un cliente que recibió inesperadamente un producto robado y una empresa de fabricación legal son víctimas. Si se descubre un fraude, el sitio web legítimo emitirá un contracargo o perderá los fondos recibidos para pagar el pedido. Este sitio puede contactar al cliente para devolver los bienes robados, o el propio cliente lo declarará, como sucedió en mi caso. El comprador también puede presentar una demanda por fraude con su banco contra el vendedor.
Sin embargo, hay otra víctima: esta es la persona que robó la tarjeta de crédito. No sabe nada sobre el acuerdo hasta que reciba un extracto de la tarjeta de crédito. Naturalmente, intentará desafiar la compra, y a veces esto lleva a un reembolso del sitio web legal.

Por lo general, el estafador representa a una gran empresa, en este caso Nespresso, y abre una cuenta allí. Dichas compañías tienen un sistema de entrega simplificado y un sistema de cuenta simple que no contiene controles de seguridad complejos. Luego, el estafador, si trabaja solo y es tanto un empleador como un vendedor, crea su cuenta de eBay, un perfil falso y comienza a vender cosas a un precio muy bajo. Cuando finaliza la subasta, un comprador desprevenido envía su dinero a eBay y se convierte en una mula: gracias a un comprador honesto, el estafador obtiene el efectivo que necesita.



Sin embargo, vale la pena recordar que el estafador vende bienes que en realidad no posee. Y el proceso de compra en eBay no se completará hasta que se cierre la factura de entrega. Esto significa que además el estafador usa una tarjeta de crédito para comprar bienes directamente del fabricante, y luego se cierra el triángulo. Se genera una notificación de entrega en el sitio y todos están contentos. Un estafador toma dinero de la venta de bienes, paga una comisión de eBay y paga artículos adicionales, en mi caso, estas son cápsulas para una máquina de café. Este es un triángulo continuo, y el comprador no tiene idea de que es una "mula", todo lo que sabe es que recibió su producto a un precio de ganga. El incentivo para continuar con el fraude es que todos continúen en silencio. Por supuesto, si el comprador no fui yo quien recibió la máquina de café espresso que no ordené,y quién realmente quería saber por qué sucedió.
Tenía 2 versiones de lo que sucedió. El primero es un error del servicio de procesamiento de pedidos cuando alguien copió por error una línea extra de una hoja de cálculo de Excel en el sitio web del fabricante, y accidentalmente me enviaron una cafetera adicional. La segunda: ¡los estafadores solo querían comprar mi amor! Quizás este triángulo fraudulento es algo tan frágil, y todas estas cuentas y tarjetas de crédito "falsas" son cosas tan delicadas que el estafador intentó hacerme tan feliz que no dudé nada y continué comprando sus productos.

Entonces, el paso más correcto después de recibir una cafetera Nespresso gratis fue comenzar su propia investigación comprando más café. Lo sé, piensas que soy una persona terrible, pero ... en primer lugar, por alguna razón todavía llamé a mi discurso "confesiones", y en segundo lugar, simplemente asumí que era un fraude, pero no estaba en ello. Por supuesto. No sé qué tan grande es esta operación, así que necesito más datos.

En particular, no solo necesitaba más datos de un vendedor, quería saber si había un montón de estafas como "príncipes nigerianos" o vendedores de tarjetas de regalo fraudulentas. En resumen, necesitaba evaluar de alguna manera la escala de lo que estaba sucediendo.



Entonces, se me ocurren un montón de preguntas para descubrir quiénes son estos ladrones. Para ser claros, eBay está lleno de ladrones. Solo quería encontrar esto. Entonces, ¿los estafadores tienen otras cuentas, puedo encontrarlas? ¿Qué tan rápido se agotan estas cuentas? Y la pregunta principal es: ¿puedo hacer que cometan el mismo error dos veces? Como, "¿enviarme aún más cosas gratis?"

Utilizando la herramienta de búsqueda de subastas de eBay y la cuenta inicial como plantilla, traté de encontrar otra cuenta recién creada con cero calificaciones de ventas de Nespresso. Entonces, necesitaba 3 cosas: que vendieran Nespresso, que tuvieran una calificación cero, y que la cuenta se creara relativamente recientemente.

Pensé que los estafadores no intentarían hacer que cada uno de sus anuncios sea único, sino que preferirían descripciones de plantillas y las mismas imágenes para varias cuentas de vendedores. Además, si estos "triángulos" son lo suficientemente frágiles y se "chamuscan" rápidamente, tendré que buscar tales anuncios todos los días.

Como eBay le permite automatizar las búsquedas, configuré mi propia plantilla para comprar 200 cápsulas Nespresso por $ 99. La tercera condición configuré las cafeteras, pero tres parámetros crean un dudoso conjunto de datos, por lo que me quedé solo para buscar cápsulas. Recibí un informe de los resultados de búsqueda por correo electrónico, y tuve que revisar hasta 100 cartas cada día. Al principio fue un poco complicado: tomó tiempo encontrar mucho que coincidiera exactamente con mis criterios de selección. Muchas personas venden el café, pero 200 cápsulas Nespresso a un precio de $ 99 de un vendedor con una calificación cero y una cuenta nueva es un artículo raro.

Si miras esta diapositiva, verás estrellas en la parte superior. Por lo tanto, esta no es la calificación del vendedor, como podría pensar, sino las opiniones de las personas sobre este producto. Pero al ver tales estrellas, los compradores se sienten más tranquilos, imaginando que esta es la calificación del vendedor. De hecho, para las cuentas nuevas, la calificación se escribe en letra pequeña en la parte inferior del anuncio. Para verlo, así como para averiguar la fecha en que se creó la cuenta, debe hacer clic en un botón separado, lo que lleva tiempo.

La buena noticia es que el sitio web de eBay me ayuda a buscar, incluso si mis clics no lograron los resultados deseados, él me miró y colocó una selección de anuncios en la parte inferior de la página: "Recogimos un producto similar para usted, tal vez le interese ". Como resultado, pronto descubrí las cuentas que me interesan y, como investigador real, creé una hoja de cálculo para rastrear cada cuenta única con la fecha de su creación, los cambios temporales de calificación, la cantidad de lotes vendidos y la cantidad de ventas.
Después de eso, seleccioné 2 cuentas creadas una después de la otra dentro de 6 días, e hice 2 compras separadas para averiguar si me enviarían productos adicionales no previstos por el pedido.



Como resultado, después de una semana recibí 200 cápsulas de café más 200 cápsulas más, y después de otros 6 días, 200 cápsulas de café y un vaporizador de leche completamente nuevo para capuchino por $ 119. Este fue un regalo muy útil, porque soy una persona capuchina, me encanta cuando el café tiene espuma. En general, cambié de café regular a capuchino, pero lo más importante, me di cuenta de que encontré estos estafadores. En sus anuncios, utilizaron las mismas imágenes y las mismas descripciones de productos. Y luego entablé correspondencia con ellos. Les escribí tonterías sobre los productos, pregunté sobre diferentes productos de café, diferentes tipos de café, a veces solo enviaba saludos. Pero nunca me respondieron.

También miré la página de fraude de eBay para tratar de contarles sobre estas cuentas porque me di cuenta de que esto no era justo, no debería involucrarme, ¿verdad? Pero resultó que el comprador no puede denunciar el fraude en el sitio web de eBay si realmente recibió los productos. Hay un formulario de queja "No recibí los productos pedidos" o "Recibí los productos dañados", pero no hay nada como "Recibí productos en exceso y quiero denunciarlo". Así que dejé la idea de quejarme a eBay sobre estos estafadores.

Entonces, continué mi investigación, encontré 2 cuentas más similares e hice 2 pedidos más. Volví a tomar más de 200 cápsulas de café y sucedió algo interesante: un estafador me escribió una carta.



"¡Hola amigo! En primer lugar, gracias por elegir mi producto para comprar. En segundo lugar, pido disculpas por el hecho de que el producto no está en las mejores condiciones, y no pude enviárselo, porque trato de vender siempre solo cosas excelentes. Mi madre está en el hospital, pero pronto trataré de encontrar otro producto en buenas condiciones para enviárselo. Necesito ir al hospital para estar con mi madre, así que espero que ingrese a mi posición y me permita cancelar el pedido. ¡Gracias y que Dios te bendiga! "

Qué chico tan lindo, ¿verdad? Él canceló el pedido y me devolvieron mi dinero. Su cuenta fue cerrada una semana después. Era un estafador muy delicado, y quiero creer que todo está bien con su madre. Probablemente lo asusté con mi deseo de recibir regularmente mucho café adicional gratis.

Luego, pasé varias horas buscando una herramienta. Mi imaginación exuberante sugirió que tal vez alguien había creado algo en inglés que podría llamarse adivinador: un "generador de errores gramaticales", algo así como una versión de mierda del Traductor de Google, que distorsionaba específicamente la traducción a un idioma extranjero. Resultó que dicha herramienta no existe, por lo que la tarea para usted es desarrollar algo similar.

Comencé a preguntarles a amigos que hablaban otros idiomas si habían encontrado algo similar, a algunos mis preguntas parecían racistas, así que dejé de buscar. El hecho es que me di cuenta de que los estafadores tratarán de retratar un conocimiento deficiente del idioma para sacarte del camino colocando especialmente anuncios analfabetos en inglés, y debería encontrarlos.

De una forma u otra, mi negocio del café se salió de control y mi conciencia lo roe. Mi cocina es un completo desastre, así que es hora de detener este juego. No necesitaba tanto café, de hecho, solo pagué cien dólares para recopilar información sobre la cuenta del vendedor. Cada vez que pagaba este dinero, quería aprender lo más posible sobre estas personas.



Sin embargo, no soy lo suficientemente rico como para realizar constantemente una investigación tan costosa. Aquí está el resultado de mi trabajo, tabulado.



Solo 5 compras, 1 reembolso, el número total de cápsulas recibidas para la máquina de café: 1200 piezas, 1 espumador de leche, 1 máquina de café compacta. Mis gastos ascendieron a 391.9 dólares, el costo total de los bienes que recibí fue de aproximadamente 939 dólares. En octubre, tomé toda la información que reuní, las facturas, la información de la cuenta y, junto con los documentos impresos que tenía, la envié al FBI. Me preguntaba si intentarían hacer algo al respecto. También envié los resultados de mi investigación a eBay y a todos los interesados. Todavía no he recibido una respuesta del FBI, pero después de 30 días, la actividad de los estafadores de café parecía haber quedado en nada. Tal vez algo sucedió. No pude descubrir quiénes eran estas personas. Tenía muchas ganas de revelar una comunidad criminal genial,algo así como ladrones de tarjetas de crédito de Marruecos o algo así, pero eso no sucedió. Pero esta no es una historia heroica, ¿verdad? Esta es mi confesión.

Eso es todo lo que aprendí sobre el triángulo fraudulento en eBay. Cuando comencé a contarle a la gente esta historia, comencé a explicar cómo funciona, a menudo me dijeron que era un crimen sin víctimas. Sin embargo, valió la pena considerarlo, y comprende que esto no es cierto, no hay crímenes sin víctimas. Aprendí muy poco sobre George de Pokeepsy, así como sobre otros vendedores, pero descubrí que todos ellos eran pensionistas o estaban en edad previa a la jubilación. Esta es una población bastante vulnerable. Y actúan como víctimas que no pueden mitigar el daño causado por ellas, la mayoría de ellas ni siquiera saben lo que está sucediendo en su nombre. Las personas que han robado tarjetas de crédito cuando descubren deducciones ilegales de dinero comienzan a apelar contra ellas. Y los extremos en esta cadena no son las empresas manufactureras, sino vendedores, personas mayores,del cual se puede cobrar el dinero robado por un estafador.

Como nación, no hemos progresado lo suficiente en la protección de estas personas. Para las empresas o los grandes minoristas, este tipo de fraude no causa tanto daño como las personas mayores. Lo triste es que cualquiera puede convertirse fácilmente en cómplice de tales esquemas. Se debe establecer un cierto límite de descuentos para estimular al comprador, por debajo del cual comienza el fraude. Esta es una verdadera mina de oro para delincuentes. Pero a eBay no le importa, a Nespresso tampoco le importa, porque cuando compra productos a precios de ganga, usted continúa comprando, y ellos continúan recibiendo su porcentaje o aumentan las ventas.



Se le recomienda participar en esquemas fraudulentos, porque todos están encantados con tales descuentos y artículos de regalo. Sin embargo, en realidad, todo esto se vende a un precio de mercado, y los grandes vendedores están protegidos contra pérdidas por el seguro, que también cubre daños por fraude con tarjetas de crédito robadas. No tendrán nada que hacer si logran girar las flechas hacia el que les compró los productos con el fin de revenderlos más adelante, en este caso, John de Pokeepsi, o sobre aquel a quien se robaron los datos de la tarjeta de crédito.
De hecho, la única persona que puede detener esto es usted o yo. Y me detuve. No voy a hacer esto más. No es normal Todo lo que me queda es mi reconocimiento y la promesa de dejar de comprar productos súper baratos. Y todavía tengo mucho café. Quizás pueda hacer algo más: poner a subasta esta maravillosa cafetera Nespresso cuidadosamente usada.



Pujar, por cierto, es una idea terrible. Comenzarán tan pronto como coloque un anuncio en mi cuenta de Twitter. Simplemente vaya al sitio y haga su apuesta. Solo se acepta efectivo. El resultado de la licitación se anunciará mañana a las 10 a.m., y el ganador podrá venir al campus de Tamper Evident y recoger su cafetera. No seas tonto y no intentes hacer la oferta máxima para que no vengas más tarde. Todo lo recaudado se destinará a la implementación de la iniciativa Diana. Prometo que haré un seguimiento de todas estas transacciones para garantizar una transparencia absoluta.

Si nadie quiere participar, bueno, esto es DefCon, donde sucede cualquier cosa. En la última diapositiva, ves mi cuenta real de Twitter, así que escribe, ¡muchas gracias!

La subasta comienza con una oferta de $ 1, así que iré y colocaré este anuncio ahora mismo. Gracias de nuevo chicos, ¡son geniales!




Un poco de publicidad :)


Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más materiales interesantes? Apóyenos haciendo un pedido o recomendando a sus amigos, VPS en la nube para desarrolladores desde $ 4.99 , un análogo único de servidores de nivel básico que inventamos para usted: toda la verdad sobre VPS (KVM) E5-2697 v3 (6 núcleos) 10GB DDR4 480GB SSD 1Gbps desde $ 19 o cómo dividir el servidor? (las opciones están disponibles con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).

Dell R730xd 2 veces más barato en el centro de datos Equinix Tier IV en Amsterdam? ¡Solo tenemos 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV desde $ 199 en los Países Bajos!Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $ 99! Lea sobre Cómo construir un edificio de infraestructura. clase c con servidores Dell R730xd E5-2650 v4 que cuestan 9,000 euros por un centavo?

More articles:


All Articles