Get best of the week

Conférence DEFCON 27. Reconnaissance des escroqueries sur Internet

Notes d'information:

Actuellement, Nina Collars, également connue sous le nom de Kitty Hegemon, écrit un livre sur les contributions des pirates à la sécurité nationale. Elle est politologue engagée dans la recherche sur l'adaptation technologique des utilisateurs à divers dispositifs cybernétiques. Collars est professeur au Département des études stratégiques et opérationnelles du Naval College et a travaillé à la Division de la recherche fédérale de la Bibliothèque du Congrès américain, au Département des études afro-américaines de l'Université Harvard, à la Banque mondiale, à l'usine anti-éblouissement, et la nuit en tant que volontaire BSides. En tant que passe-temps, elle a dirigé le groupe DC Cigars, Scotch et Strategy et est toujours une spécialiste certifiée du bourbon.



Salut, je suis Kitty, mais au travail, les gens m'appellent souvent Nina. Avant de commencer ma présentation, je dirai que l'opinion exprimée ici ne coïncide pas nécessairement avec celle de la Marine, du ministère de la Défense ou du gouvernement américain. Je dois dire cela parce que je suis techniquement un employé fédéral, car je travaille comme professeur au Naval College au Département de recherche stratégique et opérationnelle. Cela signifie que j'étudie les dernières technologies et comment elles affectent les opérations militaires et la défense, qui comprendra des éléments de cybernétique. C'est l'une des raisons pour lesquelles je regarde la communauté DefCon. Cependant, ce dont je vais parler aujourd'hui n'a rien à voir avec l'industrie militaire.

Donc, en août dernier, j'ai acheté une machine à café Nespresso d'occasion, et je voulais venir ici et raconter ce qui s'est passé par la suite. Comme vous le savez, les machines à café et les capsules sont achetées principalement en ligne. Il existe plusieurs boutiques Nespresso à travers le pays, mais en général, vous pouvez acheter votre café pour les machines Nespresso directement sur le site Web de l'entreprise. Ayant acheté une voiture d'occasion, j'ai réalisé que les capsules de café sur le site Nespresso sont assez chères et j'ai décidé de chercher un vendeur moins cher.



Il s'est avéré que lors d'une vente aux enchères sur eBay, vous pouvez acheter du café beaucoup moins cher - le prix des capsules était environ la moitié de ce que je devrais payer lorsque j'achetais directement chez Nespresso. Le seul inconvénient était que vous deviez acheter au moins 200 capsules à la fois, mais comme je bois beaucoup de café, cela ne m'a pas trop dérangé et j'ai fait mon pari sur un lot de capsules. À la fin de l'enchère, j'ai vu que j'avais gagné et payé l'achat via PayPal.
Environ une semaine plus tard, les marchandises m'ont été livrées. Imaginez ma surprise quand, avec des boîtes de café, ils m'ont livré une boîte avec une toute nouvelle machine à café. C'était le modèle compact le plus populaire d'une machine à café Nespresso Pixie pour 280 $, qui utilise de petites «tablettes» de café au prix de 70 cents pièce.

Je pensais que je m'étais simplement trompé en passant la commande et je suis retourné sur eBay pour vérifier si j'avais appuyé sur quelque chose de plus et si j'avais accidentellement acheté cette chose. Cependant, je n'ai rien trouvé de tel.

Puis j'ai regardé les étiquettes sur les boîtes et j'ai vu que les capsules et la machine à café provenaient du même expéditeur, et le plus étrange était que l'expéditeur était Nespresso lui-même. Cependant, je n'ai pas commandé la marchandise au fabricant, mais à un tiers!



Je suis retourné à nouveau sur eBay pour examiner les détails de la transaction et les comparer avec la facture, et j'ai découvert que le nom du vendeur sur eBay, appelons-la Sue de Chicago, ne ressemble pas au nom de l'expéditeur sur le compte Nespresso, appelons-le George de Pokeepsi. De plus, Sue de Chicago avait une cote de vendeur nulle et elle a créé son compte quelques semaines avant la commande. La seule chose qu'elle vendait était du café Nespresso.

Je pensais que cela ressemblait à une arnaque, alors j'ai décidé de régler le problème et j'ai appelé Nespresso. Très réticent, car je suis un peu gourmand et ne me dérangerait pas de laisser cette machine à café pour moi. J'ai expliqué au service client que je n'avais pas commandé la voiture, mais que je n'avais commandé que des capsules et que je ne les avais pas achetées auprès de Nespresso, mais auprès d'un vendeur tiers sur eBay. Ils m'ont confirmé que l'argent pour les deux articles de ma commande avait été retiré de la carte de crédit de George Pokeepsi.

J'ai pensé qu'il valait la peine d'appeler ce George, qui m'a envoyé un cadeau si merveilleux pour clarifier la situation, mais le service client a refusé de me donner son numéro de téléphone. J'ai continué à soupçonner une sorte de fraude ici, mais je n'avais aucun moyen de comprendre qui gagnait quoi dans cette situation. J'ai donc dit à Nespresso: "Veuillez m'envoyer une étiquette de retour prépayée par courrier, et dès que je la recevrai, je vous renverrai volontiers ma machine à café." Pour ma part, c'était une astuce, car tout le monde sait à quel point les fabricants sont réticents à prendre leurs marchandises.

La fille du service client a noté mes coordonnées, les a envoyées au service anti-fraude et m'a dit de surveiller mon courrier. Si l'entreprise souhaite retourner la machine à café envoyée par erreur, ce service m'enverra une étiquette prépayée afin que je n'aie pas à payer mon argent pour l'envoi du colis.

Comme vous pouvez le voir, un an plus tard, j'ai toujours une machine à café. Mais ma conscience est calme - j'ai signalé une fraude et j'ai laissé cette voiture pour moi. Cependant, je ne pouvais pas comprendre ce qui s'était réellement passé, et cela me dérangeait constamment.

J'ai donc cherché un peu sur Google et trouvé dans la section sécurité du site eBay un schéma de la fraude dite de triangulation, ou «triangle frauduleux». Il est ainsi nommé car il implique trois parties. Ce schéma a aidé à comprendre ce qui pouvait arriver spécifiquement dans mon cas.



L'intérêt de cette fraude est d'encaisser une carte de crédit en utilisant la connexion entre l'entreprise et le dernier élément du système - la mule, comme on l'appelle communément. C'est la personne qui convertit l'argent.

Trois participants à ce programme:

  • un client sans méfiance qui passe une commande à une enchère ou sur un marché électronique en utilisant toute forme de crédit, de débit ou d'appel d'offres PayPal;
  • -, , - , ;
  • , .

Le plus souvent, un fraudeur utilise un vendeur «à domicile» légitime dans son stratagème. Un tel vendeur peut même ne pas supposer qu'il fait partie d'un réseau frauduleux, et certains de ces vendeurs ont un historique de vente solide. Les escrocs placent souvent des annonces d'emploi. vendeur à vendre leurs marchandises à un certain pourcentage, généralement 30%, et de nombreux vendeurs acceptent un tel



travail.L'employeur est le véritable criminel qui a volé des informations de carte de crédit.Il fournit au vendeur une liste de "ses" marchandises à vendre, y compris une description complète des produits .

Le vendeur place la marchandise sur son compte sur la plateforme de trading électronique. Les clients légaux achètent des marchandises et le vendeur envoie des informations sur la commande à son employeur.

L'employeur passe la même commande sur un site internet légal, la paie avec une carte de crédit volée et transmet le tracker produit au vendeur.

Le vendeur passe le tracker au client. Une commande frauduleuse est désormais envoyée au client à partir du site Web légal du fabricant de la marchandise.

Un client qui a reçu de façon inattendue un produit volé et une entreprise de fabrication légale sont victimes. Si une fraude est découverte, le site Web légitime émettra une rétrofacturation ou perdra les fonds reçus pour payer la commande. Ce site peut contacter le client pour retourner les biens volés, ou le client lui-même le déclarera, comme cela s'est produit dans mon cas. L'acheteur peut également déposer une plainte pour fraude auprès de sa banque contre le vendeur.
Cependant, il y a une autre victime - c'est la personne qui a volé la carte de crédit. Il ne sait rien de l'affaire jusqu'à ce qu'il reçoive un relevé de carte de crédit. Naturellement, il tentera de contester l'achat, et cela conduit parfois à un remboursement du site internet légal.

En règle générale, le fraudeur représente une grande entreprise, en l'occurrence Nespresso, et y ouvre un compte. Ces entreprises ont un système de livraison rationalisé et un système de compte simple qui ne contient pas de contrôles de sécurité complexes. Ensuite, le fraudeur, s'il travaille seul et est à la fois un employeur et un vendeur, crée son compte eBay, un faux profil et commence à vendre des choses à très bon marché. À la fin de l'enchère, un acheteur sans méfiance envoie son argent sur eBay et devient une mule - grâce à un acheteur honnête, le fraudeur obtient l'argent dont il a besoin.



Cependant, il convient de rappeler que le fraudeur vend des biens qu'il ne possède pas réellement. Et le processus d'achat sur eBay ne sera pas terminé tant que la facture de livraison n'aura pas été fermée. Cela signifie que le fraudeur utilise une carte de crédit pour acheter des marchandises directement auprès du fabricant, puis le triangle se ferme. Une notification de livraison est générée sur le site, et tout le monde est content. Un fraudeur prend de l'argent à la vente de marchandises, paie une commission eBay et paie pour des articles supplémentaires, dans mon cas, c'est une capsule pour une machine à café. Il s'agit d'un triangle transparent, et l'acheteur n'a aucune idée qu'il est un «mulet», tout ce qu'il sait, c'est qu'il a reçu son produit à un prix d'aubaine. L'incitation à continuer la fraude est que tout le monde reste silencieux. Bien sûr, si l'acheteur n'est pas moi qui ai reçu la machine à expresso que je n'ai pas commandée,et qui voulait vraiment savoir pourquoi c'est arrivé.
J'ai eu 2 versions de ce qui s'est passé. Le premier est une erreur du service de traitement des commandes lorsque quelqu'un a copié par erreur une ligne supplémentaire à partir d'une feuille de calcul Excel sur le site Web du fabricant et m'a accidentellement envoyé une cafetière supplémentaire. Le deuxième - les escrocs voulaient juste acheter mon amour! Peut-être que ce triangle frauduleux est une chose si fragile, et tous ces comptes et ces «fausses» cartes de crédit sont des choses si délicates que le fraudeur a essayé de me rendre si heureux que je ne doutais de rien et continuais d'acheter ses biens.

Donc, la meilleure étape après avoir reçu une machine à café Nespresso gratuite était de commencer votre propre enquête en achetant plus de café! Je sais, vous pensez que je suis une personne terrible, mais ... premièrement, pour une raison quelconque, j'ai toujours appelé mon discours "confessions", et deuxièmement, j'ai simplement supposé que c'était une fraude, mais je n'y étais pas sûr. Je ne sais pas quelle est la taille de cette opération, j'ai donc besoin de plus de données.

En particulier, je n'avais pas seulement besoin de plus de données d'un vendeur, je voulais savoir s'il y avait tout un tas d'escroqueries comme les «princes nigérians» ou les vendeurs de cartes-cadeaux frauduleuses. En bref, je devais en quelque sorte évaluer l'ampleur de ce qui se passait.



Donc, je viens avec un tas de questions pour savoir qui sont ces voleurs. Pour être clair, eBay est plein de voleurs. Je voulais juste les trouver. Alors, les escrocs ont-ils d'autres comptes, puis-je les trouver? À quelle vitesse ces comptes s'éteignent-ils? Et la question principale est - puis-je leur faire faire deux fois la même erreur? Comme, "envoyez-moi encore plus de trucs gratuits?"

En utilisant l'outil de recherche d'enchères eBay et le compte initial comme modèle, j'ai essayé de trouver un autre compte nouvellement créé avec zéro note de vente Nespresso. Donc, j'avais besoin de 3 choses: pour qu'ils vendent Nespresso, pour qu'ils aient un taux zéro, et pour que le compte soit créé relativement récemment.

Je pensais que les fraudeurs n'essaieraient pas de rendre chacune de leurs annonces unique, mais préféreraient des descriptions de modèle et les mêmes images pour plusieurs comptes de vendeur. De plus, si ces "triangles" sont assez fragiles et "brûlent" rapidement, je devrai chercher de telles publicités tous les jours.

Comme eBay vous permet d'automatiser les recherches, j'ai défini mon propre modèle pour acheter 200 capsules Nespresso pour 99 $. La troisième condition, j'ai réglé les machines à café, mais trois paramètres créent un pool de données douteux, donc je ne suis resté que pour rechercher des capsules. J'ai reçu un rapport des résultats de la recherche par e-mail et j'ai dû vérifier jusqu'à 100 lettres par jour. Au début, c'était un peu compliqué - il a fallu du temps pour en trouver un qui correspondait exactement à mes critères de sélection. Le café est vendu par beaucoup de gens, mais 200 capsules Nespresso au prix de 99 $ d'un vendeur avec un taux zéro et un compte frais est un article assez rare.

Si vous regardez cette diapositive, vous verrez des étoiles en haut. Donc, ce n'est pas la note du vendeur, comme vous pourriez le penser, mais les avis des gens sur ce produit. Mais en voyant de telles étoiles, les acheteurs se sentent plus calmes, imaginant que c'est la note du vendeur. En fait, pour les nouveaux comptes, la note est écrite en petits caractères tout en bas de l'annonce. Pour le consulter, ainsi que pour connaître la date de création du compte, vous devez cliquer sur un bouton distinct, ce qui prend du temps.

La bonne nouvelle est que le site eBay m'aide dans mes recherches - même si mes clics n'ont pas abouti aux résultats escomptés, il m'a regardé et a placé une sélection d'annonces en bas de la page: «nous avons choisi un produit similaire pour vous, peut-être qu'il vous intéressera ". Du coup, j'ai vite découvert les comptes qui m'intéressent, et en tant que véritable chercheur, j'ai créé un tableur pour suivre chaque compte unique avec la date de sa création, les changements de notes temporaires, le nombre de lots vendus et le montant des ventes.
Après cela, j'ai sélectionné 2 comptes créés l'un après l'autre dans les 6 jours, et fait 2 achats séparés pour savoir s'ils m'enverraient des marchandises supplémentaires non prévues par la commande.



En conséquence, après une semaine, j'ai reçu 200 capsules de café plus 200 capsules supplémentaires, et après 6 jours supplémentaires - 200 capsules de café et un mousseur à lait complètement nouveau pour le cappuccino pour 119 $. C'était un cadeau très utile, car je suis un cappuccino, j'aime quand le café a de la mousse. En général, je suis passé du café ordinaire au cappuccino, mais plus important encore, j'ai réalisé que j'avais trouvé ces escrocs. Dans leurs annonces, ils ont utilisé les mêmes images et les mêmes descriptions de produits. Et puis je suis entré en correspondance avec eux. Je leur ai écrit toutes des bêtises sur les marchandises, posé des questions sur différents produits de café, différents types de café, parfois je viens d'envoyer des salutations. Mais ils ne m'ont jamais répondu.

J'ai également regardé la page sur la fraude d'eBay pour essayer de leur parler de ces comptes car j'ai réalisé que ce n'était pas juste, je ne devrais pas être impliqué, non? Mais il s'est avéré que l'acheteur ne peut pas signaler de fraude sur le site eBay s'il a réellement reçu la marchandise. Il y a un formulaire de réclamation «Je n'ai pas reçu la marchandise commandée» ou «J'ai reçu une marchandise endommagée», mais rien de tel que «J'ai reçu un excédent de produit et je veux le signaler». J'ai donc abandonné l'idée de me plaindre à eBay de ces escrocs.

J'ai donc poursuivi mon enquête, trouvé 2 comptes similaires et passé 2 commandes supplémentaires. J'ai encore reçu 200 + 200 capsules de café, et quelque chose d'intéressant s'est produit - un escroc m'a écrit une lettre.



"Salut l'ami! Tout d'abord, merci d'avoir choisi mon produit pour l'achat. Deuxièmement, je m'excuse du fait que le produit n'est pas en parfait état, et je n'ai pas pu vous l'envoyer, car j'essaie de ne vendre que des choses excellentes. Ma mère est à l'hôpital, mais j'essaierai bientôt de trouver un autre produit en bon état pour vous l'envoyer. Je dois aller à l'hôpital pour être avec ma mère, alors j'espère que vous entrez dans ma position et me permettez d'annuler la commande. Merci et que Dieu te bénisse! "

Quel mec mignon, non? Il a annulé la commande et mon argent m'a été rendu. Son compte a été fermé une semaine plus tard. C'était un escroc très délicat, et je veux croire que tout va bien avec sa maman. Je l'ai probablement effrayé par mon désir de recevoir régulièrement des quantités supplémentaires de café gratuitement.

Ensuite, j'ai passé plusieurs heures à chercher un outil. Mon imagination exubérante a suggéré que peut-être quelqu'un avait créé quelque chose en anglais qui pourrait être appelé devineur - un "générateur d'erreur de grammaire", quelque chose comme une version merdique de Google Translate, qui déformait spécifiquement la traduction dans une langue étrangère. Il s'est avéré qu'un tel outil n'existe pas, donc la tâche pour vous est de développer quelque chose de similaire!

J'ai commencé à demander à des amis qui parlaient d'autres langues s'ils avaient rencontré quelque chose de similaire, certaines de mes questions semblaient racistes, alors j'ai arrêté de chercher. Le fait est que j'ai réalisé que les escrocs essaieraient de dépeindre une mauvaise connaissance de la langue afin de vous mettre hors de la piste en plaçant spécialement des publicités analphabètes en anglais, et je devrais les trouver.

D'une manière ou d'une autre, mon entreprise de café est devenue incontrôlable et ma conscience ronge. Ma cuisine est un désastre complet, il est donc temps d'arrêter ce jeu. Je n'avais pas besoin de tant de café, en fait je viens de payer une centaine de dollars pour collecter des informations sur le compte du vendeur. Chaque fois que je payais cet argent, je voulais en savoir le plus possible sur ces gens.



Cependant, je ne suis pas assez riche pour mener constamment des recherches aussi coûteuses. Voici le résultat de mon travail, tabulé.



Seulement 5 achats, 1 remboursement, le nombre total de capsules reçues pour la machine à café - 1200 pièces, 1 mousseur à lait, 1 machine à café compacte. Mes dépenses se sont élevées à 391,9 dollars, le coût total des marchandises que j'ai reçues était d'environ 939 dollars. En octobre, j'ai pris toutes les informations que j'ai collectées, les factures, les informations de compte et, avec les documents imprimés que j'avais, je les ai envoyées au FBI. Je me demandais s'ils essaieraient de faire quelque chose. J'ai également envoyé les résultats de mon enquête à eBay et à tous ceux qui étaient intéressés. Je n'ai toujours pas reçu de réponse du FBI, mais au bout de 30 jours, l'activité des escrocs du café semblait avoir échoué. Peut-être que quelque chose s'est produit. Je n'ai pas pu découvrir qui étaient ces personnes. Je voulais vraiment révéler une communauté criminelle cool,quelque chose comme des voleurs de cartes de crédit du Maroc ou quelque chose comme ça, mais cela ne s'est pas produit. Mais ce n'est pas une histoire héroïque, non? Ceci est ma confession.

C'est tout ce que j'ai appris sur le triangle frauduleux sur eBay. Quand j'ai commencé à raconter cette histoire aux gens, j'ai commencé à expliquer comment ça marche, ils m'ont souvent dit que c'était un crime sans victime. Cependant, cela valait la peine d'être considéré, et vous comprenez que ce n'est pas vrai, il n'y a pas de crimes sans victimes. J'ai très peu appris sur George de Pokeepsy, ainsi que sur d'autres vendeurs, mais j'ai découvert que tous étaient des retraités ou étaient en âge de préretraite. Il s'agit d'une population assez vulnérable. Et ils agissent comme des victimes qui ne sont pas en mesure d'atténuer les dommages causés par eux, la plupart d'entre eux ne savent même pas ce qui se passe en leur nom. Les gens qui ont volé des cartes de crédit lorsqu'ils découvrent des déductions illégales d'argent commencent à faire appel contre eux. Et les extrêmes de cette chaîne ne sont pas des entreprises manufacturières, mais des vendeurs, des personnes âgées,à partir de laquelle l'argent volé par un fraudeur peut être collecté.

En tant que nation, nous n'avons pas suffisamment progressé dans la protection de ces personnes. Pour les entreprises ou les grands détaillants, ce type de fraude ne fait pas autant de dégâts que les seniors. Ce qui est triste, c'est que n'importe qui peut facilement devenir complice de tels projets. Une certaine limite de rabais doit être fixée pour stimuler l'acheteur, en dessous de laquelle la fraude commence. Ceci est une véritable mine d'or pour les escrocs. Mais eBay s'en fiche, Nespresso ne s'en soucie pas non plus, car lorsque vous achetez des produits à des prix défiant toute concurrence, vous continuez à acheter, et ils continuent de recevoir leur pourcentage ou d'augmenter leurs ventes.



Vous êtes encouragés à participer à des stratagèmes frauduleux, car tout le monde est ravi de ces remises et articles-cadeaux. Cependant, en réalité, tout cela est vendu au prix du marché, et les grands vendeurs sont protégés contre les pertes par une assurance, qui couvre également les dommages causés par la fraude avec les cartes de crédit volées. Ils n'auront rien à faire s'ils parviennent à tourner les flèches sur celui qui leur a acheté les marchandises en vue de leur revente - dans ce cas, John de Pokeepsi, ou sur celui à qui les détails de la carte de crédit ont été volés
En fait, la seule personne qui peut arrêter cela, c'est vous ou moi. Et je me suis arrêté. Je ne ferai plus ça. Ce n'est pas normal. Tout ce qu'il me reste, c'est ma reconnaissance et la promesse de cesser d'acheter des produits super bon marché. Et j'ai encore beaucoup de café. Je peux peut-être faire encore une bonne chose - mettre aux enchères cette merveilleuse machine à café Nespresso soigneusement utilisée.



Soit dit en passant, est une idée terrible. Ils commenceront dès que je placerai une annonce sur mon compte Twitter. Rendez-vous simplement sur le site et placez votre pari. Seules les espèces sont acceptées. Le résultat de l'appel d'offres sera annoncé demain à 10 heures, et le gagnant pourra venir sur le campus Tamper Evident et récupérer sa machine à café. Ne soyez pas stupide et n'essayez pas de faire l'enchère maximum pour ne pas venir plus tard. Tous les profits iront à la mise en œuvre de l'initiative Diana. Je promets de suivre toutes ces transactions pour assurer une transparence absolue.

Si personne ne veut participer, eh bien, c'est DefCon, où tout se passe. Sur la dernière diapositive, vous voyez mon vrai compte Twitter, alors écrivez, merci beaucoup!

L'enchère commence avec une enchère de 1 $. Je vais donc placer cette annonce dès maintenant. Merci encore les gars, vous êtes génial!




Un peu de publicité :)


Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en recommandant à vos amis, le cloud VPS pour les développeurs à partir de 4,99 $ , un analogue unique de serveurs d'entrée de gamme que nous avons inventé pour vous: Toute la vérité sur VPS (KVM) E5-2697 v3 (6 cœurs) 10 Go DDR4 480 Go SSD 1 Gbit / s à partir de 19 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).

Dell R730xd 2 fois moins cher au centre de données Equinix Tier IV à Amsterdam? Nous avons seulement 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV à partir de 199 $ aux Pays-Bas!Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99 $! En savoir plus sur la création d'un bâtiment d'infrastructure. classe c utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?

More articles:


All Articles