Get best of the week

DEFCON会议27.互联网欺诈识别

简报:

目前,Nina Collars(也称为Kitty Hegemon)正在写一本关于黑客对国家安全的贡献的书。她是一位政治科学家,致力于研究用户对各种控制论设备的技术适应性。 Collars是海军学院战略与运筹学系的教授,曾在美国国会图书馆的联邦研究部,哈佛大学的非裔美国人研究部,世界银行,反眩光厂工作,晚上则是BSides志愿者。作为业余爱好,她曾经领导DC雪茄,苏格兰威士忌和策略小组,现在仍然是经过认证的波旁威士忌专家。



嗨,我是Kitty,但在工作中人们经常称呼我Nina。在我开始演讲之前,我会说这里表达的观点不一定与海军,国防部或美国政府的观点相符。我之所以这么说是因为我在技术和战略研究部的海军学院担任教授时,从技术上讲我是联邦雇员。这意味着我正在研究最新技术以及它们如何影响军事行动和国防,其中将包括控制论要素。这就是我观看DefCon社区的原因之一。但是,我今天要谈论的与军事工业无关。

因此,去年八月,我买了台二手Nespresso咖啡机,我想来这里告诉一下发生了什么事。如您所知,咖啡机和胶囊主要在网上购买。全国各地都有数家Nespresso精品店,但总的来说,您可以直接在公司的网站上为Nespresso机器购买咖啡。买了一辆二手车后,我意识到Nespresso网站上的咖啡胶囊非常昂贵,因此决定寻找便宜的卖家。



事实证明,在eBay拍卖中,您可以买到便宜得多的咖啡-胶囊的价格大约是我直接从Nespresso购买时所要支付的价格的一半。唯一的不便之处是您必须一次购买至少200粒胶囊,但是由于我喝了很多咖啡,所以这丝毫不会打扰我,所以我下注了一批胶囊。拍卖结束时,我看到我赢了,并通过贝宝(PayPal)购买了商品。
大约一周后,货物被交付给我。想象一下,当我与一箱咖啡一起为我提供一台装有全新咖啡机的盒子时,我感到惊讶。它是Nespresso Pixie咖啡机最受欢迎的紧凑型机型,价格为280美元,它使用小的“平板”咖啡,每杯价格为70美分。

我以为我只是在下订单时被误认为是错误的,然后返回eBay来检查我是否在那儿按了一些额外的东西,以及是否不小心买了这东西。但是,我没有找到类似的东西。

然后我看了看包装盒上的贴纸,发现胶囊和咖啡机都来自同一发送者,最奇怪的是发送者是Nespresso本身。但是,我不是从制造商那里订购商品,而是从第三方订购!



我再次回到eBay查看交易细节并将其与发票进行比较,发现卖方在eBay上的名字(我们叫她来自芝加哥的Sue)看起来与Nespresso帐户中发件人的名字不一样,而让我们称他为Pokeepsi的George。此外,来自芝加哥的Sue的卖家评分为零,她在下订单前几周就创建了自己的帐户。她唯一卖的是Nespresso咖啡。

我以为这看起来像是骗局,所以我决定处理这个问题,并称为Nespresso。非常不情愿,因为我有点贪婪,不介意将咖啡机留给自己。我向客户支持部门解释说,我没有订购汽车,而是只订购了胶囊,不是从Nespresso而是从eBay上的第三方卖家那里购买的。他们向我证实,我所订购的两笔款项实际上已从乔治·波基普西的信用卡中提取。

我以为应该给这位乔治打电话,他给了我如此美妙的礼物,以澄清情况,但是客服拒绝给我他的电话号码。我继续怀疑这里存在某种欺诈行为,但是我无法理解谁在这种情况下赢得了什么。因此,我告诉Nespresso:“请通过邮寄给我预付的退货标签,一旦收到,我将很高兴将您的咖啡机寄回给您。”就我而言,这是一个把戏,因为每个人都知道制造商不愿拿货。

该客户服务员写下了我的详细信息,将其发送给反欺诈部门,并告诉我监视我的邮件。如果公司想退回错误寄出的咖啡机,该部门将寄给我一张预付标签,这样我就不必为寄出包裹付钱。

如您所见,一年后,我仍然有一台咖啡机。但是我的良心很平静-我举报了欺诈行为,然后把这辆车留给了我自己。但是,我不明白真正发生了什么,这一直困扰着我。

因此,我在Google上搜索了一下,然后在eBay网站的安全性部分找到了一种所谓的Triangulation Fraud(“三角欺诈”)方案。之所以命名,是因为它涉及三个方面。该方案有助于了解在我的情况下可能发生的情况。



这种欺诈的全部要点是利用公司与该计划的最后一个要素-ule子(通常称为“ ule子”)之间的联系来兑现信用卡。这是兑换现金的人。

该计划的三名参与者:

  • 毫无戒心的客户,他使用任何形式的信贷,借方或投标PayPal在拍卖或电子市场下订单;
  • -, , - , ;
  • , .

欺诈者通常会在其计划中使用合法的“家庭式”卖方,这样的卖方甚至可能都不认为自己是欺诈网络的一部分,并且其中一些卖方有可靠的销售历史。卖方按一定比例(通常为30%)出售商品,许多卖方都同意这种



工作。雇主是窃取信用卡信息的真正罪犯。他向卖方提供了“他的”待售商品清单,包括商品的完整说明。

卖方将货物放在电子交易平台上的帐户中。合法客户购买商品,卖方将有关订单的信息发送给其雇主。

雇主将相同的订单放在合法的网站上,用被盗的信用卡付款,并将产品跟踪器传递给卖方。

卖方将跟踪器传递给客户。现在,从商品制造商的合法网站向客户发送了欺诈性订单。

意外收到被盗产品的客户和合法的制造公司都是受害者。如果发现欺诈行为,合法网站将发出退款或损失收到的用于支付订单的资金。该站点可以联系客户以退回被盗的货物,或者客户本人将对此声明,就像我的情况一样。买方还可以向其银行向卖方提起欺诈诉讼。
但是,还有另一个受害者-这是偷信用卡的人。在收到信用卡对帐单之前,他对这笔交易一无所知。当然,他会尝试对购买提出质疑,有时这会导致合法网站的退款。

通常,欺诈者代表一家大公司(在本例中为Nespresso),并在那里开设一个帐户。这样的公司具有简化的交付系统和不包含复杂安全检查的简单帐户系统。然后,如果欺诈者单独工作并且既是雇主又是卖方,那么欺诈者会创建他的eBay帐户,伪造的个人资料,并开始非常便宜地出售商品。拍卖结束时,一个毫无戒心的买家将钱寄到eBay并成为a子-多亏了一个诚实的买家,欺诈者才得到了他需要的现金。



但是,值得记住的是,欺诈者出售的是他实际上不拥有的商品。直到发货发票被关闭,在eBay上的购买过程才会完成。这意味着欺诈者进一步使用信用卡直接从制造商那里购买商品,然后三角形关闭。网站上会生成一个传递通知,每个人都很高兴。欺诈者从商品销售中赚钱,向eBay支付佣金,并支付其他物品,在我的情况下,这些是咖啡机的胶囊。这是一个无缝的三角形,并且买方不知道他是“ m子”,他只知道他以低价收到了他的产品。继续欺诈的动机是每个人都保持沉默。当然,如果不是我的买家收到了我未订购的浓缩咖啡机,谁真的想知道为什么会这样。
我有2个版本的情况。首先是订单处理服务出现错误,原因是有人错误地从制造商的网站上的Excel电子表格中复制了多余的一行,然后他们不小心将另一台咖啡机发送给我。第二个-骗子只是想买我的爱!也许这个欺诈性的三角形是如此脆弱,而且所有这些帐户和“假”信用卡都是如此精致,以至于欺诈者试图让我高兴,以至于我毫无疑问并继续购买他的商品。

因此,在收到一台Nespresso免费咖啡机之后,最正确的步骤就是通过购买更多咖啡来开始自己的调查!我知道,您认为我是一个可怕的人,但是...首先,由于某种原因,我仍然称自己的演讲为“供词”,其次,我只是认为这是一种欺诈行为,但我不在其中当然。我不知道此操作有多大,所以我需要更多数据。

特别是,我不仅需要一个卖家提供更多数据,还想知道是否存在诸如“尼日利亚王子”之类的骗局或欺诈性礼品卡卖家。简而言之,我需要以某种方式评估正在发生的事情的规模。



因此,我提出了一系列问题,以找出这些小偷是谁。需要明确的是,eBay到处都是小偷。我只是想找到这些。那么,骗子有没有其他帐户,我可以找到他们吗?这些帐户很快耗尽?主要问题是-我可以让他们两次犯同样的错误吗?例如,“给我发送更多免费的东西?”

我使用eBay拍卖搜索工具和初始帐户作为模板,试图找到另一个新创建的Nespresso销售评级为零的帐户。因此,我需要三件事:让他们出售Nespresso,让他们获得零评级,以及相对较新地创建帐户。

我以为诈骗者不会尝试使每个广告都独一无二,而是会为多个卖方帐户选择模板描述和相同图片。另外,如果这些“三角形”足够脆弱并且很快“灼烧”,我将不得不每天寻找此类广告。

由于eBay允许您自动执行搜索,因此我设置了自己的模板,以99美元的价格购买200粒Nespresso胶囊。第三个条件是我设置了咖啡机,但是三个参数创建了一个可疑的数据池,因此我只想搜索胶囊。我通过电子邮件收到了一份有关搜索结果的报告,并且每天我必须检查多达100个字母。刚开始时有点复杂-找到很多完全符合我的选择标准的时间。咖啡被许多人出售,但200粒Nespresso胶囊的价格为99美元,来自卖家,零评级和新鲜账单是一种罕见的商品。

如果看这张幻灯片,您会在顶部看到星星。因此,这不是您可能会想到的卖家的评分,而是有关此产品的人的评论。但是看到这样的星星,买家会感到平静,以为这是卖家的评价。实际上,对于新帐户,评级以小字体写在广告的最底部。要查看它,以及找出创建帐户的日期,您需要单击一个单独的按钮,这会花费一些时间。

好消息是,eBay网站可以帮助我进行搜索-即使我的点击未能带来理想的结果,他也看着我,并在页面底部放置了一系列广告:“我们为您选择了类似的产品,也许您会感兴趣”。结果,我很快发现了我感兴趣的帐户,并且作为一名真正的研究人员,我创建了一个电子表格来跟踪每个唯一帐户的创建日期,临时等级更改,所售手数和销售额。
之后,我选择了2个在6天内一个接一个创建的帐户,并进行了2次单独购买,以了解它们是否还会向我发送订单未提供的其他商品。



结果,一周之后,我收到了200粒咖啡,再加上200粒胶囊,又过了6天,得到了200粒咖啡和一个全新的卡布奇诺牛奶起泡剂,价格为119美元。这是非常有用的礼物,因为我是一杯卡布奇诺咖啡的人,我喜欢咖啡有泡沫的时候。通常,我从普通咖啡改为卡布奇诺咖啡,但更重要的是,我意识到自己找到了这些骗子。他们在广告中使用相同的图片和相同的产品说明。然后我与他们进行通信。我给他们写了所有关于商品的废话,询问了不同的咖啡产品,不同类型的咖啡,有时我只是打招呼。但是他们从来没有回答我。

我还查看了eBay欺诈页面,试图告诉他们这些帐户,因为我意识到这不公平,我不应该参与其中,对吗?但是事实证明,如果买家确实收到了货,就无法在eBay网站上举报欺诈行为。投诉形式为“我没有收到订购的货物”或“我收到了损坏的货物”,但是没有什么类似“我收到了多余的货物,我想举报”。所以我放弃了向eBay投诉这些骗子的想法。

因此,我继续进行调查,发现了另外2个类似帐户,并另外下了2个订单。我又得到了200 + 200胶囊的咖啡,发生了一些有趣的事情-一个骗子给我写了一封信。



“你好朋友!首先,感谢您选择我要购买的产品。其次,对于产品未处于最佳状态,并且无法将其发送给您,我深表歉意,因为我总是尝试只出售优质产品。我的母亲在医院里,但是我很快会尝试寻找其他状况良好的产品发送给您。我需要和妈妈一起去医院,所以希望您能进入我的位置并让我取消订单。谢谢你,上帝保佑你!”

多么可爱的家伙,对吧?他取消了订单,我的钱还给了我。一周后关闭了他的帐户。那是一个非常微妙的骗子,我想相信他妈妈一切都很好。我可能希望定期免费获得更多咖啡,这使他感到恐惧。

接下来,我花了几个小时寻找工具。我旺盛的想象力暗示,也许有人用英语创造了一种可以被称为猜测器的东西-一个“语法错误生成器”,例如谷歌翻译的低劣版本,它具体地将翻译扭曲成外语。原来,这样的工具不存在,所以您的任务是开发类似的东西!

我开始问说其他语言的朋友是否遇到过类似的事情,我的某些问题似乎是种族主义的,所以我停止了搜索。事实是,我意识到诈骗者会尝试通过对英语不佳的广告进行刻画,以便通过在英语中专门放置不识字的广告来使您摆脱困境,我应该找到它们。

一种或另一种方式,我的咖啡生意一发不可收拾,我的良心。我的厨房是一场彻底的灾难,是时候停止这场比赛了。我不需要那么多咖啡,实际上我只是花了一百美元来收集有关卖方帐户的信息。每次我付这笔钱时,我都想尽可能多地了解这些人。



但是,我没有足够的钱来不断进行如此昂贵的研究。这是我工作的结果,列表了。



仅购买5笔,获得1笔退款,咖啡机收到的胶囊总数-1200件,1奶泡器,1台紧凑型咖啡机。我的支出总计391.9美元,我收到的商品总成本约为939美元。在十月份,我拿走了我收集的所有信息,发票,帐户信息,并将其与我已打印的文件一并发送给FBI。我想知道他们是否会尝试对此做些事情。我还将调查结果发送给了eBay和所有感兴趣的人。我仍然没有收到FBI的答复,但是30天后,咖啡骗子的活动似乎已经消失了。也许发生了什么事。我找不到这些人是谁。我真的很想透露一些很酷的犯罪社区,像是来自摩洛哥的信用卡盗贼之类的东西,但是那没有发生。但这不是英雄故事,对吗?这是我的表白。

这就是我在eBay上了解到的所有欺诈性三角形的全部内容。当我开始告诉人们这个故事时,我开始解释它是如何工作的,他们经常告诉我这是没有受害者的犯罪。但是,这是值得考虑的,而且您知道这不是事实,没有受害者就没有犯罪。我对Pokeepsy的George以及其他卖家的了解很少,但是我发现他们都是退休人员或处于退休前年龄。这是一个相当脆弱的人群。他们是无法减轻由他们造成的损害的受害者,其中大多数人甚至不知道代表他们发生了什么。当发现非法扣款时偷了信用卡的人开始对他们提出上诉。在这个链条中,极端的不是制造公司,而是卖家,老人,可以从中收集欺诈者窃取的金钱。

作为一个国家,我们在保护这些人方面还没有取得足够的进展。对于公司或大型零售商,这种欺诈行为不会像老年人那样造成灾难性的打击。可悲的是,任何人都可以轻易成为此类计划的帮凶。应该设置一定的折扣限制以刺激购买者,然后开始欺诈。这是骗子的真正金矿。但是eBay不在乎,Nespresso也不在乎,因为当以低廉的价格购买商品时,您会继续购买商品,并且商品继续获得一定的百分比或增加销售量。



我们鼓励您参加欺诈性计划,因为每个人都对此类折扣和礼品感到满意。但是,实际上,所有这些都是以市场价格出售的,大型卖方可以免受保险损失的保险,这也涵盖了信用卡被盗造成的欺诈损失。如果他们设法将箭头转至为进一步转售而从他们那里购买商品的那个箭头上来(在这种情况下,这是从Pokeepsi的John来的,或者在信用卡信息被盗的那个箭头上的),
因此,实际上,唯一可以阻止此行为的人是您或我。然后我停了下来。我不会再这样做了。这是不正常的。我所剩下的就是我的认可和放弃购买超便宜商品的承诺。而且我还有很多咖啡。也许我还能做一件好事-拍卖这款精心使用的绝妙Nespresso咖啡机。



顺便说一下,招标是一个糟糕的主意。一旦我在Twitter帐户上放置广告,它们就会开始。只需转到站点并下注即可。仅接受现金。竞标结果将于明天上午10点宣布,获胜者将能够来到Tamper Evident校园并拿起他的咖啡机。不要傻了,也不要试图将最高出价设为最高,以免日后再竞标。所有收益将用于实施戴安娜计划。我保证我会跟进所有这些交易,以确保绝对透明。

如果没人愿意参加,那就是DefCon,发生任何事情。在上一张幻灯片中,您看到了我真正的Twitter帐户,所以写,非常感谢!

拍卖开始时的出价为1美元,所以我现在就去放这则广告。再次感谢大家,您真棒!




一点广告:)


感谢您与我们在一起。你喜欢我们的文章吗?想看更多有趣的资料吗?通过下订单或向您的朋友推荐给开发人员的基于云的VPS,最低价格为4.99美元这是我们为您发明的入门级服务器 独特类似物:关于VPS(KVM)E5-2697 v3(6核)的全部真相10GB DDR4 480GB SSD 1Gbps从$ 19还是如何划分服务器?(RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。

阿姆斯特丹的Equinix Tier IV数据中心的戴尔R730xd便宜2倍吗?在荷兰2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起!阅读有关如何构建基础设施大厦的信息。使用Dell R730xd E5-2650 v4服务器花费一欧元9000欧元的c类?

More articles:


All Articles