Разговор с интернет-мошенником, часть 3
#интервью
Продолжим.
Какие есть методы добычи данных карт?
Чаще всего покупают, не проблема. Но вообще, это отдельное направление, более узкая специализация. Вариантов много. Есть метод распространения вредоносного ПО, но это уже мало актуально. Есть метод рассылки спама фишинговых платежных страниц. В отдельных обоснованных случаях добывают социальной инженерией, но по РФ крайне редко. Так как сумма кражи в среднем составляет 2500 рублей, а 15% отдают за аренду личного кабинета Тинькофф. Через него методом C2C деньги жертвы перегоняют на подставной счет Тинькофф, а затем выводят в криптовалюту. Если войти на тот же Авито, там полно объявлений от школьников, которые скажут, что отправят товар через встроенную доставку в рамках «безопасной сделки», а затем вышлют фишинговую страницу 3Ds. Но это «детский» уровень.
Более «умные» ребята работают по Европе методом социальной инженерии. Из самых эффективных – размещать фиктивные объявления на booking.com в европейских странах. Жертва делает запрос на бронирование, мошенник пишет в его WhatsApp и кидает фишинговую страницу оплаты номера, которая выглядит один в один, как у настоящего букинга. Для правдоподобности жертве отправляют письмо на почту, которое тоже как от букинга. Письмо также перенаправляет на левую страницу оплаты. И мошенник в режиме реального времени видит все действия жертвы на фишинговой странице и получает данные карты. Дополнительно просят указать баланс, таким образом, получается вся информация.
Что происходит с данными, когда они получены?
Карта тут же привязывается в Google pay, жертва получает шестизначный код на привязку для NFC оплаты и вводит этот код на нашей фишинговой странице. Так перехватывается код 3D secure. Затем идет полная привязка кредитной карты для оплаты покупок через Pos-терминал эквайринга. Если жертва долго думает или не вводит данные карты, то идет прозвон якобы от представителя букинга с просьбой проверить почтовый ящик и подтвердить бронирование. Как показывает практика, 8 из 10 вводят свои данные. А те двое, что не ввели, это жертвы, которых обработали другие мошенники.
Это уже уровень, здесь нужно знать много тонкостей. Например, какую страну грабить, какие банки позволят сделать транзакцию по 3Ds, и какие BIN кредиток нужны для той же привязки в Google pay, чтобы списать в терминал. Если взять Германию, их кредитки никогда не привязываются в Google pay для бесконтактной оплаты, не говоря уже про обычную транзакцию 3Ds, чтобы списать хоть куда-нибудь. Поэтому на сегодняшний день Европа «загнулась», их банки быстро адаптировались к подобным аферам, в отличии от России, где любую кредитку можно засунуть в C2C и опустошить.
Какие суммы фигурируют в этом деле?
Если раньше крупные игроки делали ежедневный оборот до 1 млн рублей, то сейчас лишь несколько команд делают оборот в среднем 300 тысяч. Организатор проекта забирает 20% с оборота, а сами мошенники получают 50-60%. Себестоимость занимает порядка 20%, так как нужно добыть карты, проверить их и т.п. Поэтому настоящий профи в этом деле не станет работать с командами и организовывать проект, т.к. в соло заработает намного больше. Он знает, где и что можно грабить, а какие страны обходить стороной.
Продолжение следует.