CyberMoon - Некоммерческое децентрализованное издание, простым языком повествующее о сложном мире организованной киберпреступности, цель которого - осведомление и противодействие.
Дисклеймер: Автор лишь рассказывает о мошеннических схемах, но НЕ предоставляет подобных услуг, НЕ рекламирует и даже НЕ называет в блоге названий "инструментов" и НЕ несёт никакой бы то ни было ответственности за использование нижеприведённой информации в незаконных целях.
В этой статье мы разберём с вами проблему "Пропажи баллов с дисконтных карт". Важно отметить, что схема, используемая злоумышленниками, одинакова в случае как с Пятёрочкой, так и с Перекрёстком, так и со всеми иными дисконтными картами.
Дисконтные карты - (также называются скидочной картой, купоном, ваучером, талоном и т. п.) — это средство, дающее возможность получения потребителем скидки в торговых точках продавца и накопления баллов для последующего их списания (конвертации в валюту).
В большинстве своём 10 баллов на карте равны 1 рублю. Получается, что 1.000 баллов = 100 руб., 5.000 баллов = 500 руб. и по аналогии. Таким образом, раз на карте водятся деньги, то есть и те, кто их крадёт.
Помимо штрих-кода пластиковая карта обладает магнитной полосой, обычно черного или серого цвета. Если провести карту через считывающее устройство (POS-терминал), то оно получит её уникальный идентификатор (дамп). Устройство отправляет идентификатор на сервер магазина, получает от него информацию о количестве баллов на этой карте и выводит его на дисплей. После списания оно вновь связывается с сервером и посылает ему информацию об этой процедуре, чтобы он изменил количество баллов с учётом, что часть из них была использована покупателем.
Выходит, что на магнитной полосе записан идентификатор карты? - Так и есть. Раз он записан на этой карте, то его можно записать и на другую? - Верно.
Для считывания идентификатора и его записи могут использоваться разного рода устройства. Наиболее известные и распространённые из них - ридеры и энкодеры. Первые - считывают, вторые - записывают. Современные версии могут делать и то и другое. Представляют из себя "начинку" в пластиковом или металлическом корпусе с желобком, через который и необходимо провести магнитную полосу карты.
Записывать идентификатор (дамп) можно как на уже готовую дисконтную карту, при этом старый дамп сотрётся, а новый запишется. То есть физически карта (пластик) будет одна и та же, но обладающая иным идентификатором, который связан с другой дисконтной картой согласно информации на сервере магазина. Либо можно записывать на новую карту (пластик, болванку), которая не имеет к магазину никакого отношения. Устройство карт и магнитных полос принципиально одно.
Так, злоумышленники записывают дампы ваших карт на свои и распоряжаются вашими баллами при покупках.
Но откуда берут дампы? Вытаскивают из сумок, списывают, а потом кладут на место? - Нет. Есть способы проще:
1) "Свой человек" или "Я здесь власть".
Злоумышленник может предложить сотруднику магазина сотрудничество на взаимовыгодных условиях. В этом случае он предоставляет ридер кассиру, а тот списывает дампы карт перед тем, как их отдать покупателю, пожелавшему получить дисконтную карту впервые. После чего сотрудник копирует дамп карты в блокнотик и собирает их "коллекцию", чтобы в последующем отправить злоумышленнику. Через неопределённый срок дисконтная карта "в ходу". Покупатель ходит в магазин, совершает покупки, копит баллы. А мошенник, решивший наконец проверить свою "ферму баллов", обнаруживает, что их набралось достаточное количество и можно идти "собирать урожай". Сотрудничающему с мошенником кассиру полагается % по договорённости.
Имеет место быть и работа без посредников, когда кассир = злоумышленник. Либо когда сотрудник - не кассир, а человек, отвечающий за поставку дисконтных карт, в том числе и курьер, который везёт очередную их коробочку.
2) Утечки из базы данных.
Заголовок, которым всё сказано. Есть утечка - есть информация. Информация может включать в себя дампы, разумеется.
3) Брут (брутфорс) и Автогенерация.
Не будем подробно погружаться, рассмотрим "на пальцах":
Предположим, что есть некоторая последовательность из 160 символов, состоящая из латинских букв верхнего и нижнего регистра а также цифр. Можно написать программный код, которой займётся перебором и выдаст все возможные варианты такой последовательности. Эта последовательность - ничто иное как идентификатор (дамп) дисконтной карты. Разумеется, что часть последовательностей окажется невалидной (несуществующей) - то есть не будет существовать карты с таким идентификатором. Но это не отменяет того, что будут и валидные (существующие) последовательности - то есть такие, которыми обладают чьи-то дисконтные карты. А раз они чьи-то, то ими быть может пользуются. Пользуются = есть баллы.
4) Покупка дампов.
Где есть отточенность, есть и масштабирование. А оно убивает самостоятельную "работу". То есть Некто поставил на поток получение дампов и уже не занимается их записью на карты и списыванием, а продаёт другим за % от количества. Допустим, 5.000 баллов = 500 рублей. Купить дамп дисконтной карты с таким балансом можно примерно в половину стоимости - за ~250 руб.
Получить дампы можно в одной точке - к примеру, в г. Москва, а приобретёт их человек из г. Челябинск. И, записав его на карту, без проблем спишет в магазине своего города. Это объясняет ситуацию, когда люди, не бывавшие никогда за пределами своего региона, обнаружившие пропажу и позвонившие на горячую линию, слышат в ответ "Да, у вас было X баллов, стало Y баллов. Покупка была совершена в магазине по адресу г. Челябинск ул. Пушкина, д. Колотушкина".
Проблема в самом деле серьёзная. Скидки в магазинах - маркетинговый ход. В стоимость товаров закладывается сумма "под баллы". Поэтому покупатели, ставшие жертвой таких "охотников" теряют не возможность сэкономить, а буквально свои деньги. 100 рублей с одного, 300 с другого, даже в рамках одного дня получаются весомые суммы. Так, совершив покупку на 10.000 рублей, мошенник оплачивает лишь 5.000 руб, а остальное за него заплатили другие.
Решение? - Спорно.
- В случае, если камень преткновения - сотрудник магазина, то нужно держать ухо в остро, следить за своей картой. Хотя, в случае с вышеописанным курьером это не поможет.
- Утечки? Брут и автогенерация? - Надеяться, что пронесёт.
В текущем положении дел и отношении магазинов к дисконтным картам как средствам, не требующим высокого уровня защиты, проблема нерешаема.
Ждём ваших комментариев. Предлагайте новые темы для рассмотрения. Ответим на возникшие вопросы по мере возможности.
