На конференции Black Hat Asia команда исследователей раскрыла новую любопытную схему мошенничества, активно используемую в Южной Корее и Японии. Едва ли не ключевую роль в ее монетизации играет... онлайн-магазин Apple.

Согласно автором, на первом этапе злоумышленники шерстрят мелкие онлайн-магазины, на которых есть либо уязвимости в системе безопасности, или вообще особой защиты нет. Они получают доступ к их исходникам и модифицируют страницу оплаты заказа таким образом, чтобы информация с нее шла не только далее в платежный шлюз, но и к ним на сервер. В итоге большинство таких магазинчиков ничего не замечают, потому что продажи идут и вроде бы все хорошо.

А вот злоумышленники получают хорошую базу рабочих банковских карт пользователей. С этим знанием они идут на местные аналоги "Авито", где выставляют на продажу технику Apple с небольшим, но заметным дисконтом. Например, так в онлайн-магазине Apple айфон стоит 800 долларов, а они продают его за 700. Таким образом и подозрений в обмане нет, и скидка существенная.

Когда на мошенника выходит покупатель, тот оформляет заказ на нужный товар в онлайн-магазине Apple, но указывает, что заберет заказ другой человек. Прописывает его данные, которые передает покупателю. Тот сам приходит в магазин, забирает заказ, отдает деньги мошеннику и вуаля. По словам авторов расследования, за два года таким образом было обналичено более 400 тысяч долларов, а в одном случае сумма покупки составила 10 тысяч долларов.

Отмечается, что Apple крайне неохотно сотрудничает в расследовании подобных дел, ссылаясь на защиту пользовательских данных. В итоге это дает злодеям достаточный временной лаг для того, чтобы замести следы.

На данный момент корни мошенников уходят куда-то в Китай, однако подобные схемы запросто могут использоваться и в других странах. Для России пока неактуально, потому что онлайн-магазин Apple у нас не работает.

1 минута

22 апреля 2024