Xakep #305. Многошаговые SQL-инъекции
Покупка товаров по чужим кредиткам — давнее развлечение кардеров. Для них это один из способов обналичить деньги с чужой карточки. Причём относительно гуманный способ, потому что владелец карты не страдает от такого мошенничества: банк обычно компенсирует ему потерю, оформляя возврат средств (chargeback). Жертвами становятся сами банки и интернет-магазины.
По оценке специалистов, злоумышленники ежегодно «выносят» из интернет-магазинов товаров на сумму около $16 млрд.
Американская компания Chargebacks911 занимается возвратом средств в пользу интернет-магазинов и ведет споры с платежными системами, чтобы минимизировать потери. Сооснователь компании Моника Итон-Кардоне (Monica Eaton-Cardone) говорит, что магазины несут серьезные убытки из-за кибер-шоплифтинга. В результате, они повышают цены и перекладывают свои потери на покупателей. Некоторые интернет-магазины запретили возвращать купленный товар.
Проблема в том, что клиенты банков чувствуют себя хозяевами положения. Они в любой момент могут позвонить в банк и отменить какую-нибудь транзакцию, сославшись на кардинг. Банки идут навстречу и автоматически возвращают деньги, даже не проводя расследование. Очень часто оказывается, что возврат средств оформлен нечестно. Например, товар просто задержался на почте или клиент забыл о сделанной покупке.
В аналитическом отчете Lexis-Nexis 2014 True Cost of Fraud отмечается рост оборотов электронной коммерции, но при этом указано, что процент фродовых транзакций относительно дохода магазинов вырос почти вдвое за последний отчетный год. При этом интернет-магазинам удается вернуть только 50% убытков. Даже в случае возврата средств они теряют от $10 до $40 на каждой операции, не говоря о дополнительных штрафах и санкциях со стороны платежных систем.
Эксперты связывают большой рост фродовых транзакций с большими взломами последних лет. Хакеры похищали конфиденциальную информацию и делали копии банковских карточек миллионов американцев, в том числе через розничные сети торговли. Достаточно вспомнить взлом сети Target с утечкой информации о 40 млн банковских карточек. Все эти дампы потом поступали на черный рынок, а сейчас активно применяются в деле.
Фото: Håkan Dahlström