Что такое фрод и его виды на примерах

Uladzislau Murashka | 23.09.2016 | Информационная безопасность | Комментариев нет

Давайте разберемся, что же такое фрод, возьмем несколько примеров того, каким он бывает.

Фрод — это своеобразный вид мошенничества в сфере информационных технологий, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи, мошенничество с кредитными картами, мошенничество при оплатах.

В этой статье я рассмотрю несколько разных типов фрода, которые я сам пробовал но исключительно из любопытства, а не наживы ради.

Все мы понимаем, что основной целью фрода является обычная нажива — возможность заработать легких денег (иногда и не совсем легких) на логических ошибках организаций допущеных в процессе технической реализации своих сервисов путем обмана системы.

Мобильный оператор life:) — Что-то пошло не так

Работая в компании специалистом по ИБ я столкнулся с несколькими типами фрода, как среди пользователей услугами связи, так и возможностью получения профита среди сотрудников.

Каждому сотруднику при устройстве в компании выдавали мобильный телефон, симкарту и начисляли каждый месяц по 25$ на баланс.

При это существовал ряд ограничей для использования рабочей связи:

Нельзя пользоваться платными сервисами за счет SMS
Нельзя звонить на платные номера
Нельзя выводить деньги с баланса
Нельзя использовать сервисы вроде E-pay и т.д. т.к. баланс технически считался нулевым

Но, видимо при составлении такого рода ограничей, всяких там возможных черных/белых списков был допущен ряд небольших ошибок и не все сервисы успешно блокировались, а допустим звонки на платный номер за границей и вовсе работали. Из возможных вариантов вывода средств с минусового счета с учетом ограничения в 25$ (все что сверх нормы — вычиталось из з.п.) можно было выводить через такие сервисы как «ВКонтакте» и допустим на тот момент появилась возможность заказывать SMS билеты в метро. Так же была возможность звонить на платный номер в Австралии (так получилось, что там живет знакомый и с ним и решили протестировать данную фичу).

Смотрите так же Как правильно и безопасно хранить пароли

Еще как-то в один прекрасный день на лайфе был «небольшой» сбой — как известно, связь внутри сети бесплатная, а на некоторых тарифах когда тебе звонят на телефон с сети другого оператора, то за 2 минуты входящие, на баланс зачисляют 1 минуту исходящих на все сети бесплатно. Проблема была в том, что когда звонили на тарифы, которые накапливают минуты с номеров которые люди переносили из сетей других операторов в сеть лайф — то происходило накопление тех самых заветных минут, с учетом того, что звонок был внутри сети мобильного оператора. Проблема была актуально то ли 1, то ли 2 дня и за это время соответственно можно было скопить приличное количество бесплатных минут. Немного ранее существовала возможность вывода таких минут в деньги, и вот как раз в этой ситуации у нас и становится актуальным понятие фрода.

Сервисы с двухфакторной авторизацией по SMS / Телефонному звонку

Самым веселым, конечно же был кейс с некоторыми сервисами, которые при авторизации предлогали отправить вам SMS или позвонить на номер телефона, чтоб вы могли узнать свой уникальный код и пройти вторую часть авторизации, к таким сервисам относились Google, Microsoft и еще несколько мелких сервисов. Получать деньги можно было с помощью платных номеров, на которые и надо было бы звонить в процессе подтверждения авторизации. Не все сервисы увы работали, но таковые были. Я эксперементировал только с гуглом и одним небольшим сервисом который в процессе перешел позже на двухфакторную авторизацию по средствам приложения вроде Authenticator и оставил только SMS.

К примеру номер можно зарегистрировать и бесплатно для эксперимента с помощью Paytel, но не везде он может проходить, зато там дают 30 дней бесплатно 🙂

Смотрите так же Где можно получить бесплатные SSL сертификаты

Один из исследователей безопасности в сети зарепортил такой скажем себе «баг» и получил весьма приличную сумму за это (он «фродил» с макйрософтом, гуглом и еще на какой-то площадке).

Акции и «лотереи»

Иногда можно наткнуться на какие-то интересные акции и что-то похожее на лотереи которые проводят некоторые компании: банки, магазины, онлаин магазины и т.д.

Обычно в процессе таких акций требуется сохранять/искать какие-то чеки, уникальные коды, собирать наклейки и т.п.

К примеру в акции от МТБанка «MTБинго» — в которой принимают участие люди, регистрирующие чеки, должны вводить просто код авторизации, дату совершения транзакции и последние 2 цифры номера карты. Но вот же, что примечательно — код авторизации и остальные данные можно получить даже при снятии денег на банкомате, при этом в пункте правил акции не указано, что такой вид получения код как-то ограничем или запрещен системой.

После регистрации чека, каждому участнику присваивается уникальный код, в самоей «лотерее» участвует именно этот код, а не данные с карты. В последствии возможно никто и не будет отслеживать саму активность, процесс получения кода, а может и будут. Лично я пока ничего не выигрывал и точно сказать не могу. Соответственно, для «успешного» участия в акции с реальными транзакциями, нам надо просто найти место, где рядом стоят терминал и банкомат — сразу снимаем деньги с карты и генерируем коды, а потом пополняем карту и воспроизводим процесс по новой.