2019’daki lansmanından bu yana kredi kartlarından milyonlarca ABD doları çekildiği bildirilen devasa bir operasyon ifşa oldu ve on binlerce kurbanın kaybından sorumlu kabul ediliyor.
Rusya kökenli olduğu düşünülen site operatörleri, geniş bir sahte arkadaşlık ve müşteri destek web sitesi ağı işletiyor ve bunları dark web’den satın alınan kredi kartlarından ücret almak için kullanıyor.
Bu şekilde, suçlamalar meşru görünüyor ve web siteleri hileli işlemler gerekçesiyle fon iadelerini kolayca onaylamıyor ve bu da operasyonun arkasındaki suç sendikasının zenginleşmesine neden oluyor.
Küresel operasyonla ilgili keşif ve rapor, ReasonLabs’taki araştırmacılardan geldi. onların bulguları yayınlamadan önce BleepingComputer ile.
Büyük web sitesi ağı
Operasyon, operasyonun temeli olarak hizmet veren iki tür alan kullanır, yani tanışma siteleri ve müşteri destek portalları.
Bu iddia edilen arkadaşlık sitelerinden bazılarının şirketlerinin web sitelerini ziyaret ederken, kurumsal sitelerin bulunmadığını veya ‘mail@example.com’ gibi var olmayan e-posta adreslerinin olduğunu gördük.
İşlevsel olmalarına rağmen, bu siteler belirgin bir trafik almazlar ve varlıklarının amacı kurbanları çekmek değil, iddiaya göre kara para aklama kanalları olarak hizmet etmek olduğundan, Google Arama sonuçlarında çok alt sıralarda yer alır.
ReasonLabs, sitelerin aynı HTML yapısına ve içeriğe sahip olduğunu, dolayısıyla otomatik araçlar tarafından oluşturulmuş gibi göründüğünü söylüyor.
ReasonLabs’a göre, müşteri destek portalları ya sahte bir varlığın adını kullanır ya da sitelerini McAfee, ReasonLabs ve diğer firmalar gibi gerçek markalara benzeyecek şekilde tasarlar.
Andrew Newman, “Ayrıca, destek sitelerinin çoğu markayı taklit etmek için renkler ve logolarla tasarlandı. Operasyonun büyük bir kısmı, bir tüketici destek ekibiyle veya onların CC şirketiyle iletişime geçmeden önce mümkün olduğunca çok sayıda gri ücret alıyor,” diyor CTO ve Andrew Newman. ReasonLabs’ın Kurucu Ortağı, BleepingComputer’a söyledi.
Operatörler ayrıca, Robots.txt’de (“tümüne izin verme”) anti-crawler talimatlarını kullanarak 75 destek portalını arama motoru indekslemesinden gizlemek için daha fazla çaba sarf etmiş görünüyor.
Ödeme işleme ve ücretlendirme
Operasyonun önündeki en büyük engel, bu siteleri, yüksek ters ibraz yüzdelerine sahip kategori nedeniyle meşru olduklarında bile genellikle “yüksek riskli” olarak sınıflandıran işlemcilere sahip ödeme alıcıları olarak kaydettirmektir.
Araştırmacılar, kara listeye alınmamak için, herhangi birinde dolandırıcılığın ortaya çıkması durumunda hepsini bir kerede kaybetmemek için her web sitesinin ayrı ayrı başvurduğunu söylüyor.
Meşruiyet kanıtı üretmeye gelince, tüm sitelerde 7/24 destek sohbeti ve gerçek bir destek merkezi sağlayıcısından temin edilen çalışan bir telefon hattı bulunur.
Ayrıca, tüm siteler, genellikle sahte sitelerde bulunmayan bir ödemeyi iptal etmek istediklerinde “aboneler” için ücretsiz bir numara listeler.
Ödeme işlemcileri bunları onayladıktan sonra, ReasonLabs, operatörlerin karanlık ağda (CC dökümleri) milyonlarca çalıntı ödeme kartı havuzuna dokunduğuna ve sitelerde bunları ücretlendirdiğine inanıyor.
ReasonLabs, operasyonda kullanılan kartların çoğunun Amerika Birleşik Devletleri’ndeki kişilere ait olduğunu fark etti, ancak Fransızca konuşulan ülkelerden de kart satın aldı.
Ücretlendirme, bir API kullanılarak veya manuel olarak gerçekleşirken, site operatörleri dolandırıcılık önleme alarmlarını tetiklememeye ve ayrıca mağdurun ücretleri fark etmesinden önceki süreyi uzatmaya çok dikkat eder.
Küçük miktarlarda ücret alırlar, mağdurun harcama alışkanlıklarına uygun jenerik isimler kullanırlar, aynı tutarda tekrar eden ödemeler kullanırlar ve test işlemleri yapmaktan kaçınırlar.
Son olarak, operatörler bazı durumlarda müşterilerden geri ödeme almak için entegre “aboneliği iptal etme” sistemini kullanır, böylece geri ödeme oranını yapay olarak düşürür ve operasyonlarının gerçek görünmesini sağlar.
Tüm bu kombine taktikler, bu operasyonun keşfedilmeden çok uzun süre devam etmesini sağladı ve birçok insandan küçük miktarlar talep ederek on milyonlarca ABD doları kazandı.
Ne yazık ki, BleepingComputer, ReasonLabs raporunda listelenen 275 sahte web sitesinden birkaçını rastgele test etti ve bunların tümü, yazı yazılırken çevrimiçi durumda.
Ancak ReasonLabs, siteleri ödeme işlemcilerine ve kolluk kuvvetlerine bildirdiklerini söylediğinden, bu durum yakında değişebilir.
Newman, “Dolandırıcılığın tamamını, şu ya da bu şekilde etkilenen 1 düzineden fazla tarafa bildirdik. Buna, ödeme sağlayıcıları Visa ve Mastercard’ın yanı sıra AWS, GoDaddy ve çeşitli kayıt şirketleri gibi çok sayıda başka hizmet de dahildir,” dedi. .
“Ayrıca, dolandırıcılığı 200’den fazla kanun uygulayıcı ortaktan oluşan bir ağla tüketici şikayetlerini paylaşan Washington merkezli kar amacı gütmeyen bir savunma kuruluşu olan Ulusal Tüketiciler Birliği’nin (NCL) bir projesi olan Fraud.org’a bildiriyoruz.”
Sitelerin tam listesi şurada bulunabilir: ReasonLabs’ raporu.