Dados los detalles de la pregunta, describiré cómo se cometen fraudes en la web. Para dejarme absolutamente claro, no estoy de acuerdo con cometer actos de fraude en la web ni proporcionaré los detalles básicos por razones obvias. Pero discutiré cómo se hace y un poco de cómo detectarlo (con referencias adicionales a publicaciones que escribí en el pasado que agregan más a los puntos que hago a través de la respuesta).
Defraudar en cualquier lugar, no solo en la web, requiere tres componentes para funcionar bien: una buena historia, una marca vulnerable y medios para cobrar. Ese ha sido siempre el caso. En la web, dado que muchos tratan esto como su profesión de facto, también se debe agregar: escalabilidad.
Antes de profundizar en eso, es importante tener en cuenta la diferencia entre el fraude en línea y fuera de línea (“mundo real”). Los verdaderos hackers siempre estuvieron cerca (eran boxeo azul antes de la web) y los estafadores profesionales solo ven la web como una herramienta adicional. Pero al igual que con el trolling, el anonimato de la web hizo girar una clase de estafadores que lo hacen “porque pueden” y porque pueden salirse con la suya. No es necesario que se enfrente a su víctima y juegue una estafa de confianza, sino que se defraude desde la comodidad de su hogar o cibercafé, muchas veces en un país donde las autoridades no lo alcanzan; contribuya mucho a la sensación de Ayn Rand-ish empoderamiento que estos chicos (en su mayoría chicos, no chicas) sienten. Es evidente y obvio en las guías de hackers / defraudadores en línea, especialmente (pero no solo) en las rusas. Si quieres ver uno especialmente divertido, echa un vistazo a este himno para los estafadores nigerianos de YouTube [1]. Por cierto, se dijo que el cantante fue arrestado (alrededor de 2006, creo que no hay referencia) por estafas al estilo nigeriano (“419”). Discutí un poco este tema en esta publicación del blog [2] y en esta charla [3]. Hay toda una cadena alimentaria en la comunidad de estafadores, pero no vamos a entrar en eso.
Ahora, una buena historia es de suma importancia. En otras palabras, este es su plan maestro de cómo puede cometer su fraude. Se extiende; algunos optan por la estafa anticipada de 1: 1 (o preso español [4] o nigeriano), otros por fraude del lado del consumidor y otros por parte del comerciante. Todas las historias contienen un elemento donde el estafador presenta una falsa pretensión de ser alguien que no es; por adelantado, son personas adineradas pero desamparadas que apelan a su codicia o compasión; en el lado del consumidor, por lo general son compradores que intentan comprarle un artículo o servicio y por el lado comercial le cobran por un producto o servicio que afirman Proporcionarán en una fecha futura o en buena calidad [5]. La historia se ve afectada por el sistema que intentas atacar (punto # 2, llegaremos a eso) pero también por los medios técnicos que tienes. Si tiene la capacidad de parecerse a un buen usuario y acceso a instrumentos financieros (tarjetas e identidades robadas, buenos servicios de proxy / vpn para ocultar su identidad, otros detalles que se ven lo suficientemente bien, etc. puede presentar su historia varias veces y ejecutar la estafa en múltiples marcas al mismo tiempo, o muchas veces en la misma marca. Aquí es donde una buena historia está conectada al punto de escalabilidad que mencioné anteriormente. Muchos comerciantes pequeños y medianos experimentan que, como un ataque concentrado de “anillo de fraude” que puede acabar con su negocio (y si está ejecutando un modelo similar a un mercado, también puede experimentar eso como proveedores múltiples que omiten o defraudan a sus clientes y lo dejan a usted) con deudas a pagar). Entonces, una buena historia comienza con sus medios e intenciones y se basa en sus puntos fuertes como estafadores.
- ¿Cuáles son algunos buenos canales o videos de YouTube para aprender maquillaje?
- ¿Por qué los profesores de idiomas necesitan aprender la adquisición de un segundo idioma?
- ¿Cuánto tiempo le toma aprender a andar en bicicleta? Tengo una bicicleta ahora mismo y quiero aprender. ¿Gracias?
- ¿Cuál es la forma más rápida de aprender a defenderse y / o luchar de manera efectiva?
- Quiero aprender un montón de matemáticas superiores por mi cuenta. ¿Puede alguien darme un resumen de lo que debería aprender en orden cronológico?
El segundo punto es una marca. “Vulnerable” podría significar un individuo crédulo, pero también puede significar un proveedor minorista / de pagos con un sistema mal diseñado. El análisis de las amenazas reales en un sistema existente es uno de los aspectos más interesantes de lo que puedo hacer, y si bien lo ideal sería que lo hiciera como información privilegiada (y ha habido varios casos de fraude interno), es evidente cuando observe los pedidos y el comportamiento del usuario de que los estafadores son sistemas de pago de ingeniería inversa para comprender sus agujeros, umbrales y vulnerabilidades, incluso sin tener conocimiento interno. ¿Qué crea vulnerabilidades? Lo primero y más importante, la UX negligente diseñada por personas que no entienden que la administración de riesgos es fundamental para el producto, especialmente en las compañías de pagos. Lo que esto significa es una lógica de negocios que, por ejemplo, considera el rendimiento del negocio desde una perspectiva de alto nivel (mirando los ingresos agrupados y los números de pérdida) en lugar de un resultado del comportamiento de usuarios individuales. Así que obtiene sistemas basados en reglas que lo bloquean después de 5 compras, o le lanza un CAPTCHA después de cada acción, o mantiene una reserva móvil del 30% durante 120 días (¡lo estoy viendo, PayPal!). Además, conducen a lo que yo llamo “el enfoque de fábrica” [6] que consume recursos con pocos beneficios marginales e impone restricciones que bloquean más usuarios buenos que el estafador preparado [7]. Los estafadores inteligentes siempre están preparados; Si le pide a un usuario un nuevo secreto (nombre de soltera de la madre, SSN, etc.), esto se agregará a su próximo correo electrónico de phishing. ¿Oh, no respondes a correos electrónicos de phishing? ¿Alguna vez ha respondido a una encuesta de Facebook haciéndole preguntas personales que podrían usarse para ganarse la autenticación basada en el conocimiento [8]? Gracias (Me estoy alejando de la discusión de los 3 tipos de factores de autenticación y de cómo encajan aquí. Pero debería leer sobre eso [9]). ¿Usar CAPTCHA? Tienen granjas captcha. Y durante el proceso, si su sistema no está bien definido, entienden sus desencadenantes y se adaptan. Es por eso que las pérdidas no solo pueden medirse en modo agregado.
Por último, pero no menos importante, es una forma de retirar dinero. Si uno de tus amigos de FB de repente te envía un correo electrónico acerca de estar varado en Londres, te pide que envíes dinero y lo haces, se hace. No hay botón de retroceso. Pero para repetir esto varias veces (este es el segundo punto relacionado con la escalabilidad), debe poder aceptar y retirar transacciones múltiples, algunas de ellas para bienes y servicios tangibles y no solo dinero en efectivo o dinero electrónico. Obtener el paquete real implica crear puntos de entrega (muchas veces al reclutar madres que trabajan desde casa y que “simplemente reenvían paquetes para esta firma internacional con sede en Rumania que necesitaba a alguien en los Estados Unidos”), reenviadores de correo estándar (Miami está lleno de ellos) y, a veces, interceptar el envío en ruta (algo bastante complicado. No es algo sobre lo que pueda compartir detalles). Por otra parte, opta por mercancías que son fácilmente transferibles (esta es la razón por la cual los bienes virtuales y la moneda, con la locura del mercado secundario, son bienes específicos). Debe poder controlar múltiples hilos y controlar su movimiento de dinero; Los métodos aquí son intrincados e interesantes, pero definitivamente no es algo que pueda compartir en un foro público.
Entonces, lo que necesita es historia, marca y retiro, y la escala es lo que necesita para hacerse realmente rico. La detección, la prevención, la aplicación de tecnología y la construcción del sistema correcto para ser el equipo azul del equipo rojo de los estafadores es un tema completamente nuevo.
[1]
[2] http: //fraudbackstage.blogspot.c…
[3] http://www.analyzd.com/analyzd-b…
[4] http://en.wikipedia.org/wiki/Spa…
[5] http://www.analyzd.com/analyzd-b…
[6] http://www.analyzd.com/analyzd-b…
[7] http: //fraudbackstage.blogspot.c…
[8] http://en.wikipedia.org/wiki/Kno…
[9] http://en.wikipedia.org/wiki/Two…