Przestępca oszukał w banalny sposób sklepy Apple na 300 tysięcy dolarów

dodał 30 lipca 2014 o 00:17 w kategorii Prawo, Wpadki  z tagami:
Przestępca oszukał w banalny sposób sklepy Apple na 300 tysięcy dolarów

Czasem czytając historie o różnych przestępstwach aż trudno nie złapać się za głowę. Czy uwierzycie, że można „przepchnąć” autoryzację nieaktywnej karty płatniczej, podając kasjerowi wymyślony kod? Podobno działa to w USA.

Co prawda amerykański system bankowy jest dużo mniej nowoczesny niż europejski i karty płatnicze z chipem dopiero są wprowadzane po wielkiej fali kradzieży danych z pasków magnetycznych, ale żeby można było dzięki odrobinie improwizacji wymusić autoryzację płatności nieaktywną kartą płatniczą, to już przechodzi ludzkie pojęcie. A jednak.

Metoda prosta jak budowa cepa

Amerykańki serwis Tampa Bay donosi, że organy ścigania ujęły 24-letniego Sharrona Laverne Parrisha, który został oskarżony o wyłudzenie sprzętu wartego ponad 300 tysięcy dolarów z kilkudziesięciu sklepów Apple w szesnastu stanach. Oprócz zamiłowania do produktów ze znakiem jabłuszka Parrish wynajmował także samochody oraz pokoje hotelowe, korzystając z tego samego prostego patentu. W sieci znalazł się akt oskarżenia, w którym możemy znaleźć opis oszustwa.

W momencie przeprowadzania transakcji kartą płatniczą w sklepowym terminalu, wysyłane jest zapytanie do banku o autoryzację transakcji, który odpowiada albo 6-cyfrowym kodem autoryzującym, albo informacją o braku możliwości przeprowadzenia transakcji. Parrish odkrył, że sprzedawca ma jednak możliwość „przepchnięcia” transakcji (forced post) jeśli poda w terminalu 6-cyfrowy kod autoryzujący, otrzymany od banku innym kanałem. Nasz bohater posługiwał się czterema różnymi kartami, przypisanymi do nieaktywnych rachunków bankowych. Kiedy jego bank z oczywistych powodów odrzucał transakcję, Parrish udawał, że dzwoni do banku a następnie przekonywał kasjera, by ten wpisał na terminalu kod podany rzekomo przez telefon. Zazwyczaj kod taki otrzymuje kasjer, który sam wykonuje połączenie do banku na prośbę klienta. Kawał polegał jednak na tym, że poprawność tego kodu nie jest w żaden sposób weryfikowana pod kątem autoryzacji transakcji – służy on jedynie rozliczeniu sprzedawcy z bankiem. Parrish podawał zatem dowolne wymyślone przez siebie 6 cyfr i wychodził z kolejnym transportem iPhonów.

Zdjęcie bohatera historii (źródło: Tampa Bay)

Zdjęcie bohatera historii (źródło: Tampa Bay)

Co ciekawe, przynajmniej w USA jest to dość powszechna praktyka – Tampa Bay podaje, ze na początku tego roku pewna Amerykanka dokonała w ten sam sposób nieautoryzowanych transakcji za ponad pół miliona dolarów. Co gorsza dla sprzedawców, w sytuacji ręcznego wymuszenia zatwierdzenia transakcji to sprzedawca ponosi odpowiedzialność za transakcję, nie bank. Parrish został ujęty dzięki pracownikom Apple, którzy zauważyli jego oszustwa i sięgnęli po odpowiednie nagrania z kamer bezpieczeństwa. Sposób był sprytny, jednak jego wdrożenie już niekoniecznie.

Wisienka na torcie

Smaku całej historii dodaje fakt, że akt oskarżenia został opublikowany w ocenzurowanej formie – czarnymi prostokątami przykryto kluczowe fragmenty, opisujące ilość cyfr w kodzie autoryzacyjnym. Jeśli jednak pobierzecie dokument PDF a następnie wyciągnięcie z niego oryginalne pliki graficzne (np. na tej stronie) to zauważycie, że czarne paski były jedynie warstwą nałożoną na oryginalny, możliwy do odzyskania obrazek. Powodzenia.

PS. Jeśli czyta to ktoś zajmujący się autoryzacjami kart kredytowych, to niech nas uspokoi pisząc, ze takie rzeczy tylko w USA..