Jednym z najtrudniejszych do realizacji etapów przestępstwa internetowego jest zalegalizowanie zysków. Właśnie odkryto kolejną kreatywną metodę, wykorzystywaną przez złodziei do prania brudnych pieniędzy pochodzących z cudzych kart kredytowych.
W ostatnim czasie powstało wiele serwisów internetowych, mających za zadanie skojarzyć autorów projektów, wymagających finansowania, z potencjalnymi darczyńcami (tzw. crowdfunding). Jednym z takich serwisów jest Gittip, umożliwiający regularne wspomaganie małymi sumami ($1-24) projektów czyniących świat lepszym. Nie jest to serwis szczególnie popularny – jego tygodniowy obrót to około tysiąc dolarów. Niedawno stał się jednak sławny za sprawą odkrytych nadużyć.
Kilka dni temu założyciel Gittipu, Chad Whitacre, postanowił przyjrzeć się największym odbiorcom datków w swoim serwisie. Szczególnie zainteresowało go konto użytkownika delpan, który otrzymywał spore jak na skalę serwisu sumy. Konto było podejrzane, ponieważ jego właściciel nie pofatygował się, by udostępnić jakiekolwiek dane o sobie. Nie napisał, czym się zajmuje, nie zamieścił avataru ani swojej lokalizacji, nikt go nie śledził ani nie oznaczył jako ulubionego – a mimo to był w pierwszej dziesiątce otrzymujących datki. Dalsza analiza wykazała, że głównymi darczyńcami dla konta delpan było pięć innych, równie anonimowych kont.
Kolorem czerwonym zaznaczono okres nielegalnych transakcji (źródło: Gittip)
Co tydzień (bo w takich cyklach odbywają się rozliczenia w serwisie Gettip) karty kredytowe, powiązane z pięcioma kontami, obciążane były niewielkimi kwotami, które lądowały na rachunku bankowym, powiązanym w kontem użytkownika delpan. Od 27go września w sumie podejrzane konta brały udział w transakcjach na kwotę ok. 600 dolarów. Śledztwo prowadzone wspólnie z instytucją odpowiedzialną za obsługę transakcji kartami kredytowymi udowodniło, że podejrzane konta były powiązane ze skradzionymi kartami. Konta zostały zablokowane, a serwis wprowadził dodatkowe metody weryfikacji uczestników transakcji.
Zapewne zastanawiacie się, komu chciało się bawić w transakcje, które w ciągu 7 tygodni osiągnęły całkowitą wartość 600 dolarów. Mamy na ten temat pewną teorię. Jednym z etapów kradzieży karty kredytowej jest jej weryfikacja – złodzieje muszą sprawdzić, czy karta nie została zablokowana i czy dysponują wystarczającą ilością prawidłowych informacji, by dokonać za jej pomocą płatności. Często taka weryfikacja wykonywana jest poprzez dokonanie darowizny na rzecz instytucji charytatywnej. Proces ten ma swoje wady – po pierwsze, przepadają środki użyte do weryfikacji, po drugie operacja wymaga pewnego nakładu pracy. Korzystając z serwisu Gittip przestępcy rozwiązali oba problemy – środki trafiały na ich rachunek bankowy, a automat weryfikował skradzione karty raz w tygodniu. Po prostu perpetuum mobile – do momentu odkrycia przekrętu.
Komentarz
W Polsce złodzieje kart może są tradycjonalistami, ale ich sposób wcale nie jest gorszy. Klasyczny wzór zachowania to zakup taniego roweru, żeby zweryfikować czy karta jest zablokowana, a następnie wycieczka do jubilera (na rowerze?).
To podejście ma jedną podstawową przewagę nad opisywanym w artykule procederem. Dochodzi do konwersji waluty na kruszec. A ten nie podlega ewidencji tak jak środki pieniężne na rachunku bankowym ergo wykrywalność dużo niższa. Jedyne co nas ratuje to kamery u jubilerów, które co prawda muszą być wsparte ludzkim okiem, ale rejestrują wizyty „inwestorów”.