Архив новостей

Платежи ― уязвимое звено в индустрии лжеантивирусов

Исследователи из Калифорниского университета в Санта-Барбара обнаружили, что продавцов поддельных антивирусов можно вычислить по характерному ритму возврата платежей недовольным покупателям. Составление списков запрещенных поможет сделать этот подпольный бизнес невыгодным, — если легальные участники схемы обработки платежей осознают необходимость их использовать.

Целый год академики изучали статистику с серверов, принадлежавших трем крупным восточно-европейским «партнеркам», которые за 3 года совокупно заработали свыше 130 млн. долларов на продажах лжеантивирусов [PDF 798 Кб]. Чтобы запустить механизм извлечения прибыли из незаконного предприятия, теневым дельцам пришлось обратиться к услугам легальных институтов. Для регистрации в системе обработки платежей были созданы подставные торговые компании и открыты транзитные счета в коммерческих банках Чехии, Финляндии, Кипра, Израиля и Азербайджана. Во многих случаях обработку платежей осуществлял не банк-эквайер, а самостоятельный сервис ― чаще всего российский процессинговый центр ChronoPay.

Обработчик платежей получает процент с каждой транзакции, и если риск отзыва платежей высок, он вправе отказать клиенту или назначить более высокую цену. С другой стороны, обработчик связан с платежной системой контрактными обязательствами и рискует потерять свой бизнес, если из-за его клиентов банкам-эмитентам приходится слишком часто возвращать деньги недовольным покупателям и по полгода ждать компенсации от эквайера. Чтобы избежать неприятностей, платежные процессоры устанавливают для своих клиентов планку на отзыв платежей ― обычно 2-3% от продаж.

Как обнаружили университетские исследователи, продавцы фейковых антивирусов очень четко следят за соблюдением этого лимита, и когда число жалоб приобретает угрожающие размеры, начинают быстро производить требуемые выплаты. Ведь продавец ― первая инстанция, куда обращается разгневанный покупатель, а банк-эмитент подключается к разборке лишь при отсутствии реакции со стороны продавца. Другое дело, что за все время работы партнерских программ, попавших на радар калифорнийцев, с рекламацией к ним обратились менее 10% покупателей при общем количестве сделок порядка 2,3 миллиона. И лишь немногие обманутые пользователи, не получив ответа, сообразили обратиться в свой банк с требованием возврата платежа.

Легальных участников платежных транзакций, готовых пойти на риск и связаться с подозрительным клиентом, пусть даже приносящим хорошие дивиденды, не так уж и много. Это подтверждают данные американских исследователей из Санта-Барбара, к такому же выводу пришли несколько ранее их коллеги, изучавшие экономику подпольной фарминдустрии.

Используя характерные признаки поведения недобросовестного продавца, ключевые фигуранты системы обработки платежей — ассоциации банков-эмитентов и процессинговые сервисы ― могли бы при желании использовать свои финансовые рычаги и приструнить тех, кто потакает сетевым мошенникам. Калифорнийский университет, со своей стороны, обещает создать инструмент для автоматизированного распознавания торговцев фиктивными средствами сетевой защиты.

Платежи ― уязвимое звено в индустрии лжеантивирусов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике