技術に精通した攻撃者は、時には非常に予想外で珍しい新しい強化方法を思いつきます。 そのため、先日Kickstarterで、新しいユーザー詐欺システムを導入した攻撃者が特定されました:彼はプロジェクトを支援するために貢献し(場合によっては、可能な限り最大の貢献)、キャンペーンの正常な完了を待ってから、商品の出荷が開始され、支払いシステムからの返金を要求しました( チャージバック )。
この間、お金には攻撃者のクレジットカードから最終的に引き落とされる時間がありません。通常、この期間中に返金を受け取って注文をキャンセルできます。 標準的な状況では、どの製品でも、商品を受け取ってからお金を受け取ることは不可能です-店の所有者は商品が送られるとすぐにバイヤーのカードから引き落とされます。
ただし、Kickstarterの場合、状況は少し異なります。 実際、資金調達キャンペーンが正常に完了した後、貢献者への商品の発送が行われたにもかかわらず、キャンペーン作成者はそのような人々のカードからお金を差し引きません。 支払いプロセッサ、この場合はAmazon Paymentsからお金が引き落とされます。 また、このシステムは、払い戻しのリクエストを送信した人が商品を受け取ったかどうかを追跡できません。
したがって、資金調達期間の終わりにKickstarterでキャンペーンに貢献することが可能になります(もちろん、キャンペーンが成功したかどうかを判断することは難しくありません)。 その後、キャンペーンが終了して商品が出荷されるまで待機します。 そしてその後-チャージバックの実行を要求します。 通常、お金はさらなる調査なしでカードに返され(結局、支払いシステムによると、商品はまだ出荷されていません)、攻撃者は商品とそのお金の両方を受け取ります。
Encik Farhanシステムのユーザーが選択したのは、Kickstarterでキャンペーンの作成者をだますこの方法です(1人であろうと、チーム全体であろうと、見つけることができないでしょう)。 彼は100を超える寄付を、時には最大レートで行い、その後、キャンペーンが終了し、商品を送り、お金を返すことを要求しました。
彼を偶然完全に追跡することは可能でしたが、これはプロジェクトのセキュリティシステムではなく、Kickstarterキャンペーンの作成者の1人によって行われました。 彼はプロジェクトに必要な金額を受け取り、すべての参加者に商品を送った後、Amazon Paymentsから手紙を受け取りました。そこには、預金者の1人が返金を要求していることが書かれています。 幸いなことに、この貢献者は最大1,000ドルの貢献をした唯一の人であり、負傷者によるさらなる調査の後、Kickstarterチームは状況についに注意を引きました。
現在、Encik Farhanアカウント、そのチャージバックはキャンセルされており、Kickstarter + Amazon Paymentsはそのような状況が将来再発しないようにするために機能しています。 状況がかなり予測可能なので、なぜこれが以前に行われなかったのですか? 誰が知っている。
theverge経由