Фрод во благо: достаем платежки всеми способами
Российское комьюнити продолжает испытывать проблемы с платежками. Одни сервисы закрываются, вторые не выдерживают нагрузку, третьи не работают с сольниками и маленькими командами. Чтобы решить эти проблемы, арбитражники используют проверенные сервисы, но зачастую у них больше комиссии, поэтому не всем подходят. Или покупают аккаунт — хорошая платежка с возможностью перевыпуска стоит от $100 долларов, и бывает, что они блокируются. По этим причинам некоторые вебы прибегают к не совсем белым схемам добычи виртуалок.
Нам стало интересно, можно ли зарегистрировать самостоятельно бурж-платежку, притворившись иностранцем. Мы изучили антифрод популярных сервисов и попробовали зарегистрировать каждую. В этой статье расскажем, как организации проверяют новых пользователей, какие меры защиты внедрены в то или иное решение, где слабый антифрод, а какой сервис бесполезно пытаться зафродить. Начнем с легких вариантов и будем постепенно углубляться в тему.
В Интернете «юмористов» столько же, сколько игроков ведется на схемный трафик.
Revolut
Выпуск и перевыпуск виртуалок бесплатный. Дополнительно можно получить одноразовую или физическую карту.
Прошли регистрацию и верификацию с первой попытки. СМС принимали на российский номер, VPN и Proxy не использовали. Верифицировали на украинские данные, поэтому Proof of Residence отправлять не пришлось. Также доказывать резидентство не обязательно гражданам Великобритании.
В случае, когда не получается пройти KYC (процедуры проверки банком клиентов на предмет подозрительных финансовых операций) с первого раза, получить доступ к сервису становится сложнее. Revolut сохраняет все отправляемые документы включая селфи на 6 лет. Даже если удалить аккаунт через службу поддержки, данные остаются на серверах Seon.
Спустя несколько часов после верификации при регистрации другого сервиса оказалось, что проверяющая компания совпадает, и нам заблокировали оба аккаунта. О «проверяльщиках» расскажем ниже. После блокировки нанимать дропов и регистрироваться повторно не стали и перешли к другому приложению.
Paytm
PayTM — индийский Киви, именно так эту платежку часто называют селлеры из-за бесплатного выпуска виртуалок и легкой верификации. На сервисе упрощенный KYC. Достаточно подтвердить номер телефона и заполнить данные вручную, без отправки документов.
Основная сложность в СМС-верификации. Приложение работает только на территории Индии. При регистрации PayTM сам шлет сообщение, но можно сделать несколько неудачных попыток отправки, потом система переключается на другой режим и позволяет принять СМС на индийский номер вместо отправки. После доставки письма PayTM пытается считать его автоматически и нельзя просто взять и ввести полученный код.
Эту особенность мы обошли, скачав старую версию приложения «Paytm 5 9.15.2». Указали номер, приняли СМС и система решила, что у нас уже есть профиль, и «подарила» нам действующий аккаунт с большой историей транзакций, накопленным кэшбэком в 60 рупий и другими бонусами. С прошлого месяца прием новых пользователей в PayTM временно закрыт.
Westein
Weststein card — выдает карту с ограничениями сразу после регистрации. Ее можно пополнить только через SEPA, лимит трат в месяц 150 евро. Чтобы снять ограничения, нужно пройти верификацию. Очень нудная процедура, как и регистрация. Требуется подтвердить почту, желательно GMail, с остальными редко дружит. Затем телефон, но трудно подобрать СМС-активатор, который примет сообщение. Нельзя вернуться и изменить номер. Сообщение приходит 1 раз из 10 регистраций, приходится после каждой неудачной попытки начинать заново. После многочисленных попыток регистрации с помощью сервисов по приему СМС мы арендовали номер.
Для верификации требуется отправить файлом или сфотографировать паспорт или ID-карту. Следом идет селфи-сканирование. Дополнительно можно включить NFC-модуль и отсканировать чип на ID-карте, пока это необязательное требование. Сверяют биометрию на фотографии паспорта и селфи.
Genome
Из документов достаточно паспорта, ID-карты или ВНЖ. Принимают граждан европейских стран и Украины. Чтобы получить апрув, требуется сфотографировать документы и пройти видеоверификацию со включенным микрофоном. Фотографии нужно не загружать, а именно снимать с камеры телефона, для этого есть разные шуточные утилиты (FakeCamera).
Wise
Wise — «доставляют пластик» гражданам ЕС и части других стран. Если на руках имеются необходимые «карточки», можно пройти верификацию и удаленно получить IBAN. Для этого нужно зайти с VPN или Proxy, зарегистрироваться, получить ссылку на вериф с телефона, сфотографировать национальную ID-карту или паспорт и сделать селфи. Дальше нужно вернуться к десктоп-версии и пополнить IBAN на 20 евро. Без дропа, кому «доставлять пластик», фродить Wise не было бы резона, поэтому пошли дальше.
Vivid Money — пример образцовой защиты
Vivid — принимает граждан Франции, Германии, Италии и Испании. Сначала необходимо детально заполнить анкету, где кроме основной информации нужно указать еще Italian Codice Fiscale (по другому Tax Code). А этот параметр вычисляется по имени, фамилии, городу и дате рождения. CF можно сгенерировать, но не каждый генератор справляется и выдает корректное значение с первого раза. И очевидно, что каждая неудачная попытка отражается на общем Fraud Score.После заполнения анкеты требуют сфотографировать паспорт с отражением голограмм, потом сделать селфи и включить геолокацию. У Vivid самый жесткий антифрод из всех перечисленных сервисов. После первой попытки стало понятно, что контору не зафродить без бурж-дропов, и мы не стали повторно пробовать пройти верификацию.
Как селлеры собирают карты банка приколов
Часть пользуются услугами отрисовщиков, они сейчас на каждом углу и не особо шифруются. Художники сами подбирают доноров, чтобы отрисовка билась по базам или просто рисуют соблюдая соответствие необходимых полей.
Другие создают сообщества в ФБ и темы на региональных форумах под видом «бюро находок». В случае с фанками накручивают 2-5 тыс. подписчиков, создают отдельное обсуждение и заполняют.
Еще один источник «шуточных карточек» — Pinterest. Там магазины на фото и видео показывают открыто свои образцы, часть из их продукции без водяных знаков. Часто попадаются донорские наборы, где просто изменили фотографию настоящих документов. Они смело пробиваются по ID по любым базам.
Пока мы проводили исследование, мы заметили, что часто вся проверка KYC сводится к сверке цифр на передней и задней частей документа, машиночитаемой части. Данные для проверки разные для всех стран и банков.
Проверяющие компании
Подавляющее большинство компаний, выдающих карты и аккаунты, сами не проверяют документы. Изредка попадаются фирмы, которые используют собственные решения или внедряют систему аналитики наподобие Netverify от Jumio. В основном организации передают данные партнерам, которые, в свою очередь, все сверяют.
Примеры проверяющих компаний Hooyu и Seon. Последний подрезал наш Revolut. Проверяльщики не любят распространяться о всех своих партнерах, но мы все же нашли часть после того, как заблокировали две платежки. Оказывается Seon сотрудничает с Wise, Revolut, Xcoine и даже Home Credit.
Проверка номеров на «виртуальность»
Технология применяется подобными сервисами редко, она не так давно зародилась и ее еще не успели «обкатать». Мы арендой пользовались из-за долгой отправки СМС от платежек. К примеру, Verse.me и Westein могут отправить сообщение через час, могут и через 6-7.
Для подтверждения телефона юзали Esendex, Burstsms, Directsms. Они выдают демки с бурж-номерами на 7-30 дней. Количество стран на перечисленных площадках ограничено, поэтому приходилось иногда пользоваться сервисами для разового приема — sms-activate, 5SIM и OnlineSim.
Антифрод не единственная сложность
В основном защита у большинства сервисов неидеальная. Как и юзабилити приложений и сайтов этих контор. Пройти регистрацию/верификацию преимущественно мешал не антифрод, а проблемы в работе самих площадок. В одних регистрация прерывается на полпути, в других СМС-подтверждение приходит через несколько часов, когда код уже устарел, третий не грузит анкету. И приходится каждый раз начинать по новой и ходить по кругу.
Траблы с user-friendly мешают получить платежку, даже когда номера телефонов не палятся, как виртуалки, и карточки, IP, железо кристально чистые. Чтобы обойти это неудобство, требуется большой запас терпения и свободного времени.
Часть сервисов не трогали
В рамках тестов N26, Chase Bank и подобные крупные конторы не трогали, заведомо понимая, что без качественных «карточек», бурж-дропов и подтверждения резидентства пройти их антифрод не получится.
Также мы не стали копаться в двух африканских платежках: PaySyka, Eversend. В случае с этими решениями, пройти селфи-идентификацию не получится.
Вывод
Wise, Westein, Genome заблокировали нас, пока мы проводили уже следующее исследование для статьи по технике безопасности. Revolut решил с нами попрощаться, когда мы представились очередной платежке другим человеком. К PayTM возможно еще вернемся, когда они снова начнут принимать новых пользователей.
Пока мы проводили исследование, мы познакомились с процедурой KYC 7 сервисов. К антифроду Vivid мы не смогли найти подход, Wise мы не стали проходить.PayTM заглючил и сам «подарил» нам живой аккаунт. А все остальные платежки успешно зафродили, но одну мы не включили в статью. Мы подадим ее как десерт на следующей неделе.