8 против 7500: самое неравное сражение в истории доставки. Как горстка мошенников переиграла армию курьеров на 30 миллионов долларов

Курьер доставка Instacart Shipt мошенничество
8 против 7500: самое неравное сражение в истории доставки. Как горстка мошенников переиграла армию курьеров на 30 миллионов долларов
Курьер доставка Instacart Shipt мошенничество

Почему магазины не замечали массовую скупку подарочных карт на миллионы долларов.

image

Более 7500 аккаунтов курьеров Instacart и Shipt были взломаны из-за крупной мошеннической схемы. Ущерб превысил 30 миллионов долларов. По данным ФБР, восемь человек обвиняются в организации схемы, основанной на социальной инженерии и обмане курьеров.

Начиная с 2022 года, злоумышленники получили доступ к базе данных Instacart и Shipt. Там хранились контакты бывших и действующих курьеров этих платформ доставки продуктов. Мошенники выдавали себя за сотрудников компаний. Они звонили курьерам и просили передать одноразовые коды подтверждения из SMS. При этом они придумывали разные предлоги: восстановление доступа, деактивация аккаунта или подтверждение активности.

Получив контроль над профилями, мошенники начали размещать заказы. Они действовали от имени подставных клиентов и сами же принимали заказы к выполнению. Заказы направляли на взломанные аккаунты. Деньги для покупки товаров попадали на банковские карты, привязанные к этим аккаунтам. Но вместо продуктов мошенники покупали подарочные карты, а затем отменяли заказы. Так они получали возврат денег. Подарочные карты использовали для покупок в интернете или обменивали на криптовалюту , которую потом конвертировали в наличные.

Один из обвиняемых рассказал о схеме в переписке с агентом под прикрытием. Он подтвердил, что существуют черные рынки, где продают списки неактивных аккаунтов водителей. "Вы звоните по этим номерам, получаете доступ, а потом используете карту для покупки подарочных сертификатов", — писал он.

Кроме фишинга через сообщения, подозреваемые использовали и другую тактику. Они размещали поддельные заказы и связывались с курьерами через официальные приложения. Мошенники предлагали созвониться якобы для добавления товаров в заказ. Так они получали номер телефона жертвы. Затем в разговоре выманивали одноразовый код, утверждая, что клиент пожаловался на несоответствие фотографии в профиле.

К середине 2023 года Target, которая владеет Shipt, заметила подозрительную активность. Через платформу массово покупались подарочные карты, что нарушало пользовательское соглашение. Подозреваемых засняли камеры наблюдения во время покупок. В материалах дела есть скриншоты мошеннических сообщений и видеозаписи с камер, которые передали Министерству юстиции США.

Instacart потерял 16 миллионов долларов из-за взлома более 5500 аккаунтов. У Shipt ущерб составил 14,3 миллиона долларов при взломе 2215 профилей. Представитель Shipt подтвердил, что компания помогала правоохранительным органам. Фирма заявила о приоритете защиты данных своих сотрудников и пользователей. Instacart сообщил, что их системы не взламывали. Подозрительную активность заметили вовремя и передали информацию властям.

Это не первый случай обмана на платформе Instacart. Еще в 2021 году компания фиксировала взломы аккаунтов. Тогда использовались украденные пары логинов и паролей. После этих инцидентов компания усилила защиту. Теперь проверяют по селфи и биометрии , сравнивая данные с водительскими удостоверениями.

Все восемь мужчин обвиняются в мошенничестве с использованием электронных средств, однако на данный момент обвиняемые не признали свою вину.