web-dev-qa-db-fra.com

Hacker a utilisé mon compte pour passer une commande, mais pas ma carte de crédit. Pourquoi?

Cette arnaque implique mon compte HomeDepot.com. Pour ceux qui ne sont pas aux États-Unis, Home Depot est une chaîne de très grands magasins de bricolage/rénovation.

Contexte/comment je savais que mon compte était compromis:

Hier, j'ai reçu 3 e-mails de Home Depot, suivis d'environ 100 e-mails de spam qui ont tous réussi à passer par le filtre anti-spam Hotmail. Les 3 courriels de Home Depot étaient:

  • Changement d'adresse de livraison
  • Carte de crédit ajoutée
  • Confirmation de commande (environ 1000 $ d'outils électriques)

Je n'avais pas de carte de crédit à moi. La carte de crédit ajoutée n'était pas la mienne. L'adresse de livraison de la commande était une adresse résidentielle à environ 16 km de mon adresse (même code postal).

J'ai contacté Home Depot en utilisant le numéro de service client sur leur site et expliqué que je n'avais pas passé la commande. La représentante a déclaré qu'elle pensait que cela était dû à quelqu'un qui avait passé la commande par téléphone, en donnant une adresse e-mail proche de la mienne et un représentant de Home Depot saisissant les informations de cette personne dans mon compte. Elle a dit qu'elle annulerait la commande et a insisté sur le fait que mon compte n'avait pas été compromis.

À ce stade, je n'ai pas fait le lien entre le déluge de spams et la commande Home Depot, j'ai donc considéré son explication comme plausible. J'ai supprimé l'adresse et la carte de crédit de mon compte.

Aujourd'hui, la même chose s'est reproduite. Trois autres courriels de Home Depot (changement d'adresse, carte de crédit ajoutée, commande passée, outils électriques de 1 000 $) suivis de 100 autres courriels de spam. Cela m'a fait (enfin) réaliser que mon compte avait bien été compromis.

Cette fois, j'ai changé mon mot de passe et activé l'authentification 2FA. J'ai de nouveau contacté Home Depot et la commande a été annulée (ils ont un système très insensé où le client ne peut pas annuler une commande à partir de son site Web, il doit l'annuler).

Quelques points à noter:

  • L'adresse de livraison pour la deuxième commande était une adresse différente, à environ 30 km de chez moi, un code postal différent mais assez proche
  • La carte de crédit utilisée était la même que pour la première commande, ou au moins les 4 derniers chiffres sont identiques. Je ne vois pas le numéro de carte de crédit complet, juste que c'était une Mastercard et les 4 derniers chiffres

Maintenant à ma question:

  • Quelle est la fin de cette arnaque? La carte de crédit utilisée n'était pas la mienne. Pourquoi utiliser mon compte pour passer une commande au lieu de créer un nouveau compte? Je comprends que le déluge d'e-mails indésirables consiste à masquer les e-mails de confirmation de commande/de changement d'adresse, mais pourquoi? Pourquoi ne pas simplement créer un nouveau compte chez Home Depot, qui est gratuit, et passer la commande à partir de là?

Je ne crois pas que les adresses résidentielles utilisées soient celles des parties impliquées dans l'arnaque/le vol. Je suppose qu'une partie de l'arnaque consiste à contacter l'expéditeur une fois la commande expédiée et à détourner l'envoi vers un magasin Home Depot pour le ramassage ou vers un centre d'expédition pour le ramassage.

Mais je ne comprends pas pourquoi s'embêter à faire tout ça via mon compte

scam
11
user469104

C'est la première fois que j'entends parler de ce type d'arnaque, donc je suppose, mais je suis presque sûr de pouvoir vous répondre. Le détail clé est ici:

Confirmation de commande (environ 1000 $ d'outils électriques)

Quand j'entends que je conclus immédiatement que cette commande a été passée avec une carte de crédit volée.

Pour l'anecdote, j'avais l'habitude de gérer un site de commerce électronique pour une très petite chaîne (3 magasins) de quincailleries. Ils ont eu des problèmes fréquents avec les personnes utilisant leur site de commerce électronique pour acheter des choses avec des cartes de crédit volées, et les frais de rétrofacturation de leur processeur lorsque la fraude a été signalée étaient douloureusement élevés. Cela leur a fait passer du temps à vérifier manuellement les éventuelles ordonnances de fraude. Heureusement, les ordonnances de fraude étaient assez évidentes: elles impliquaient toujours un grand nombre d'outils électriques. Les fraudeurs achèteraient des outils électriques pour la même raison qu'ils achètent téléphones/ordinateurs portables avec des cartes de crédit volées: ils sont faciles à revendre pour le commerce de détail proche.

Au départ, l'entreprise avec laquelle je travaillais considérait l'adresse de livraison comme un facteur pour déterminer les chances de fraude, mais cela a fini par devenir inutile: comme vous l'avez mentionné, les fraudeurs ont appris à changer la destination de livraison en cours de route (UPS prend en charge cela avec un compte myUPS , par exemple).

Par conséquent, je soupçonne que la combinaison d'une adresse de livraison locale et de l'utilisation de votre compte déjà établi avait le même objectif: tenter de minimiser les drapeaux rouges et contourner tout filtrage de fraude potentiel du côté de Home Depot. Je suppose que les fraudeurs travaillent en supposant que Home Depot examinera moins attentivement les commandes provenant de comptes établis que de nouveaux comptes ou de commandes anonymes. Je suis sûr que Home Depot fait son propre filtrage des fraudes (probablement automatique plutôt que manuel), donc les fraudeurs peuvent même avoir raison.

De plus, je suis d'accord avec votre évaluation selon laquelle le spam visait à vous cacher la confirmation de commande.

En bref, votre compte est utilisé comme un patsy pour utiliser des cartes de crédit volées pour passer des commandes frauduleuses. Je ne sais pas (probablement pas) si Home Depot essaiera de vous tenir responsable de la commande lorsque la carte de crédit est volée, ni les soins du fraudeur (OMI). Je soupçonne que l'utilisation de votre compte visait à minimiser les drapeaux rouges sur la commande, plutôt que de cacher leur propre identité ou de rejeter la faute (ils auraient pu tout aussi facilement passer une commande anonyme pour cela).

Quoi qu'il en soit, informer Proactive Home Depot de l'ordonnance de fraude était évidemment le bon choix: il n'y a certainement aucun risque qu'ils vous en accusent. De plus, cela leur permet d'économiser beaucoup d'argent. C'est dommage qu'ils vous aient rendu la tâche si difficile à faire pour eux.

15
Conor Mancone