16 ноября американские покеристы забили тревогу в Твиттере: один за другим они начали терять деньги с банковских счетов, а также получать счета на оплату от покерных румов, в которых они никогда не играли, с суммами к оплате до $10K.

Оказалось, что их персональные данные были использованы мошенником — он выдавал себя за покеристов и совершал под их именами различные финансовые манипуляции.

Мы вникли в историю и постарались внятно перевести и изложить её в этой статье. Хотя описанные здесь события происходят с игроками в США, знать о них стоит всему покерному комьюнити, поскольку это  — важный и очень неприятный для покеристов прецедент.

Как стало известно о мошенничестве?

В ночь на 16 ноября несколько игроков написали твиты и треды о странных финансовых операциях, которые затронули их личные банковские счета и гемблинговые сайты Borgata, BetMGM и WSOP com.

Джозеф Чеонг рассказал, что около недели назад он получил на свой банковский счёт выплату в $9,8K от рума BetMGM, хотя у него там даже нет аккаунта.

Он сверился с другими игроками и узнал, что ещё несколько человек получили подобные переводы, а несколько после этого и вовсе потеряли деньги уже с банковских счетов. Среди них оказались в основном профессиональные игроки с крупными заработками от покера, например:

  • Кайна Ингланд (Kyna England) — чемпионка Main Event MSPT WPC 2021 и первая амбассадорша GGClub в США;
  • Сэм Панзика (Sam Panzica) — чемпион Main Event WPT bestbet Bounty Scramble 2016 и обладатель 4 колец WSOPC;
  • Дэвид Бах (David Bach) — обладатель 3 браслетов WSOP и двукратный победитель турниров по H.O.R.S.E. на Aussie Millions Poker Championship.

Игроки продолжали сетовать на странную ситуацию, когда из-за публичного обсуждения скама на сцену вышел человек, который (как оказалось) уже почти месяц занимался за кулисами расследованием подобных эпизодов — покерист Тодд Виттелес (Todd Witteles).

Тодд Виттелес

Тодд — не просто игрок, а ведущий радио PokerFraudAlert и один из создателей одноимённого сайта, который специализируется на раскрытии случаев мошенничества в покерной индустрии и информировании о них общественности.

Виттелес рассказал в блоге, что он взялся за расследование нового вида скама после того, как сам стал жертвой самозванца.

20 октября на легальном сайте спортивных ставок BetMGM в Западной Вирджинии появился мой аккаунт. Я никогда не играл ни на одном сайте BetMGM. И я никогда не был в Западной Вирджинии. Но мошенник не просто смог создать аккаунт с моим именем — он добавил туда множество персональных данных: полное имя, адрес, последние 4 цифры номера моей страховки. Используя эти данные, он внёс на счёт сайта $10,000 прямиком с моего банковского аккаунта.

Тодд считает, что преступник с высокой вероятностью даже не находился в Западной Вирджинии в то время — но он и не собирался делать ставки, а использовал аккаунт, чтобы вывести деньги из банка через гемблинговый сайт на фальшивый счёт платёжной системы Venmo:

Он обналичил $7,500 на карту Venmo Debit MasterCard — фальшивый счёт, к которому она была привязана, тоже создали на моё имя. При этом у меня есть свой аккаунт в Venmo, но его мошенник никак не коснулся — он создал новый специально для вывода украденных денег. После этого он перевёл их на другой счёт Venmo с другим именем. Таким же путём он 4 ноября забрал оставшиеся $2,500.

Узнав об этом, Тодд задался вопросом — как мошеннику удалось провернуть подобное. Он начал копать глубже и выяснил, что поддельные аккаунты на его имя существуют ещё в двух конторах, но благодаря полученным в ходе расследования знаниям ему удалось отключить остальные счета до того, как его денежным запасам был нанесён дополнительный ущерб.

Подробная схема кражи средств у покеристов

По информации Виттелеса, данный скам представляет собой комбинацию мошенничества с банковским счётом и кражи персональных данных. Это указывает на то, что мошенник хорошо осведомлён о том, как работают электронный платёжные системы, и выстроил практически идеальную систему кражи средств.

Схема его действий достаточно трудоёмка для рядового пользователя.

Шаг 1: кража персональных данных

Мошенник получает доступ к некоторым элементам важной личной информации жертвы — ФИО, адрес, дата рождения и номер социального страхования (хватает 4 последних цифр).

Вероятно, он также имеет на руках историю использования банковского счёта для транзакции с онлайн-гемблингом — список жертв указывает на то, что атаки не носят хаотический характер, а направлены исключительно на обеспеченных профессиональных игроков.

Шаг 2: создание фейковых аккаунтов в румах и на сайтах

На основе полученных данных мошенник создаёт новые учётные записи на легальном сайте, причём старается выбирать те юрисдикции, где у жертвы точно нет аккаунта.

При этом иногда мошенник создаёт несколько игровых счетов для каждой жертвы, чтобы обойти ограничения на ввод и вывод средств.

Например, адрес регистрации Тодда находится в Калифорнии, поэтому учётные записи для него были созданы в онлайн-букмекерских конторах по восточному побережью. А для других жертв, кто является резидентом других штатов, он открыл счета в безналичной системе казино Viejas вблизи города Сан-Диего в Калифорнии.

Шаг 3: внесение депозита на новый аккаунт

В новом аккаунте мошенник вносит депозит с банковского счёта жертвы через быструю систему электронных платежей eCheck, пользуясь услугой «VIP Preferred» от платёжной системы Global Payments Gaming Solutions, которой оперируют в США большинство легальных покерных румов и сайтов с азартными играми. Для такого депозита не нужно знать номер банковского счёта — упомянутая услуга позволяет получить доступ к данным счёта жертвы при условии, что она ранее использовала его для транзакций с любым легальным игровым сайтом.

Депозит обычно совпадает по размеру с предельным лимитом конкретного счёта.

Иногда мошенник делает тестовый депозит, проверяя, работает ли обнаруженный счёт.

Шаг 4: создание фейкового счёта Venmo

Мошенник пользуется ранее украденными данными, чтобы создать новый счёт в платёжной системе Venmo и выпустить виртуальную или реальную дебетовую карту с привязкой к нему.

Шаг 5: вывод денег на счёт Venmo в два этапа

Сначала мошенник отправляет деньги с гемблингового сайта на фейковый аккаунт под именем жертвы, а затем оттуда переводит на сторонний счёт под другим именем. С последнего счёта он снимает деньги и больше не прикасается к созданным фейкам.

Как мошеннику удаётся получать необходимые данные?

Виттелес уверен: проблема кроется в том, что румы и сайты сами не занимаются обеспечением сохранности платёжных данных клиентов, поскольку не хранят их у себя. За проверку подлинности и сохранение информации ответственность несут выбираемые клиентами платёжные системы — и именно их порядок работы помог скамеру получить желаемое:

Только самый первый депозит на любой покерный или гемблинговый сайт подвергается строгой проверке. У вас берут действительно МНОГО личной информации, изучают вашу финансовую историю, оценивают надёжность и кредитоспособность. Зачастую платёжная система просит, чтобы вы прошли тест с выбором адресов прежнего проживания и другими личными данными, цель которого — в проверке и подтверждении вашей личности. На основе полученной информации вам устанавливают лимиты ввода и вывода, после чего допускают к использованию системы. В последующие разы такие проверки никто не проводит — вам просто дают делать платежи и выводить средства без задержек. Именно этой лазейкой пользуется мошенник.

Чтобы стать жертвой мошенника, покеристу даже не нужно знать о Global Payments Gaming Solutions — он автоматически становится её участником и клиентом, когда делает депозит на любой легальный гемблинговый сайт.

Из-за этого мошеннику так легко — как только он получает ваши персональные не банковские данные, у него появляется возможность проверить по ним ранее использованные счета и получить информацию о них. Её предоставляет не рум и не банк, а платёжка, которую сам игрок решает использовать для депозита в рум:

В июне 2022 я последний раз вносил депозит на WSOP com — в то время я играл WSOP в Лас-Вегасе, так что закинул всего пару тысяч долларов через eCheck. Я не обвиняю конкретно Global Payments в данной ситуации — у меня нет улик, подтверждающих, что платёжная система имеет к этому прямое отношение. Однако, во всех известных мне случаях мошенничества жертвами были те, кто ранее использовал именно эту систему для внесения платежей, да и она есть на всех сайтах, где создавались фейковые аккаунты.

Но как мошенник получает ФИО, адрес проживания и другую не банковскую информацию о потенциальных жертвах? На данный момент Тодд считает наиболее вероятной версией выбор именитых профессионалов — их полные имена находятся в публичном доступе, как и штат регистрации, а с этой информацией довольно легко найти всё остальное:

Я ещё не получал сообщений о том, чтобы жертвой стал абсолютный ноунейм или узко известный игрок. Однако, это мошенничество, судя по всему, совсем свежее — кроме меня, ещё никто не сообщал о проблемах в октябре: все пострадали в ноябре, многие случаи пришлись на вторую неделю ноября. К сожалению, это может означать, что преступником является тот, кто читает мой сайт или слушает мою радиопередачу и решил, что я буду хорошей первой мишенью.

Тодд обещал продолжать расследовать ситуацию и собирать данные жертв. Также он связался с юристами и менеджерами BetMGM, чтобы вычислить мошенника и засудить его:

Это ведь не просто ситуация, когда он украл деньги. Он получил доступ к персональным данным — теперь мы будем уязвимы всю оставшуюся жизнь. Поэтому я планирую сделать всё, чтобы найти и наказать его по закону.

Как защитить себя от подобных видов скама?

  1. Не пользуйтесь банковскими счетами и картами для депозитов и выводов. Если вам нужно получить или внести деньги именно этим путём — обращайтесь к своему аффилейту для транзакции через агентскую кассу;
  2. Периодически меняйте счета, которые вы используете для транзакций с гемблинговыми сайтами — закрывайте старые и верифицируйте новые;
  3. Не храните на счетах, которые вы используете для транзакций с гемблинговыми сайтами, крупные суммы денег;
  4. Если вы стали жертвой мошенников — первым делом звоните в банк и отменяйте транзакцию, а также блокируйте карточки и операции по счетам;
  5. Не сохраняйте персональные платёжные данные в румах и на сайтах, а лучше — пользуйтесь криптовалютами везде, где это возможно.