נהג לשעבר של חברת משלוחי המזון האמריקנית DoorDash הודה השבוע באשמת קשירת קשר להונאה, במסגרתה רימה את החברה ביותר מ-2.5 מיליון דולר. לפי הודעת משרד התובע הכללי במחוז הצפוני של קליפורניה, ההונאה בוצעה באמצעות חשבונות לקוחות מזויפים, משלוחים פיקטיביים, חשבונות נהגים מזויפים ושימוש בהרשאות גישה של עובדי החברה.
סאיי צ'איטיניה רדי דוואגירי, השליח הנאשם, הפעיל שיטה מתוחכמת להוצאת כספים ממערכת התשלומים של DoorDash. תחילה, הוא יצר חשבון לקוח פיקטיבי באפליקציה והזמין דרכו הזמנות בעלות גבוהה. לאחר מכן, באמצעות הרשאות גישה של עובד החברה, הוא הקצה ידנית את ההזמנות לחשבונות נהגים פיקטיביים שהוא ושותפיו יצרו.
הצעד הבא בתרמית היה סימון ההזמנות שמעולם לא סופקו כ"הושלמו", מה שגרם למערכת האוטומטית של DoorDash לשלם לחשבונות הנהגים המזויפים. מיד לאחר קבלת התשלום, דוואגירי החזיר את אותן הזמנות למצב "בתהליך".
לפי כתב האישום, תהליך ההונאה "ארך פחות מחמש דקות, והתרמית חזרה על עצמה מאות פעמים" בין נובמבר 2020 לפברואר 2021.
דוואגירי צפוי לעונש של עד 20 שנות מאסר וקנס של 250 אלף דולר.
איך עובדת אפליקציית המשלוחים
כדי להבין את התרמית, חשוב להכיר את דרך הפעולה של אפליקציות משלוחים כמו DoorDash. בדרך כלל, לקוח מזמין מזון דרך האפליקציה, והזמנתו מועברת אוטומטית לשליח זמין בקרבת מקום. השליח אוסף את ההזמנה ומספק אותה ללקוח, ורק לאחר שההזמנה מסומנת כ"הושלמה", מתבצע תשלום לחשבון השליח.
המתכננים ניצלו פרצה במערכת התשלומים האוטומטית של החברה ובאמצעות הרשאות גישה של עובד החברה (שגם הוא הואשם בפרשה), הם יכלו לשנות את סטטוס ההזמנות באופן ידני ולגרום למערכת לבצע תשלומים חוזרים ונשנים עבור משלוחים שמעולם לא בוצעו.
תרמיות מקוונות
מקרה זה מצטרף לשורת תרמיות שנחשפו בשנים האחרונות בתחום המשלוחים המקוונים. במקרה אחר שדווח בעבר, בעל פיצרייה גילה שהוא יכול להרוויח כסף על ידי קניית הפיצות שלו עצמו דרך DoorDash במחיר מוזל. במקרה נוסף, האקרים הרוויחו כ-200 אלף דולר על ידי הפניית נהגים פיקטיביים לאפליקציות משלוחים שונות.
מקרים אלו מדגישים את האתגרים שחברות טכנולוגיה ניצבות בפניהם בניסיון לאבטח את מערכות התשלומים שלהן מפני מתקפות מתוחכמות, במיוחד כאלה המערבות שימוש לרעה בהרשאות פנימיות.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו