Российские эксперты обнаружили на нескольких киберкриминальных форумах гигантскую подборку данных
скомпрометированных платежных карт. Как оказалось, таким образом себя решил
отрекламировать новый кардинговый магазин.
Красивый жест криминала
Эксперты российской Group-IB обнаружили крайне нетипичную публикацию на
нескольких хакерских форумах: кто-то выложил информацию о целом миллионе
скомпрометированных платежных карт бесплатно. Как вскоре выяснилось, — в
порядке рекламы.
Информация о платежных
картах — ходовой товар на черном рынке, так что такой аттракцион невиданной
щедрости выглядел, по меньшей мере, необычно. Тем более, что миллионная
подборка была опубликована сразу на нескольких кардинговых форумах.
Исследователи Group-IB вскоре смогли установить, что тем самым владельцы
нового кардингового магазина All World Cards решили прорекламировать свой ресурс. Рекламная
кампания включала не только раздачу миллиона карт, но и некий письменный
конкурс для хакеров с призовым фондом в $15 тыс.
Щедрость не знала границ
Подборка данных
скомпрометированных карт относилась, как указали сами операторы All World Cards, к 2018-2019 гг. Авторы
подборки указали, что процент валидности (т. е. действующих карт) составляет
3%, но уже через сутки эта цифра сменилась 20%.
По данным Group-IB, однако, 97% карт в подборке, выложенной на
форуме XSS, до
сих пор действуют. Эксперты нашли 810 карт, у которых истек срок действия в
июне-июле 2021 г., и еще 27 тыс. карт перестанут действовать в августе 2021 г.
Специалисты Group-IB
предполагают, что либо большая часть нерабочих карт из базы данных уже удалена,
либо подборка новее, чем заявляют ее авторы.
Исследователи также
выяснили, что авторы набора использовали несколько файлообменных сервисов для
загрузки; вся база данных содержалась в защищенном паролем ZIP-архиве, в котором
хранился текстовый файл с миллионом строк. Данные включали номера карт, дату
истечения срока действия, коды CVV/CVC, имена владельцев, географическую информацию о
них (вплоть до личного адреса), в некоторых случаях также электронную почту и
телефонные номера.
Не для всех карт, впрочем,
был доступен весь набор данных. Около 200 тыс. карт (22%) относились к
индийским банкам, по 9% — к мексиканским и американским, 8% — к австралийским. Эксперты Groub-IB в настоящее время информируют эти банки в
надежде, что те примут меры.
Также установлено, что 48%
скомпрометированных карт выпущены Visa, 47% — Mastercard, около 4% относятся к национальной платежной
системе Индии RuPay, и еще 1% — к American Express. Как минимум, 58% карт в подборке являются
стандартными, еше 7% относятся к «золотой» разновидности и 6% — к «платиновой».
Более 8 тыс. карт обозначены как корпоративные.
Отмечены 600 тыс. карт с
корректно проассоциированными адресами электронной почты. Среди них — адреса с
доменными именами государственных учреждений и банков. К 26 тыс. карт также
прилагалась информация об IP-адресах, из них 24 тыс. — уникальные.
По данным Group-IB, менее 2% карт из подборки уже встречались в
других коллекциях скомпрометированных карт, представленных на подпольных
ресурсах, т. е. утечка по большей части свежая.
Общий ассортимент AllWorldCards составляет около 3,8
млн карт, из них в начале августа были доступны для продажи 2,6 миллиона.
Расскажите о вашем опыте
Как отмечалось выше, кроме
раздачи информации о картах, операторы All World Cards объявили конкурс статей на такие темы как
«пентестинг сетей, обход систем защиты, развитие атаки, повышение прав,
закрепление в сетях, захват AD» а также APT, уязвимости, Web-взломы и пр.
Характерно, что объявление
об этом конкурсе сделано на форуме XSS, чьи администраторы заявляли, что он существует
«ради знаний» (как раз под этим предлогом были запрещены все упоминания
шифровальщиков — дескать, слишком нетехнологично).
По мнению специалистов Group-IB, вся эта маркетинговая кампания свидетельствует о
том, что магазин All World Cards, появившийся,
к слову, лишь весной 2020 г., собирается закрепиться в киберподолье всерьез и
надолго.
«Миллион скомпрометированных
карт, раздаваемых задаром, — это, конечно, беспрецедентный случай, — говорит Анастасия Мельникова, эксперт по
информационной безопасности компании SEC Consult Services. — Очевидно, создатели кардингового магазина
чувствуют себя очень уверенно, если готовы выделять такое количество ресурсов
на самопродвижение. Это указывает,
во-первых, на то, что злоумышленники рассчитывают быстро пополнить свой ассортимент
информацией о новых картах, а во-вторых, на то, что кардинг — торговля скомпрометированными
платежными картами — весьма прибыльное занятие само по себе».
