B1ACK'S STASH: комплексный анализ утечки 1 миллиона бесплатных карт

[Man]

Оглавление​

• B1ACK'S STASH: Обзор
• Отзыв о магазине CCS/FULLZ
• Мотивы и ТТП
• Бесплатная маркетинговая стратегия утечки 1 миллиона карт
• Анализ данных
• Рекомендации

B1ack's Stash, новый рынок даркнета, недавно привлек значительное внимание, выложив бесплатно 1 миллион украденных данных кредитных карт после своего дебюта 30 апреля 2024 года. Магазин кардинга продвигал эту раздачу через несколько известных форумов кардинга в даркнете, чтобы привлечь большую клиентскую базу. Обычно магазины кардинга выкладывают бесплатные данные тысячами, но стратегия B1ack's Stash позволила ему опередить конкурентов, что похоже на тактику BidenCash в прошлом году, когда они слили 2 миллиона украденных карт.

Из собранных нами данных выяснилось, что утечка информации затронула карты из разных стран, включая Филиппины, со значительным количеством раскрытых платежных карт. Анализ Cyberint собранных данных по шести крупным филиппинским банкам выявил тревожный вывод: из 45 195 местных карт 95% были уникальными или впервые обнаружены Argos, платформой Cyberint по анализу угроз. Это означает, что набор украденных данных мог происходить из частной коллекции и ранее не был опубликован.

Набор данных включал смесь дебетовых и кредитных карт, в основном MasterCard и Visa, но также American Express и JCB. Этот инцидент подчеркивает постоянную угрозу финансового мошенничества на нелегальных платформах и подчеркивает настоятельную необходимость в усилении мер кибербезопасности.

B1ACK'S STASH: Обзор​

B1ack's Stash произвели большой фурор, когда официально запустили свой магазин для кардинга, выдав бесплатно ошеломляющий 1 миллион украденных платежных карт в апреле прошлого года. На основе разведданных, собранных Cyberint в ходе нашего расследования, мы обнаружили, что злоумышленник или группа были активны на форумах для кардинга еще в прошлом году под профилем «B1ack», ранее известным как «blackclub» и часто называемым пользователями «king».

B1ack печально известен на этих форумах тем, что распространяет CCS/FULLZ — кредитные и дебетовые карты вместе с полной личной информацией, известной как «FULLZ», которая содержит достаточно данных для совершения кражи личности или мошенничества — в качестве бесплатных. Дальнейшее расследование показало, что B1ack начал эту маркетинговую кампанию в январе этого года, разместив сотни бесплатных украденных платежных карт, чтобы повысить доверие и привлечь больше клиентов.

Рисунок 1: Бесплатные релизы CCS/FULLZ от b1back на форумах по кардингу до раздачи 1 миллиона монет

Первоначально мошенники сосредоточились на бесплатной раздаче товаров, но в конечном итоге 16 апреля 2024 года начали продвигать свой магазин на различных форумах даркнета, в преддверии его крупного запуска в конце апреля.

Рисунок 2: Предварительная реклама B1ack на форумах по кардингу

Магазин B1ack's Stash доступен как в даркнете, так и в открытом интернете по следующим ссылкам:

• http[:]//blackzzivxt5d6kle3j7766euoe3okjjnwg6cdwuk5pfypzlteryynyd[.]лук
• https[:]//b1ackstash[.]cc
• https[:]//blackstash[.]cc
• https[:]//black[.]in (резервный домен)

Рисунок 3: Обновления в магазине Stash Carding Shop от b1ack

Рисунок 4: Магазин карт b1ack's Stash: данные карты

Рисунок 5: Магазин карт b1ack's Stash: Дополнительные сведения о карте

Отзыв о магазине CCS/FULLZ​

За последние несколько месяцев, пока B1ack раздавал бесплатные CCS/FULLZ, продавец карт получил положительные отзывы от клиентов, которые подтвердили высокую валидность карт. Мы также наблюдали эту удовлетворенность клиентов среди тех, кто стал покупателями B1ack и посетителями его магазина.

Рисунок 6: Отзывы клиентов, упоминающих о высокой действительности приобретенных карт

Мотивы и ТТП​

Основным мотивом B1ack Stash с самого начала была, очевидно, финансовая выгода, которую они преследовали, создавая себе прочную репутацию продавца карт в сообществе кардеров. Наш анализ данных платежных карт, утекших от B1ack за последние шесть месяцев, и данных, которые мы собрали для пострадавших местных банков, показывает, что они были в значительной степени получены с помощью фишинговых кампаний. Формат данных, который включает в себя пользовательские агенты и IP-адреса жертв, обычно наблюдаемые как в локальных, так и в глобальных фишинговых атаках, позволяет нам с высокой степенью уверенности утверждать, что они возникли в результате такой деятельности.

Рисунок 7: Формат собранной украденной информации о платежной карте

Фишинговые кампании, возможно, не были специально нацелены на клиентов местных банков. Вместо этого группа угроз, вероятно, использовала различные методы для сбора больших объемов данных кредитных карт с помощью фишинга, включая (но не ограничиваясь):

• Поддельные платежные шлюзы
• Поддельные веб-сайты, особенно те, которые имитируют интернет-магазины, государственные учреждения и игровые платформы.
• Фишинг по электронной почте
• СМС-фишинг (Смишинг)
• Мошенничество в социальных сетях
• Вредоносная реклама

Эти методы намеренно разработаны для широкого охвата пользователей на различных платформах, где значительные группы, вероятно, будут вводить данные своих платежных карт, тем самым максимально увеличивая потенциал сбора ценных данных.
Учитывая этот фон, очевидно, что основной целью b1ack's было получение прибыли от продажи или использования этих украденных данных кредитных карт. Используя рынки даркнета, подпольные форумы и прямые транзакции, они стремятся извлечь выгоду из обширной репутации и охвата, которые они создали с помощью своей эффективной маркетинговой стратегии.

Бесплатная маркетинговая стратегия утечки 1 миллиона карт​

В соответствии со стратегией бесплатного маркетинга b1ack они объявили о бесплатной раздаче 1 миллиона украденных платежных карт на нескольких популярных форумах по кардингу в последний день апреля этого года. Эта масштабная раздача послужила грандиозным празднованием запуска их «магазина по кардингу». Группа угроз упомянула, что пользователи могут получить свою долю, зарегистрировавшись в их магазине и посетив раздел бесплатных товаров. По их словам, этот жест был их способом поблагодарить за выбор Stash b1ack для нужд кардинга. Они также выделили премиум-раздел своего магазина, который предлагает CCS/FULLZ/NON-VBV/DUMPS.

Рисунок 8: Объявление о бесплатном получении 1 миллиона CCS/FULLZ на нескольких форумах по кардингу

Анализ данных​

Cyberint провел углубленный анализ подмножества данных о слитых платежных картах, включающих шесть крупных местных банков, в общей сложности 45 195 карт. Наш анализ показал, что 42 310 из этих украденных карт были уникальными или впервые обнаруженными в коллекции разведданных Argos.

Рисунок 9: Результат анализа данных для 6 местных банков PH

Что касается действительности набора данных украденных платежных карт, дополнительные сведения, такие как пользовательские агенты, IP-адреса, даты рождения и адреса электронной почты, с высокой степенью уверенности свидетельствуют о том, что информация является подлинной, а не сгенерированной. Действительность карт, полученных с помощью фишинга, может различаться; однако они часто демонстрируют относительно высокий уровень действительности из-за нескольких факторов. К ним относятся прямое получение от владельцев карт, которые вводят данные своей карты и личные идентификаторы на фишинговых веб-сайтах, целевые атаки, которые позволяют создавать персонализированные и убедительные фишинговые сообщения, и свежесть данных, которая зависит от того, насколько своевременно они публикуются. Отзывы клиентов о деятельности b 1ack's дополнительно подтверждают эту оценку.

Наше расследование деятельности b1ack's Stash выявило существенную угрозу безопасности данных платежных карт в местных банках. Анализ просочившихся данных, вероятно, полученных из фишинговых кампаний, предполагает высокую вероятность подлинности этих украденных карт на основе имеющейся информации. Значительная часть этих данных была однозначно идентифицирована в нашей коллекции разведданных.

Маркетинговые стратегии Stash от b1ack, которые варьируются от массовых релизов до постоянных небольших бесплатных релизов, а также потенциально разнообразные методы фишинга, используемые злоумышленниками или их аффилированными лицами, подчеркивают острую необходимость в усилении мер безопасности и бдительном мониторинге для защиты конфиденциальной финансовой информации и предотвращения будущих нарушений.

Рекомендации​

• Системы мониторинга и оповещения о транзакциях: Внедрите передовые системы мониторинга, которые могут обнаруживать и оповещать о необычных схемах транзакций или поведении, указывающих на потенциальное мошенничество. Настройте оповещения в реальном времени для высокорисковых транзакций, таких как крупные покупки или транзакции из необычных мест.
• Регулярные рекомендации по безопасности для клиентов: Запустите образовательные кампании, чтобы информировать клиентов о признаках мошенничества и побуждать их немедленно сообщать о подозрительных действиях. Включите советы о том, как защитить личную информацию, распознать попытки фишинга и защитить онлайн-транзакции. Кроме того, реализуйте непрерывную программу обучения клиентов, включающую краткие, частые рекомендации по безопасности по электронной почте, в социальных сетях и в специальном разделе по безопасности на веб-сайте банка.
• Группы быстрого реагирования на мошенничество: создайте специализированные группы быстрого реагирования для обработки сообщений о подозрении на мошенничество. Эти группы должны быть оснащены для быстрой заморозки затронутых счетов, отмены мошеннических транзакций и руководства клиентами в процессе обеспечения безопасности их счетов.
• Расширенная проверка клиентов для транзакций с высоким уровнем риска: для транзакций, помеченных как высокорисковые, внедрите дополнительные этапы проверки, такие как внеполосная аутентификация, при которой клиенты должны подтвердить свою личность с помощью вторичного метода (например, телефонного звонка или SMS).
• Сотрудничество с другими финансовыми учреждениями и правоохранительными органами: сотрудничество с другими банками и правоохранительными органами для обмена информацией о тенденциях мошенничества и координации мер реагирования на масштабные нарушения или мошеннические кампании.
• Использование виртуальных номеров карт: Поощряйте клиентов использовать виртуальные номера карт для онлайн-транзакций. Это временные, одноразовые номера, которые можно использовать вместо реальных данных карты, что снижает риск мошенничества.
• Установка лимитов транзакций: предложите клиентам возможность устанавливать лимиты транзакций или включать географические ограничения для своих карт, чтобы предотвратить несанкционированные транзакции на крупные суммы или транзакции из стран, которые они обычно не посещают.

Источник