CarderPlanet
Professional
Основные выводы
Продажи: 38 миллионов долларов в виде подарочных карт и 330 тысяч платежных карт.
В начале февраля 2021 года аналитики Gemini заметили, что уважаемый хакер на ведущем русскоязычном хакерском форуме предложил продать 895000 украденных подарочных карт от 3010 компаний на общую сумму около 38 миллионов долларов. Актер утверждал, что база данных содержит более 3000 подарочных карт с фирменными знаками и затрагивает ведущие компании в различных отраслях, таких как AirBnB, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target и Walmart. Актер начал аукцион со стартовой цены в 10 тысяч долларов и покупной цены в 20 тысяч долларов. Подарочные карты были куплены другим актером вскоре после того, как карты были выставлены на продажу.
Через день тот же актер предложил продать 330 000 кредитных и дебетовых карт (далее - платежные карты) на том же форуме. По словам актера, данные включали платежный адрес жертвы и частичные данные платежной карты, включая номер платежной карты, дату истечения срока действия и название банка, но не включали CVV или имя держателя карты. Актер начал торги за базу данных с 5000 долларов и объявил цену покупки сейчас в 15000 долларов. Платежные карты также продаются в течение нескольких дней после их выставления на продажу, хотя и менее быстро, чем подарочные карты.
Взломанный торговец: Cardpool.com
Посредством последующего анализа Gemini Advisory пришла к выводу, что 330 000 платежных карт, вероятно, возникли в результате взлома онлайн-магазина подарочных карт Cardpool.com в период с 4 февраля по 4 августа 2019 года. До закрытия в начале 2021 года Cardpool.com действовал в качестве подарка. рынок карт, где люди могут продавать ненужные подарочные карты в магазин, а другие могут их покупать. Пока сайт был активен, ежемесячно его посещали в среднем 300 000 человек, 85% из которых находились в США.
Остается неясным, закрылся ли Cardpool из-за пандемии COVID-19 или нарушения.
Поскольку платежные карты были украдены из магазина подарочных карт, а платежные карты и подарочные карты были проданы одним и тем же актером, Gemini с умеренной уверенностью оценивает, что подарочные карты, выставленные на продажу, также были украдены во время взлома Cardpool.com.
Главная страница Cardpool.com на 11 января 2021 г.
Также следует отметить, что сам Cardpool и другие подобные ему сайты часто использовались киберпреступниками как способ монетизации украденных подарочных и платежных карт. В этой схеме киберпреступники использовали украденные платежные карты для покупки подарочных карт, а затем продавали подарочные карты Cardpool. Если банк определит, что подарочная карта была приобретена с помощью украденной платежной карты, он может связаться с торговым банком или поставщиками подарочных карт, которые выпустили подарочную карту, и потребовать, чтобы они аннулировали подарочную карту. К сожалению, этот процесс может оказаться громоздким и трудоемким, что делает его редким явлением и дает киберпреступникам более широкий временной интервал для реализации своей схемы.
Что еще более важно, после продажи подарочной карты на торговой площадке, такой как Cardpool, киберпреступник уже получил бы прибыль с Cardpool.com, а продавец, который продал подарочную карту киберпреступнику, застрял бы в выплате возвратного платежа. Теоретически Cardpool тогда также должен был бы вернуть деньги покупателю, который купил аннулированную подарочную карту, но, по данным BBB, магазин часто отказывался возвращать деньги обманутым покупателям.
Нарушение: доступ к серверной части раскрывает данные
Стандарт безопасности данных индустрии платежных карт, который определяет, какие типы данных клиентов разрешено хранить интернет-магазинам, предусматривает, что интернет-магазины не могут хранить данные CVV. Важно отметить, что 330 000 карт, выставленных на продажу после этого взлома, не содержали CVV. Хотя на картах также не было имени держателя карты, продавцам разрешено хранить эти данные, что означает, что Cardpool, вероятно, предпочел не хранить их. Отсутствие данных CVV указывает на то, что субъект, вероятно, приобрел карты, получив внутренний доступ к Cardpool.com, что позволило бы им украсть данные подарочных карт и данные платежных карт предыдущих покупателей непосредственно из баз данных сайта. Злоумышленники могут получить серверный доступ к интернет-магазинам с помощью различных методов, включая использование уязвимостей в системах управления контентом (CMS) сайтов и подбора учетных данных администратора.
И наоборот, если бы субъект получил данные карты, внедрив скиммер платежных карт на сайт, вероятно, что данные также включали бы CVV и имя держателя карты. Злоумышленники обычно внедряют скиммеры платежных карт на сайты жертв. Этот процесс известен как атаки Magecart, используя уязвимости в CMS для вставки вредоносного кода JavaScript на сайт.
Покупатели: подарочные карты против платежных карт
Если посмотреть на цены на набор платежных карт (330 000 с покупной ценой 15 000 долларов США) и набор подарочных карт (895 000 с приблизительной общей стоимостью 38 миллионов долларов и покупной ценой 20 000 долларов США), главное, что Обращает на себя внимание то, что оба набора карт предлагались по ценам намного ниже типичных цен для платежных и подарочных карт.
С подарочными картами у киберпреступников есть два варианта монетизации: покупать товары и перепродавать их или, как упоминалось ранее, продавать карты стороннему рынку подарочных карт, например Cardpool. Большим преимуществом для киберпреступников является меньшее количество проверок личности с помощью подарочных карт; они могут просто ввести код подарочной карты онлайн и завершить покупку или зайти в магазин и провести подарочную карту.
Как правило, скомпрометированные подарочные карты продаются за 10% от стоимости карты в даркнете; однако 895 000 карт, предложенных в результате взлома, были оценены примерно в 0,05% от стоимости карты. Во-первых, вполне возможно, что актер преувеличил общую стоимость подарочных карт, чтобы увеличить продажи, но основным фактором, снижающим их цену, был низкий срок действия, который относится к тому, активны ли карты и могут ли они использоваться в гнусных целях. Несмотря на то, что было почти миллион карт, цена включала предположение, что значительная часть будет недействительной или будет иметь низкий баланс (возможно, потому, что даже сам актер использовал некоторые из карт перед их продажей).
С помощью платежных карт киберпреступники могут монетизировать их с помощью различных схем, таких как простая покупка товаров и их последующая перепродажа на онлайн-рынках, таких как Amazon, или выполнение более изощренного мошенничества, такого как мошенничество с туристическими услугами. В случае карт, обнаруженных в результате взлома Cardpool, стоимость карты была резко снижена в расчете на единицу примерно в 0,05 доллара. Цена со скидкой была обусловлена двумя факторами: отсутствием данных CVV и имени держателя карты, а также тем фактом, что нарушение произошло в 2019 году.
Логично, что чем больше информации о жертве содержится в записи о платежной карте, тем больше она заплатит. Например, открытая карта «Карта без предъявления» - карта, которая была взломана в результате транзакции, которая не проводилась лично, - имеет среднюю цену в 12 долларов в темной сети, если она включает CVV. И наоборот, если карта не включает CVV, как карты от Cardpool, то средняя цена снижается до 6 долларов. Причина этого проста: очень немногие поставщики будут обрабатывать транзакцию без правильных данных CVV. Однако 330 000 карт были проданы намного ниже этого уровня, потому что киберпреступники в подавляющем большинстве хотят скомпрометированные карты, которые являются «свежими» (т. е. недавно украденными), поскольку они с большей вероятностью будут работать. В конечном итоге, по стандартам киберпреступников, платежные карты, украденные у Cardpool в 2019 году, уже были явно устаревшими, и это отражало их стоимость.
Продавец: Опытный русскоязычный хакер
Киберпреступник, продающий подарочные и платежные карты, является плодовитым русскоязычным хакером, который в прошлом размещал аналогичные предложения. Дальнейший анализ показал, что актер был активен на форумах темного Интернета высшего и среднего уровня с 2010 года. Предыдущие предложения актера включали крупномасштабные продажи украденных данных платежных карт, взломанных баз данных и личной информации (PII). жителей США.
Заключение
Случай с Cardpool.com предлагает ценную возможность заглянуть в экосистему кардинга. Во-первых, сайт стал жертвой взлома, в результате которого были обнаружены 330 000 платежных карт, а также, вероятно, он стал источником открытых подарочных карт на сумму 38 миллионов долларов. Во-вторых, последующая продажа карт в темной сети дает представление о том, как киберпреступники оценивают различные типы карт и конкретные виды данных, которые требуют более высокой цены на криминальных форумах и торговых площадках. В-третьих, сайт также был инструментом, который киберпреступники использовали для монетизации украденных карт, независимо от того, скомпрометировали ли они карты сами или купили их на торговых площадках в темной сети. Это третье мнение, в частности, проливает свет на тот важный факт, что для большинства киберпреступников.
- В феврале 2021 года киберпреступник продал 330 000 украденных платежных карт и 895 000 украденных подарочных карт на общую сумму около 38 миллионов долларов.
- Близнецы определили, что источником украденных платежных карт было нарушение работы онлайн-магазина подарочных карт Cardpool.com.
- Gemini с умеренной уверенностью оценивает, что взлом Cardpool.com также стал источником украденных подарочных карт.
- Взлом Cardpool.com дает ценную информацию о том, как киберпреступники оценивают различные типы украденных карт, а также показывает, как киберпреступники используют такие сайты, как Cardpool.com, для монетизации карт после их кражи.
Продажи: 38 миллионов долларов в виде подарочных карт и 330 тысяч платежных карт.
В начале февраля 2021 года аналитики Gemini заметили, что уважаемый хакер на ведущем русскоязычном хакерском форуме предложил продать 895000 украденных подарочных карт от 3010 компаний на общую сумму около 38 миллионов долларов. Актер утверждал, что база данных содержит более 3000 подарочных карт с фирменными знаками и затрагивает ведущие компании в различных отраслях, таких как AirBnB, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target и Walmart. Актер начал аукцион со стартовой цены в 10 тысяч долларов и покупной цены в 20 тысяч долларов. Подарочные карты были куплены другим актером вскоре после того, как карты были выставлены на продажу.
Через день тот же актер предложил продать 330 000 кредитных и дебетовых карт (далее - платежные карты) на том же форуме. По словам актера, данные включали платежный адрес жертвы и частичные данные платежной карты, включая номер платежной карты, дату истечения срока действия и название банка, но не включали CVV или имя держателя карты. Актер начал торги за базу данных с 5000 долларов и объявил цену покупки сейчас в 15000 долларов. Платежные карты также продаются в течение нескольких дней после их выставления на продажу, хотя и менее быстро, чем подарочные карты.
Взломанный торговец: Cardpool.com
Посредством последующего анализа Gemini Advisory пришла к выводу, что 330 000 платежных карт, вероятно, возникли в результате взлома онлайн-магазина подарочных карт Cardpool.com в период с 4 февраля по 4 августа 2019 года. До закрытия в начале 2021 года Cardpool.com действовал в качестве подарка. рынок карт, где люди могут продавать ненужные подарочные карты в магазин, а другие могут их покупать. Пока сайт был активен, ежемесячно его посещали в среднем 300 000 человек, 85% из которых находились в США.
Остается неясным, закрылся ли Cardpool из-за пандемии COVID-19 или нарушения.
Поскольку платежные карты были украдены из магазина подарочных карт, а платежные карты и подарочные карты были проданы одним и тем же актером, Gemini с умеренной уверенностью оценивает, что подарочные карты, выставленные на продажу, также были украдены во время взлома Cardpool.com.
Главная страница Cardpool.com на 11 января 2021 г.
Также следует отметить, что сам Cardpool и другие подобные ему сайты часто использовались киберпреступниками как способ монетизации украденных подарочных и платежных карт. В этой схеме киберпреступники использовали украденные платежные карты для покупки подарочных карт, а затем продавали подарочные карты Cardpool. Если банк определит, что подарочная карта была приобретена с помощью украденной платежной карты, он может связаться с торговым банком или поставщиками подарочных карт, которые выпустили подарочную карту, и потребовать, чтобы они аннулировали подарочную карту. К сожалению, этот процесс может оказаться громоздким и трудоемким, что делает его редким явлением и дает киберпреступникам более широкий временной интервал для реализации своей схемы.
Что еще более важно, после продажи подарочной карты на торговой площадке, такой как Cardpool, киберпреступник уже получил бы прибыль с Cardpool.com, а продавец, который продал подарочную карту киберпреступнику, застрял бы в выплате возвратного платежа. Теоретически Cardpool тогда также должен был бы вернуть деньги покупателю, который купил аннулированную подарочную карту, но, по данным BBB, магазин часто отказывался возвращать деньги обманутым покупателям.
Нарушение: доступ к серверной части раскрывает данные
Стандарт безопасности данных индустрии платежных карт, который определяет, какие типы данных клиентов разрешено хранить интернет-магазинам, предусматривает, что интернет-магазины не могут хранить данные CVV. Важно отметить, что 330 000 карт, выставленных на продажу после этого взлома, не содержали CVV. Хотя на картах также не было имени держателя карты, продавцам разрешено хранить эти данные, что означает, что Cardpool, вероятно, предпочел не хранить их. Отсутствие данных CVV указывает на то, что субъект, вероятно, приобрел карты, получив внутренний доступ к Cardpool.com, что позволило бы им украсть данные подарочных карт и данные платежных карт предыдущих покупателей непосредственно из баз данных сайта. Злоумышленники могут получить серверный доступ к интернет-магазинам с помощью различных методов, включая использование уязвимостей в системах управления контентом (CMS) сайтов и подбора учетных данных администратора.
И наоборот, если бы субъект получил данные карты, внедрив скиммер платежных карт на сайт, вероятно, что данные также включали бы CVV и имя держателя карты. Злоумышленники обычно внедряют скиммеры платежных карт на сайты жертв. Этот процесс известен как атаки Magecart, используя уязвимости в CMS для вставки вредоносного кода JavaScript на сайт.
Покупатели: подарочные карты против платежных карт
Если посмотреть на цены на набор платежных карт (330 000 с покупной ценой 15 000 долларов США) и набор подарочных карт (895 000 с приблизительной общей стоимостью 38 миллионов долларов и покупной ценой 20 000 долларов США), главное, что Обращает на себя внимание то, что оба набора карт предлагались по ценам намного ниже типичных цен для платежных и подарочных карт.
С подарочными картами у киберпреступников есть два варианта монетизации: покупать товары и перепродавать их или, как упоминалось ранее, продавать карты стороннему рынку подарочных карт, например Cardpool. Большим преимуществом для киберпреступников является меньшее количество проверок личности с помощью подарочных карт; они могут просто ввести код подарочной карты онлайн и завершить покупку или зайти в магазин и провести подарочную карту.
Как правило, скомпрометированные подарочные карты продаются за 10% от стоимости карты в даркнете; однако 895 000 карт, предложенных в результате взлома, были оценены примерно в 0,05% от стоимости карты. Во-первых, вполне возможно, что актер преувеличил общую стоимость подарочных карт, чтобы увеличить продажи, но основным фактором, снижающим их цену, был низкий срок действия, который относится к тому, активны ли карты и могут ли они использоваться в гнусных целях. Несмотря на то, что было почти миллион карт, цена включала предположение, что значительная часть будет недействительной или будет иметь низкий баланс (возможно, потому, что даже сам актер использовал некоторые из карт перед их продажей).
С помощью платежных карт киберпреступники могут монетизировать их с помощью различных схем, таких как простая покупка товаров и их последующая перепродажа на онлайн-рынках, таких как Amazon, или выполнение более изощренного мошенничества, такого как мошенничество с туристическими услугами. В случае карт, обнаруженных в результате взлома Cardpool, стоимость карты была резко снижена в расчете на единицу примерно в 0,05 доллара. Цена со скидкой была обусловлена двумя факторами: отсутствием данных CVV и имени держателя карты, а также тем фактом, что нарушение произошло в 2019 году.
Логично, что чем больше информации о жертве содержится в записи о платежной карте, тем больше она заплатит. Например, открытая карта «Карта без предъявления» - карта, которая была взломана в результате транзакции, которая не проводилась лично, - имеет среднюю цену в 12 долларов в темной сети, если она включает CVV. И наоборот, если карта не включает CVV, как карты от Cardpool, то средняя цена снижается до 6 долларов. Причина этого проста: очень немногие поставщики будут обрабатывать транзакцию без правильных данных CVV. Однако 330 000 карт были проданы намного ниже этого уровня, потому что киберпреступники в подавляющем большинстве хотят скомпрометированные карты, которые являются «свежими» (т. е. недавно украденными), поскольку они с большей вероятностью будут работать. В конечном итоге, по стандартам киберпреступников, платежные карты, украденные у Cardpool в 2019 году, уже были явно устаревшими, и это отражало их стоимость.
Продавец: Опытный русскоязычный хакер
Киберпреступник, продающий подарочные и платежные карты, является плодовитым русскоязычным хакером, который в прошлом размещал аналогичные предложения. Дальнейший анализ показал, что актер был активен на форумах темного Интернета высшего и среднего уровня с 2010 года. Предыдущие предложения актера включали крупномасштабные продажи украденных данных платежных карт, взломанных баз данных и личной информации (PII). жителей США.
Заключение
Случай с Cardpool.com предлагает ценную возможность заглянуть в экосистему кардинга. Во-первых, сайт стал жертвой взлома, в результате которого были обнаружены 330 000 платежных карт, а также, вероятно, он стал источником открытых подарочных карт на сумму 38 миллионов долларов. Во-вторых, последующая продажа карт в темной сети дает представление о том, как киберпреступники оценивают различные типы карт и конкретные виды данных, которые требуют более высокой цены на криминальных форумах и торговых площадках. В-третьих, сайт также был инструментом, который киберпреступники использовали для монетизации украденных карт, независимо от того, скомпрометировали ли они карты сами или купили их на торговых площадках в темной сети. Это третье мнение, в частности, проливает свет на тот важный факт, что для большинства киберпреступников.
