Кардинг боты тестируют информацию об оплате в преддверии крупных торговых событий

[Carding 4 Carders]

Поскольку основные события сезона праздничных покупок в этом году близятся к концу, киберпреступники также готовятся к грабежу, проверяя данные своих украденных карт с помощью недорогих покупок на веб-сайтах розничных продавцов.
Были замечены два новых таких кардинг-бота, использующие ведущие платформы электронной коммерции и API-интерфейсы поставщиков карточных платежей для веб-сайтов или мобильных приложений.

Подготовка к покупкам​

В связи с потоком утечек данных украденная информация о платежных картах доступна в огромных количествах. Киберпреступники знают, что они не могут полагаться на карты бесконечно, и что многие из них за короткое время становятся недействительными.
Преступникам необходимо проверить действительность карт, прежде чем проводить более крупные мошеннические операции или продавать их. Этот процесс автоматизирован с помощью ботов, нацеленных на небольшие веб-сайты, на которых обычно отсутствует защита от ботов.
Исследователи из компании, занимающейся безопасностью веб-приложений PerimeterX, обнаружили двух таких ботов, выполняющих кардинг атаки в преддверии сезона праздничных покупок. Данные за январь 2021 года показывают, что, хотя легитимный трафик падает, в ожидании таких событий, как Черная пятница и Киберпонедельник, вредоносный трафик стремительно растет, иногда превышая 700%.

Неспособность имитировать человеческие привычки​

Один из обнаруженных компанией ботов называется Canary. По словам исследователей, это наблюдалось как минимум в двух атаках, направленных на конкретную платформу электронной коммерции, используемую тысячами предприятий.
"Вредоносные боты, такие как бот-кардинг-канарейка, увеличивают активность по проверке украденных карт с помощью мелких транзакций, ведущих к праздникам. Кард-боты-канарейки исследуют хорошо известные платформы и тестируют свои уязвимости к атакам кардингу карт, чтобы использовать потенциально большое количество электронных пользователи веб-сайтов коммерции".
Исследователи смогли обнаружить атаку ботов Canary на основе несоответствий технологии по сравнению с тем, что обычно наблюдается у законных пользователей.
Версия браузера Safari 2011 года, изменяющая IP-адреса на ежедневной основе и порождаемая облачными службами и службами колокации, была признаком атаки. Также странно «не устанавливал язык запроса и принимаемый тип контента».
Однако бот имитировал поведение человека, создавая корзину покупок, добавляя в нее продукты и добавляя информацию о доставке.
Вторая атака этого бота также опиралась на облачные сервисы. Изменение IP-адреса и пользовательского агента для имитации реальных пользователей с разных мобильных устройств происходило быстрее.
Товары добавлялись прямо в корзину, без предварительной проверки их страниц, а затем перехода к оформлению заказа, что несовместимо с типичным человеческим поведением.

Выбирая ярлык​

Второй бот, наблюдаемый PerimeterX, называется «Ярлык», потому что он пытается полностью избежать посещения веб-сайта электронной коммерции, тем самым избегая опций обнаружения и смягчения последствий.
«Мы обнаружили, что в некоторых случаях злоумышленники обнаруживают пути с вызовами API, которые неизвестны даже операторам веб-сайтов. В целом, наши исследователи наблюдали растущую тенденцию злоупотребления конечными точками API для проверки кредитных карт в Интернете и на мобильных устройствах. Приложения."
Это происходит, когда платежи обрабатываются внешними службами. Сторонний сервис проверяет карту через конечную точку API и возвращает ответ. Этот ярлык позволяет злоумышленникам достичь своей цели, не взаимодействуя с веб-сайтом.
Этот метод использовался на трех веб-сайтах, продающих одежду, спортивную одежду и продуктовые магазины. Во всех случаях для проверки действительности украденных карт использовался единый путь.

Обнаружение активности кардинг бота​

Несколько злоумышленников могут использовать одни и те же инструменты, поскольку они стали довольно популярными для проверки действительности данных карты. Вряд ли в ближайшее время откажутся от этих методов.
Несмотря на попытки имитировать человеческое поведение, активность кард-ботов сегодня не так уж сложно распознать. Попытки оплаты с пустой корзиной являются одним из признаков злонамеренных действий, равно как и увеличение количества разрешений на платеж, более высокий уровень возвратных платежей или более низкая, чем обычно, средняя стоимость корзины.
Если эти симптомы подтверждаются общим пользовательским агентом, IP-адресом, сеансом или отпечатком устройства, скорее всего, работает кард-бот.
Одна из рекомендаций PerimeterX - запретить доступ к странице оплаты, если корзина пуста. Хотя это не останавливает всех кардинг-ботов, но защищает от более простых. Однако следует использовать более сильную защиту.

 

[Carding 4 Carders]

Киберпреступники используют кард-ботов для проверки украденных данных платежных карт перед их использованием.​

Киберпреступникам необходимо проверить достоверность украденных данных карты перед проведением мошеннических операций или их продажей во время сезона праздничных покупок. Киберпреступники автоматизируют этот процесс с помощью кард-ботов, которые могут совершать небольшие покупки на сайтах небольших розничных сетей.

«Во время расследования этих увеличивающихся атак на страницы оформления заказа в течение месяцев, предшествующих праздничному сезону, исследовательская группа PerimeterX обнаружила двух новых кардинг ботов». «Один из новых кард-ботов, получивший название canary bot, использует ведущие платформы электронной коммерции, которые могут оказать значительное влияние на тысячи веб-сайтов, если они не будут заблокированы в ближайшее время. Второй кардинг-бот, получивший название «ярлык-бот», использует API-интерфейсы поставщика платежных карт, используемые веб-сайтом или мобильным приложением, и полностью обходит веб-сайт электронной коммерции».

Исследователи из PerimeterX заметили двух таких кардинговых ботов, нацеленных на электронные магазины, проводящие атаки на кардинг в преддверии сезона праздничных покупок.

На следующем графике показан трафик страницы оформления заказа для клиентов PerimeterX в феврале 2021 года.

Эксперты отметили, что настоящие покупатели отличаются от плохих актеров тем, что они меньше покупают перед праздничным сезоном. Вместо этого эксперты PerimeterX наблюдали всплеск вредоносного трафика перед праздничным сезоном, в некоторых случаях онповысился до более чем 700% с сентября.

Первые боты под названием Canary наблюдались как минимум в двух атаках, направленных на конкретную платформу электронной коммерции, используемую тысячами предприятий.

«Канарские кардинговые боты исследуют хорошо известный платформ и протестировать их уязвимости к кардинговым атакам, чтобы использовать потенциально большое количество электронная коммерцияпользователи веб-сайта. " - продолжают эксперты.
Исследователи смогли обнаружить первую атаку ботов Canary после того, как заметили, что версия браузера Safari с 2011 года меняет IP-адреса на ежедневной основе, исходящие из облака и размещение Сервисы.

Бот пытался имитировать человеческое поведение, это было создание корзина покупок, затем она добавляла в нее продукты, а также предоставляла информацию о доставке.

Вторая атака, связанная с ботом Canary, выглядит более изощренной, в отличие от предыдущей: она изменяла IP-адрес и пользовательский агент, чтобы имитировать реальных пользователей, имеющих разные мобильные устройства.
Во второй атаке бот имитировал другого человека. поведение добавляя товары прямо в корзину, не проверяя сначала их страницы, а затем переходя на страницу оформления заказа.

Второй кардинг-бот, отслеживаемый как «ярлык», пытается обойти веб-сайт электронной коммерции, чтобы избежать обнаружения.
«Мы обнаружили, что в некоторых случаях злоумышленники обнаруживают пути с вызовами API, которые неизвестны даже операторам веб-сайтов». констатируют исследователи. «В целом наши исследователи наблюдают растущую тенденцию злоупотребления конечными точками API для проверки кредитных карт в Интернете и в мобильных приложениях».

Этот второй сценарий атаки использует внешние сторонние сервисы обработки платежей. Злоумышленники, злоупотребляющие конечной точкой API, использовали эти сторонние сервисы для проверки кредитных карт.

Название «ярлык» происходит от злоумышленника, который напрямую обращается к платежным сервисам, минуя веб-сайт электронной коммерции.
Эксперты зафиксировали три атаки с участием бота Shortcut на три веб-сайта, торгующие одеждой, спортивной одеждой и продуктовый магазин.
Эксперты пояснили, что злоумышленники продолжат использовать кардинг ботов для проверки украденных данных карт, даже если сегодня обнаружить их довольно просто.

«Чтобы подготовиться, владельцы веб-сайтов электронной коммерции могут предпринять ряд действий. Во-первых, поскольку законные потребители, вероятно, никогда не попытаются произвести оплату с пустой корзиной, владельцы веб-сайтов могут помешать пользователям перейти на страницу оплаты без товара в корзине». заключает эксперты. «Эта базовая практика увеличивает усилия, необходимые для работы ботов, и останавливает простые атаки кардинга. Во-вторых, поскольку боты постоянно совершенствуются и имитируют поведение пользователей, владельцы веб-сайтов электронной коммерции должны уделять больше внимания продвинутым автоматизированным угрозам».