Lord777
Professional
- Messages
- 2,577
- Reaction score
- 1,556
- Points
- 113
Новый сервис, запущенный в Dark Web на этой неделе, упрощает процесс обмана жертв, чьи данные карты были раскрыты, с целью получения PIN-кода их карты.
Сервис, на который мы будем ссылаться в этой статье на основе первых трех символов его URL-адреса Onion (QAF), попал в поле зрения Bleeping Computer в среду, 1 марта, после спам-кампании XMPP.
Целью QAF является категория мошенников, называемых кардерами, которые занимаются кражей и коммерциализацией данных платежных карт, а также печатают клонированные платежные карты и выводят средства со счетов жертв с помощью денежных мулов.
Согласно рекламе QAF, сервис позволяет кардерам создавать учетные записи, а затем покупать кредиты. Клиенты QAF могут использовать эти кредиты для совершения звонков жертве через сервис.
QAF наконец-то добавляет некоторую ценность "дампам"
Кардерам необходимо указать имя жертвы, последние четыре цифры своей платежной карты, название банка и номер телефона банка.Первые два типа информации, имя жертвы и последние четыре цифры его платежной карты, всегда включаются в данные, украденные преступниками из POS-систем или интернет-магазинов.
Третий, название банка, может быть выведен из банковского идентификационного номера (BIN), который представляет собой первые четыре или шесть цифр номера платежной карты клиента.
Четвертый, номер телефона банка, можно легко найти с помощью браузера или телефонной книги.
QAF звонит пользователям и обманом заставляет их раскрывать свой PIN-код
QAF работает, "вызывая" пользователя и прося его "подтвердить свой PIN-код банкомата". Администраторы QAF утверждают, что "звонок" подделан, чтобы выглядеть так, будто он исходит с телефонного номера банка. Неясно, задействован ли в этом процессе обзвона пользователей человек-оператор, робот для автоматических звонков или SMS-сообщения, которые заманивают жертв на поддельный банковский портал.Операторы QAF, с которыми связался Bleeping Computer через стороннюю компанию, отказались комментировать эту историю.
Если трюк сработает и клиенты укажут свои PIN-коды, они появятся на панели управления клиента.
Сервис QAF в настоящее время находится на стадии бета-тестирования, и регистрация открыта для всех. Его автор (ы) заявляет, что намерен закрыть регистрацию, когда QAF выйдет из бета-версии, и у сервиса будет "достаточно пользователей", чтобы поддерживать себя.
Пользователи, зарегистрировавшиеся во время бета-тестирования, в настоящее время получают 20 бесплатных кредитов на звонки для тестирования сервиса. Прежде чем они получат бесплатные кредиты, им необходимо активировать аккаунты, отправив 150 долларов в биткоинах на биткоин-адрес администратора. Это также дает им пять кредитов на звонки.
Администраторы QAF говорят, что плата за активацию взимается ежемесячно, и после выхода сервиса из бета-версии она составит 250 долларов в месяц.
QAF выглядит очень привлекательной целью
Хотя цена выглядит завышенной, учитывая, что клиенты получают всего пять визитных карточек, если кардеры получат PIN-код для хорошо укомплектованной платежной карты, они могут заработать тысячи долларов взамен, когда опустошат аккаунт жертвы.Сегодня существуют сотни форумов и веб-сайтов, где кардеры могут продавать или покупать "дампы" - название, которое они используют для сбора данных платежных карт, таких как имена, номера карт, CVV-коды, адреса и другую информацию, которую они собирают при взломе POS-систем или интернет-магазинов.
В большинстве случаев эти данные бесполезны без PIN-кода, что показывает, почему такой сервис, как QAF, так важен.
Не думал, что нам следует специально добавлять это в статью, но вот краткое напоминание: Никогда никому не сообщайте PIN-код вашей платежной карты! Банки никогда не спрашивают у своих клиентов их PIN-код.
(c) https://www.bleepingcomputer.com/ne...trick-you-in-revealing-your-payment-card-pin/
