Обзор кардинг магазинов по продаже кредитных карт

[Carding 4 Carders]

Киберпреступные магазины кредитных карт​

Если вы интересуетесь киберпреступной сферой, то для вас не должно быть новостью, что текущая модель рынка и форума киберпреступников испытывает беспрецедентную нестабильность и неопределенность. В последние недели к клубу неуверенности присоединился еще один участник: BriansClub - автоматизированный торговый сайт (AVC), специализирующийся на похищенных данных кредитных карт, который, как сообщается, стал жертвой целенаправленной атаки на его центр обработки данных.
В этом блоге мы определяем, повлияет ли эта целенаправленная атака на BriansClub на более широкий ландшафт киберпреступников в сфере кредитных карт, и размышляем, может ли это побудить сообщество подтолкнуть еще один магазин кредитных карт AVC к вершине.

BRIANSCLUB: ЧТО СЛУЧИЛОСЬ?​

В октябре 2019 года Krebs on Security сообщил, что данные были украдены из BriansClub, в результате чего было обнаружено около 26 миллионов украденных кредитных и дебетовых карт. Иронично? Мы тоже так думали. В настоящее время неизвестно, были ли украденные данные доступны из других источников. Такие нарушения особенно сложно отследить, так как их часто можно продать другому AVC или форуму.

BRIANSCLUB: ЧТО ДЕЛАЕТ ЕГО ВЕРОЯТНОЙ ЦЕЛЬЮ?​

В киберпреступной среде это мир собак и собак, и ни один сайт, будь то форум, торговая площадка или AVC, не является безопасным. Учитывая огромный объем данных, доступных на сайте, в сочетании с высокой средней стоимостью, присвоенной каждой взломанной карте (по оценкам, каждая стоит 500 долларов США), BriansClub является привлекательной целью для киберпреступников. Хотя источник, ответственный за атаку, еще не установлен, вполне вероятно, что они были финансово мотивированы, а также движимы эгоизмом, поскольку обращение к Кребсу из службы безопасности указывает на то, что актер стремился к огласке, а также к доступу к 26 миллионам украденных карт.

МАГАЗИНЫ КРЕДИТНЫХ КАРТ: ЧЕМ ОБЪЯСНЯЕТСЯ ИХ ПОПУЛЯРНОСТЬ?​

Популярность интернет-магазинов киберпреступников со временем росла, отчасти из-за простоты доступа, а также из-за большого количества доступных данных кредитных карт, которые часто обновляются ежедневно. Киберпреступнику, желающему совершить финансовое мошенничество, достаточно зарегистрироваться на одном из этих сайтов, выбрать банк по своему выбору, а затем выбрать соответствующий аккаунт для покупки. Все это делается несколькими щелчками мыши и парой нажатий клавиш.

Рисунок 1. Пример магазина кредитных карт киберпреступников, Trump's Dumps

BRIANSCLUB: ЧТО ВЕДЕТ К УСПЕШНОЙ БИЗНЕС-МОДЕЛИ?​

Бизнес-модель BriansClub основана на зарабатывании денег на скомпрометированных данных карты. Если не учитывать тот факт, что BriansClub продал 9,1 миллиона карточек, по оценкам отчета, AVC заработала бы 126 миллионов долларов от продаж. Такая цифра демонстрирует, что у киберпреступников есть огромный стимул использовать такую платформу, поскольку окупаемость инвестиций является «полезной» (хотя и крайне незаконной).
Чтобы эффективно получать огромную прибыль, BriansClub и другие магазины CC AVC полагаются на постоянную поставку «свежих» данных организациями, именуемыми «аффилированными лицами» или «поставщиками», которые напрямую являются источниками информации. Свежие данные можно разделить на следующие категории:

1. Карта, которая не была аннулирована банком жертвы,
2. Аккаунты CC, которые были отправлены на сайт AVC в кратчайшие сроки
3. Данные, которые ранее не рекламировались на других AVC

Аффилированные лица или поставщики впоследствии пересылают эти данные в магазин и взамен получают часть прибыли за любые успешные транзакции. Использование такой модели исключает риск попытки правоохранительных органов найти прямой источник.
Тем не менее, для обеспечения бесперебойной работы магазинов необходим главный навык: выбор времени. Если украденные данные CC не собираются, не доставляются и не рекламируются своевременно, CC может быть аннулирован еще до того, как покупатель успеет его просмотреть. Такие случаи могут затем повлиять на репутацию магазина AVC в среде киберпреступников, доверие клиентов к этой услуге и, в конечном итоге, на объем интернет-трафика, проходящего через его двери.
Неудача в любой из вышеперечисленных областей приводит к плохой репутации, которая распространяется по всему киберпреступному сообществу, что снижает объем интернет-трафика и продаж.

КИБЕРПРЕСТУПНЫЕ МАГАЗИНЫ КРЕДИТНЫХ КАРТ: КТО ЗАЙМЕТ ТРОН?​

BriansClub - один из многих известных магазинов CC AVC, которые в настоящее время работают и продают аналогичные наборы данных. В среде киберпреступных магазинов кредитных карт широко распространено мнение, что большая часть существующих украденных данных CC реплицируется на этих сайтах и не является уникальной для одной конкретной платформы. Сцена также наводнена сайтами «потрошители», стремящимися охотиться на желающих покупателей. В подобных случаях покупатели ошибочно полагают, что они покупают действующую кредитную карту. Успех сайтов AVC, как и форумов, зависит от нескольких факторов:

1. Репутация: как и любой другой бизнес, стремящийся привлечь клиентов, сайты CC AVC в значительной степени полагаются на репутацию, продвигаемую в значительной степени через форумы - хорошая репутация вызывает доверие.
2. Платный цифровой маркетинг: киберпреступники разбираются в цифровых технологиях. Сканируя преступный мир киберпреступников, вы можете встретить платные рекламные места на самых престижных сайтах. Сама по себе реклама не ведет к успеху, но инвестирование в маркетинг способствует продвижению бренда и распространению информации, помимо молвы. Инвестиции в цифровой маркетинг также стимулируют интернет-трафик, который необходим, поскольку без достаточного интереса и заинтересованности со стороны пользователей AVC быстро умрет.
3. Эксклюзивность: наиболее уважаемые кардинговые AVC используют своего рода закрытый вход, гарантируя, что пользователи чувствуют себя частью эксклюзивного сообщества и побуждают подавать заявки только серьезных клиентов. Закрытый вход может означать, что клиенты платят за учетные записи, например Briansclub, или это может означать модель только по приглашению, например AVC Benumb. В случае платных учетных записей, таких как Briansclub, этот процесс позволит сохранить учетную запись клиента после короткого временного периода членства. Ранее работавший только по приглашениям, другой известный и хорошо продаваемый кардинг AVC, Joker's Stash, перешел на платный доступ в 2018 году.
4. Обслуживание клиентов: AVC нуждаются в обслуживании клиентов, чтобы взаимодействовать со своей клиентской базой на форумах, отвечать на запросы и выполнять различные другие функции администратора.
5. Взаимодействие с пользователем: AVC, как и форумы, нуждаются в постоянном взаимодействии с пользователем, стабильной функциональности сайта и работе с программным обеспечением с ошибками. Успешное выполнение этого требования будет стимулировать лояльность клиентов.
6. Мистика: многие популярные кардинговые AVC уже давно существуют в киберпреступной среде. Из-за конкуренции со стороны сайтов-рипперов, маскирующихся под надежные AVC, администраторы в значительной степени избегали различных форм общения, вместо этого ограничивая общение форумами и контактными формами через свои собственные сайты. Это означает, что немногие могут стать ближе, чем поверхностные деловые отношения; это также могло помешать правоохранительным органам блокировать работу этих сайтов. В целом это способствовало созданию атмосферы таинственности вокруг самых успешных сайтов.

Рис. 2 и 3. Реклама Joker Stash на форуме в темной сети.

Хотя атака на BriansClub может несколько повлиять на его репутацию на сцене CC AVC, маловероятно, что AVC закроет двери своих магазинов из-за доверия и клиентской базы, которую он уже получил. Вероятная вероятность того, что после этой атаки, конкуренция в этом пространстве будет продолжать расти, и каждая платформа будет бороться за право быть королем. Есть много других предложений, которые ждут своего часа, примеры включают, но не ограничиваются:

• Тайник Джокера
• Дампы Трампа
• Deluxe Market
• Магазин Unicc
• Benumb

Чтобы добиться успеха, магазину AVC, как и форуму, могут потребоваться значительные ресурсы для инвестирования в вышеперечисленное.

КАК ОНИ БУДУТ СПРАВЛЯТЬСЯ С ПРОЖЕКТОРОМ?​

Хотя о существовании магазинов CC хорошо известно, любое усиление освещения в СМИ, вероятно, привлечет дополнительное внимание правоохранительных органов и агентств по борьбе с мошенничеством, стремящихся пресечь и предотвратить этот вид деятельности. Но открытие того, сколько денег можно заработать с помощью этих онлайн-магазинов CC, может рекламировать рентабельность для более широкой аудитории и привлекать все большее число единомышленников, готовых воспользоваться преимуществами.

Однако повышенное нежелательное внимание может побудить «аффилированных лиц» - то есть поставщиков украденных данных кредитной карты - этих онлайн-магазинов CC задаться вопросом о рисках, связанных с продажей их данных третьей стороне. В результате Digital Shadows теперь начинает видеть все больше филиалов, напрямую рекламирующих свои наборы данных на форумах киберпреступников, чтобы попытаться нейтрализовать эту угрозу [см. Рисунок 4]. Вендинг на форумах не только устраняет финансовые последствия продажи через третьих лиц, но и дает больший контроль над тем, кто может просматривать и покупать данные в целом. Обратной стороной рекламы на форуме является поиск заинтересованных и надежных покупателей.

Рисунок 4: База данных CC, рекламируемая на форуме Dark Web

Влияние атаки BriansClub на более широкую сцену CC AVC пока не очевидно. Существование любой платформы зависит от реакции киберпреступного сообщества. Злоумышленники могут либо продолжить использование BriansClub и аналогичных сервисов, несмотря на нежелательное внимание, либо переключиться исключительно на форумы киберпреступников, чтобы покупать и продавать такие наборы данных, либо их комбинацию. Хотя сцена CC AVC в целом может получить некоторый репутационный удар от этой атаки, вполне вероятно, что огласка докажут скептически настроенным пользователям, что имеющиеся данные являются законными и стоят значительных инвестиций.

Новый удар по рынкам Даркнета: Рынок кошмаров в беспорядке​

За последние три недели Digital Shadows наблюдала, как другой популярный криминальный рынок даркнета - Nightmare - столкнулся с рядом нарушений. Продавцы испытывали трудности со входом в учетные записи, их удаление с популярного темного веб-сайта Dark Fail и болтовня на форумах киберпреступников в темной сети, включая Dread , Torum и Hub , - все это указывает на возможность того, что время рынка Nightmare пришло.

КОШМАРНЫЙ РЫНОК: ЧТО ПОШЛО НЕ ТАК?​

Рынки киберпреступников на английском языке остаются под постоянным давлением - как из-за внешних факторов, так и факторов, обусловленных их положением в киберпреступной среде.
Кошмар, кажется, находится в эпицентре. В прошлом году мы наблюдали, как рынок Olympus, который, по прогнозам, станет рынком следующего поколения, прекратил торговать , за ним вскоре последовала еще одна восходящая звезда - Rapture. В апреле 2019 года Dream Market объявил о закрытии; Вскоре после этого рынок даркнета, Wall Street Market, по сообщениям, мошенничал с выходом. Кончина Nightmare точно отражает падение других рынков даркнета; а именно, будь то мошенничество с выходом, междоусобная борьба или нарушение правопорядка, вряд ли сайт восстановится. Digital Shadows определила три ключевых фактора, которые, вероятно, повлияли на его вероятный уход:

1. НИЗКАЯ БЕЗОПАСНОСТЬ​

Кошмарный рынок уже давно был вовлечен в драму. Слухи о мошенничестве с выходом из Nightmare впервые возникли в апреле - мае 2019 года. Затем, как сообщается, в июле на рынке произошел сбой, что привело к разоблачению мнемоники поставщиков и внутренних сообщений между персоналом. Взлом якобы совершил бывший инсайдер Nightmare, который хотел показать, что сайт собирался «выйти из афера». Администраторы Nightmare быстро опровергли утверждения, подчеркнув, что они не собирались этого делать. Неудивительно, что доверие клиентов к сайту не восстановилось.
Нарушение такого масштаба показало как поставщикам-киберпреступникам, так и клиентам, что депонированные средства мы не обеспечили; это имело решающее значение для подрыва доверия к этому рынку.
Вышеупомянутое могло доказать сообществу киберпреступников, что Nightmare не подходит для обеспечения безопасности, поскольку плохие меры могут отпугнуть киберпреступников (им нравится знать, что их средства доступны и безопасны).

2. ПЛОХОЙ ВЕБ-САЙТ: UX И ПРОИЗВОДИТЕЛЬНОСТЬ.​

У кошмарного рынка «ужасный UX», - заявил один пользователь еще в апреле на дискуссионном форуме даркнета The Hub. Другой пользователь заметил, что «невозможно» отправлять сообщения поставщикам или даже сообщать об ошибках. UX (пользовательский опыт) и производительность веб-сайта, как мы утверждали ранее, являются важными компонентами для успеха рынка. Они должны быть успешно встроены в сайт - ключевые факторы как лояльности, так и спроса. Согласно принципу, довольный покупатель - это постоянный покупатель. Nightmare мало что может сделать, чтобы остановить переход на лучшие платформы.

Рисунки 1 и 2: Жалобы на Nightmare на дискуссионном форуме Hub.

3. ДОВЕРИЕ: КОШМАР ТЕРЯЕТ АККРЕДИТАЦИЮ​

Рейтинги важны, и даркнет не исключение. Снижение доверия заставило киберпреступное сообщество отвернуться от Nightmare.
Dread - сообщество в стиле Reddit с большой сектантой - назвало статус сервера сайта «мошенническим». Многие клиенты Nightmare, которые потратили время и добавили средства на сайт, обращаются к Dread, чтобы выразить свое разочарование и предупредить других: один призывал других «держаться подальше» от Nightmare, другой рекомендовал «ЗАКРЫТЬ СЧЕТА как можно скорее», а другой был менее сочувствие, принявшее отношение «Я же тебе сказал».

Рисунок 3: Рынок кошмаров дискредитирован на Dread

В довершение ко всему, Dark Fail - сайт, который позволяет пользователям проверять, находятся ли сайты даркнета в сети - сначала изменил его на «мошенничество», а затем полностью удалил «URL-адреса» из своих списков (см. Рисунок 3). Такой шаг подтверждает, что даже Dark Fail не доверяет рынку Nightmare.

ТОРГОВЫЕ ПЛОЩАДКИ КИБЕРПРЕСТУПНИКОВ: ПРЕПЯТСТВУЕТ ЛИ НЕСТАБИЛЬНОСТЬ ПРЕСТУПНОЙ ДЕЯТЕЛЬНОСТИ?​

Такая нестабильность создает головную боль (возможно, даже мигрень) для англоязычного киберпреступного мира. Появляются новые рынки, затем они исчезают, что порождает хаос. Однако такой хаос быстро становится все более заметной чертой киберпреступников. Но повлияют ли эти события на торговлю киберпреступниками? Вот что мы оцениваем:

• Отсутствие доверия: такая неустойчивость вызывает недоверие в сообществе. Кошмар говорит нам, что экосистема киберпреступников не имеет времени для «мошенничества с выходом» и неадекватных рынков - этих продавцов и торговых площадок быстро отсеивают.
• Умысел киберпреступников остается: хотя англоязычные рынки киберпреступников, по-видимому, сокращаются, преступные намерения остаются. Подпольные рынки - это наиболее доступный способ обслуживания широкой аудитории, поэтому мы можем ожидать появления новых рынков; однако они, как и другие, могут пройти тот же путь, что и их предшественники.
• Использование нескольких платформ. Поскольку торговая площадка становится все более токсичным брендом, мы оцениваем, что киберпреступники будут использовать любые доступные услуги для совершения сделок. Однако, хотя чат-сервисы, сайты вставки и AVCS могут представлять соблазнительную альтернативу, человеческий импульс к торговле в рыночной среде, вероятно, сохранится.

(c) digitalshadows.com