Содержание
- Что такое кардинг?
- Хрупкая экосистема кардинга
- Жалоба 1: Расходы
- Жалоба 2: Действительность
- Жалоба 3: Это сложно
- Тематическое исследование: Bankomat и BatMarket
Кардинг всегда рассматривался как путь к более сложным и тонким видам киберпреступности. Традиционно для покупки материалов в огромном количестве кардинг магазинов и маркетплейсов, доступных в темной паутине, требовались лишь технические знания низкого уровня и средства. В течение многих лет это было рекомендуемой отправной точкой для начинающих участников угроз.
Но недавние разговоры киберпреступников указывают на то, что в мире кардинга не все хорошо. Сочетание факторов — действия правоохранительных органов, усиление защиты, список можно продолжать — приводит к тому, что многие участники угроз полностью предсказывают гибель carding.
В этом блоге мы рассмотрим три наиболее часто обсуждаемые проблемы текущего рынка кардинга: повышение цен, снижение срока действия и более необычные альтернативы. Мы также рассмотрим два тематических исследования недавно запущенных кардинг магазинов и проанализируем влияние, которое они оказывают на кардинг экосистему, чтобы обдумать:
- Что эти разговоры говорят нам о будущем кардинга?
- Продолжает ли это представлять угрозу как для потребителей, так и для финансовых учреждений?
Что такое кардинг?
“Кардинг” - это термин, который мы в сообществе кибербезопасности часто используем, но давайте вернемся к основам и дадим определение концепции, чтобы мы все были на одной волне. Кардинг - это разновидность мошенничества, которое начинается с того, что киберпреступники различными способами получают данные платежной карты. Они могут получить доступ к системе обработки платежных карт онлайн-магазина и перехватить лог-трафик, содержащий данные карты и, возможно, даже дополнительные личные данные, такие как имена пользователей, пароли и номера социального страхования.В качестве альтернативы они могут установить шпионское ПО на компьютер жертвы, чтобы перехватывать данные платежной карты по мере их ввода. Или это может быть старомодный метод — использование физического скиммера банкомата, оснащенного записывающим устройством, для сбора информации, когда жертва вставляет свою карту в платежный автомат или проводит по ней пальцем.
Как только злоумышленник украдет данные карты, он может купить физические продукты, которые позже сможет продать на черном рынке. Второй вариант - покупка криптовалюты или предоплаченных подарочных карт, которые помогают мошенникам оставаться анонимными: Это устраняет требование предоставлять любую личную информацию, которая могла бы раскрыть реальную личность преступника. В-третьих, злоумышленники могут продавать информацию о карте на платформах киберпреступности множеством способов. Существуют общие форумы с разделами кардинга, специализированные кардинг форумы, универсальные торговые площадки и специализированные кардинговые AVC.
Карточный домик: хрупкая экосистема кардинга
Эта тщательно разработанная система методов получения и обмена реквизитами карт была потрясена ранее в этом году шокирующей операцией правоохранительных органов. В начале 2022 года представители давно существующей кардинг платформы UniCC объявили на нескольких форумах по киберпреступности об уходе операторов сайта. В заявлениях UniCC выражается благодарность “лояльным партнерам, клиентам и коллегам” и предостерегается от создания ”теорий заговора" по поводу закрытия сайта. У клиентов UniCC будет десять дней, чтобы потратить все средства, внесенные на сайт, а поставщикам будет “выплачено до последнего цента”.Несколько дней спустя на доменах UniCC появилось сообщение, в котором говорилось, что Министерство внутренних дел России закрыло сайт в рамках “специальной операции правоохранительных органов”. Пользователи форума киберпреступников подчеркнули, что исходный код уведомления о конфискации содержал зловещий скрытый вопрос: “Кто из вас следующий?”
Также появились новости о том, что в сотрудничестве с сотрудниками правоохранительных органов США ФСБ задержала четырех предполагаемых членов хакерской группы “Infraud Organization”. Среди них был организатор группы Андрей Новак, который также был администратором UniCC. Несколько дней спустя новые аресты, произведенные Министерством внутренних дел России, попали в заголовки газет: еще шесть человек были арестованы по тем же обвинениям — связанным с продажей украденной информации о кредитных картах, - которые были предъявлены предыдущим четырем.
Почти одновременно на доменах нескольких кардинг платформ появилось такое же уведомление о конфискации, как и на URL-адресах UniCC, в котором сообщалось, что Министерство внутренних дел России закрыло сайт в рамках “специальной операции правоохранительных органов”. Затронутые платформы включали давние оплоты кардинг индустрии, такие как Trump's Dumps, Ferum и Sky-Fraud, а также UAS магазина remote desktop protocol (RDP).
Отключения вызвали волну паники во всем сообществе киберпреступников. Без некоторых из самых надежных магазинов участники угрозы остались с ограниченными возможностями для покупок платежными картами. Репрессии также заставили кардеров задуматься, перевешивают ли потенциальные наказания за их незаконную деятельность прибыль.
Сразу после этих арестов правоохранительными органами пользователи отправились на форумы киберпреступников, чтобы поделиться своими опасениями по поводу арестов. Мы отслеживали разговоры, связанные с кардингом, на протяжении всего 2022 года и видели, как беспокойство перерастает в разочарование, а затем в прогнозы о том, что кардинг скоро прекратит свое существование.
Жалоба на киберпреступность 1: Увеличение стоимости кардинга
Вскоре после отключения мы начали замечать пользователей, советующих ”новичкам" избегать кардинга. Новички, обратившиеся за помощью для начала игры, внезапно начали получать ответы в теме с предложением выбрать другой тип вредоносной активности. Указанная причина? Цены на получение украденных данных платежной карты слишком высоки. В классическом случае рыночного спроса и предложения кажется, что меньшее количество кардинг платформ делает платежные карты более дорогими.До сих пор кардинг рассматривался как способ для начинающих мошенников начать свою криминальную карьеру из-за низкого требуемого стартового капитала. Всегда было довольно дешево купить несколько действительных реквизитов платежной карты, монетизировать их и получать небольшую прибыль от этих малозатратных действий. В этом есть смысл — те, кто только начинает свой бизнес, не заработали незаконных средств, которые им понадобятся для инвестирования в более дорогие материалы, которые могут принести им еще больше денег в будущем. Если начинать слишком дорого, это огромный и часто непреодолимый барьер для входа.
Пользователь форума киберпреступников жалуется на трудности для начинающих кардеров
Другое мнение заключалось в том, что средства, которые кардеры должны инвестировать, не оправдывают обычно небольшую прибыль. Мы наблюдали, как один из участников угрозы предположил, что кардинг в его нынешнем виде изжил себя. Они сказали, что немногие киберпреступники могут зарабатывать реальные деньги на этом виде вредоносной деятельности; несколько лет назад в статьях на форуме регулярно говорилось о том, что начинающие кардеры зарабатывают 3000-5000 долларов. Сегодня заработать всего 1000 долларов оказывается непросто.
Другой пользователь сказал, что “страшно” представить, каким будет будущее кардинга. Они предсказали, что, если проблемы не будут решены, кардинг вообще не будет прибыльным в течение “нескольких лет”.
Несмотря на потоки жалоб на кардинг, количество контента, связанного с кардингом, на платформах киберпреступников сокращается - даже на платформах, ориентированных на кардинг. Видим ли мы механизм защиты, запускаемый киберпреступниками? Опытные кардеры не выиграют от обмена советами, как они это делали раньше, и это только усилит конкуренцию на и без того сложном рынке.
Жалоба киберпреступников 2: снижение срока действия карт
Пользователи форума также утверждают, что из платежных карт, которые они выделяют для кардинга, все меньше и меньше являются действительными. Мы нашли интересную ветку на форуме, в которой один из участников угрозы углубился в возможные причины. Они заявили, что "снифферы” (см. Следующий раздел) могут ошибочно идентифицировать другие типы данных как данные кардинга. Они также предположили, что поставщики добавляют неверные данные, чтобы увеличить размер своей базы данных.Этот пользователь описал текущую ситуацию с кардингом как “голодовку”. Они жаловались на кардинг магазины, продающие дублированные кредитные карты с низким сроком действия, что дает нескольким субъектам угрозы доступ к одной и той же информации о карте. И они обнаружили, что только 500 из 426 684 украденных кредитных карт, которые они приобрели, были действительными — ошеломляюще низкий процент для любого аккаунта.
Мы видели пользователей, выражающих готовность платить больше за качественную кардинговую мастерскую, которая предоставляла бы данные, которым они могут доверять. Но мало доказательств того, что какая-либо из представленных на рынке кардинг мастерских надежно выполняет эту роль.
Пользователь форума киберпреступников жалуется на статус кардинга
Жалоба киберпреступников 3: Кардинг затруднен
Кардинг магазины или продавцы, торгующие на этих платформах, часто получают свои материалы от “снифферов” и “скиммеров”. Сниффер - это вредоносный скрипт, который злоумышленник внедряет на веб-сайты розничных продавцов. Скрипт крадет личные и платежные данные клиентов, включая данные кредитной карты. Скиммер обычно относится к небольшому физическому устройству, которое позволяет преступникам получать информацию с магнитной полосы карты, когда она вставляется в платежный автомат или проводится по нему пальцем.Некоторые кардеры утверждают, что отсутствие действительных материалов, доступных в кардинг мастерских, вынудило их отказаться от посредников (то есть от кардинг мастерской). Вместо этого они покупают материалы напрямую у злоумышленников, которые управляют скиммерами и снифферами. Это работает? Что ж, предположительно, это снизило вероятность дублирования платежных карт и увеличило шансы на хороший срок действия. В конце концов, в собственных интересах продавца предоставить лучший сервис своему “партнеру”.
Некоторые пользователи также заявили, что работать частным образом “в два раза дешевле”, чем покупать в магазинах. С другой стороны, вы можете возразить, что работа напрямую с другим киберпреступником - без обращения в арбитражный процесс или защиты со стороны авторитетного магазина ― только увеличивает вероятность быть обманутым.
Пользователь форума киберпреступников, рекламирующий сервис поиска
Необходимость научиться управлять снифферами или выстраивать отношения с операторами снифферов / скиммеров снизила привлекательность кардинга. Это больше не рассматривается как простой вид киберпреступления, требующий минимальных усилий. Получить данные карты с помощью инструментов поиска или скимминга непросто — чтобы пойти по этому пути, киберпреступник должен найти способ установить свой инструмент для сбора данных на цель, будь то цифровым или физическим способом.
Множество рекламных объявлений на форумах киберпреступников предлагают услуги по установке вредоносного ПО sniffer в целевые системы. Это лишь добавляет еще один шаг в цепочку кардинга и еще один этап процесса, который позволяет третьим сторонам извлекать выгоду для себя. Один из пользователей форума посетовал: “Верните мне мой 2002 год”. В те дни кардинг был гораздо более простым делом.
Тематические исследования чесальных мастерских: Bankomat и BatMarket
Давайте взглянем на два новых кардинг магазина, которые в последние недели рекламировались на громких русскоязычных форумах по киберпреступности. Что они могут рассказать нам о кризисе экосистемы кардинга?Впервые мы увидели рекламу англоязычного кардинг магазина BatMarket на форуме киберпреступников еще в августе 2022 года. Представитель сайта рекламировал “очень высокий” уровень действия карт BatMarket, их "выгодные” цены и “большое разнообразие” в базе данных магазина. Представитель изначально подчеркивал, что продавцам не нужно вносить депозит для продажи на сайте; позже они изменили правило и оговорили, что продавцы должны вносить в систему 50 долларов.
Реклама на кардинг форуме для BatMarket
Пользователь форума предложил протестировать магазин, а позже сообщил, что сайт был ”пустой тратой времени“ и "худшим магазином". Они уточнили: хотя магазин утверждает, что уровень годности составляет от 50 до 60%, они проверили 50 кредитных карт и нашли только 1 действительную карту. Другой участник форума поблагодарил пользователя за “экономию [моего] времени”. Они высказали мнение, что кардинг магазинов “сегодня становится все больше, как грибов”, но “поставщики все те же”.
Резкую критику продолжил другой пользователь: “Это еще один неизвестный, [без] отзывов, без имени, без предыстории о том, кто они и откуда, [и] без депозита, [который] немедленно запрашивает еще 50 долларов за регистрацию. Принимая во внимание текущую ситуацию на рынке кардинга, люди готовы покупать что угодно и где угодно от отчаяния, в надежде найти что-то подходящее.”
Давайте сравним это с другим сайтом, который мы впервые заметили примерно в то же время. Участники угроз оставили очень неоднозначные отзывы о Bankomat, магазине, который делал аналогичные заявления о высоком уровне валидности и простоте использования. Один из пользователей форума киберпреступников заявил, что они пользовались магазином около года и что это был “лучший” рынок кардинга, который они нашли. Хотя отзыв, возможно, был отправлен с поддельной учетной записи, созданной представителем сайта для стимулирования торговли — нередкое явление на платформах киберпреступников!
Другой пользователь оставил отрицательный отзыв о Bankomat, сообщив, что только 4 из 34 протестированных им карт были действительны. Они также утверждали, что сайт продавал те же данные, которые рекламировал всего несколько месяцев назад. Их разочарование было очевидным, когда они прокомментировали (на русском языке): “Я надеюсь, что ваш мошеннический проект прекратит работу”.
Кардеры, отчаянно ищущие новые кардинг мастерские, открывают новый шлюз, который другие участники угрозы могут использовать для мошенничества, создавая поддельные кардинг мастерские. Но представителя форума Bankomat, похоже, это не смутило; они продолжают продвигать магазин с момента получения отрицательного отзыва.
Пользователь форума о киберпреступниках, оставивший отрицательный отзыв о кардинг мастерской Bankomat
Неизбежен ли крах кардинга?
Нет сомнений в том, что экосистема кардинга стала более сложной и менее привлекательной для киберпреступников. Некогда простое начинание теперь представляет собой многоступенчатую операцию со множеством барьеров для входа и множеством точек потенциального отказа. Операции правоохранительных органов против кардеров также увеличили фактор риска. А снижение показателей достоверности поставило под вопрос прибыльность. Несмотря на это, мы не считаем “смерть кардинга”, которой опасаются многие участники угроз, неизбежной.Часто появляются новые кардинг мастерские, поэтому спрос на кардинг сохраняется. И, по крайней мере, некоторые участники угроз все еще верят, что они могут выжать деньги из этого вида киберпреступлений. Один из участников форума заявил: “Люди готовы покупать что угодно и где угодно в надежде найти что-то подходящее”. Будет ли отчаяние по-прежнему стимулировать продажи?
По крайней мере, растущая зависимость киберпреступников от программирования и эксплуатации собственных скиммеров свидетельствует о творческом подходе: они находят новые способы адаптироваться и продолжать кардинг в 2023 году и далее. Организации, предоставляющие финансовые услуги, и отдельные потребители должны быть в курсе сохраняющейся угрозы кардинга. Это особенно важно’ поскольку тактика и методы кардеров продолжают развиваться.
(c) Иван Хаменко - аналитик по разведке киберугроз
