Для образовательных целей я разберу пример операции Carding Action 2021, координируемой Europol с участием азиатских структур, включая компанию Group-IB (с головным офисом в Сингапуре), а также банков и платежных систем. Этот кейс демонстрирует, как эффективное взаимодействие различных сторон может привести к раскрытию и пресечению сложных кардинг-сетей, которые представляют угрозу для финансовых институтов и пользователей в Азии и за ее пределами.
Такой подход позволил создать замкнутый цикл: от обнаружения угрозы до ее нейтрализации.
Операция Carding Action 2021 показала, что региональные банки (например, DBS в Сингапуре или HDFC в Индии) могут эффективно сотрудничать с глобальными структурами, если используют передовые технологии анализа и обмениваются данными в реальном времени.
Что такое кардинг и почему он важен?
Кардинг — это вид киберпреступности, при котором злоумышленники используют украденные данные кредитных или дебетовых карт для несанкционированных транзакций, покупки товаров или вывода средств через посредников (так называемых "денежных мулов"). В Азии, где цифровые платежи стремительно растут (например, по данным Statista, объем транзакций в Юго-Восточной Азии в 2024 году превысил $620 млрд), кардинг стал одной из ключевых угроз для банков, платежных систем и клиентов. Кардеры часто действуют через даркнет-маркетплейсы, продавая украденные данные карт, что делает их сети сложными для отслеживания.Контекст операции Carding Action 2021
Операция Carding Action 2021 стала продолжением аналогичных инициатив, начатых в 2020 году, и была направлена на борьбу с кардинг-сетями, действующими на глобальном уровне, включая Азию. Она координировалась Europol (Европейское полицейское агентство) и Eurojust (Агентство ЕС по сотрудничеству в сфере уголовного правосудия) с привлечением правоохранительных органов из Италии, Великобритании и других стран, а также частных партнеров, таких как Group-IB, Visa, Mastercard и банки. В Азии ключевая роль принадлежала Group-IB, чей центр по анализу киберугроз в Азиатско-Тихоокеанском регионе (Сингапур) предоставил уникальные данные и технологии для отслеживания кардеров.Этапы сотрудничества
1. Роль банков и платежных систем
Банки и платежные системы, такие как Visa и Mastercard, играли критически важную роль в предоставлении данных и аналитики. Их участие включало:- Обнаружение аномалий: Банки анализировали транзакции на предмет подозрительных операций, таких как многократные попытки списания небольших сумм или транзакции из необычных географических точек. Это позволило выявить скомпрометированные карты.
- Оценка ущерба: По данным Europol, в ходе операции было обнаружено около 12 крупных продавцов на подпольных платформах, торгующих данными карт. Банки подсчитали, что потенциальный ущерб от этих данных мог составить €14 млн только в Европе, но значительная часть транзакций также затрагивала азиатские банки, особенно в странах с высоким уровнем цифровизации, таких как Сингапур, Малайзия и Индия.
- Блокировка карт: Платежные системы оперативно блокировали скомпрометированные карты, что предотвратило дальнейшие потери. Например, Visa Asia Pacific, активно работающая в регионе, предоставила данные о картах, которые использовались в азиатских транзакциях, что позволило локализовать часть сети.
2. Роль правоохранительных органов
Правоохранительные органы, включая Europol, Interpol и национальные агентства, координировали операцию на международном уровне. Их действия включали:- Обмен разведданными: Через платформы Europol, такие как SIENA (Secure Information Exchange Network Application), правоохранители обменивались информацией о подозреваемых и их инфраструктуре. Это включало IP-адреса, используемые кардерами, и данные о транзакциях, предоставленные банками.
- Идентификация преступников: В ходе операции были выявлены 12 ключевых фигур, управлявших продажей данных карт на даркнет-площадках, таких как Joker’s Stash и Ferum Shop. Некоторые из них действовали из азиатских стран, включая Индонезию и Филиппины.
- Аресты и конфискация: Правоохранители провели аресты и изъяли серверы, на которых хранились базы данных с украденными картами. В Азии это было особенно важно, так как регион часто используется как транзитный узел для отмывания средств через криптовалюты.
3. Роль Group-IB и азиатских структур
Group-IB, как специализированная компания по кибербезопасности с сильным присутствием в Азии, сыграла ключевую роль в технической разведке. Их вклад включал:- Анализ даркнета: Group-IB использовала свои инструменты, такие как Threat Intelligence & Attribution, для мониторинга подпольных форумов и маркетплейсов. Это позволило выявить продавцов, их методы и цепочки поставок данных.
- Отслеживание JS-снифферов и ботнетов: Кардеры часто используют вредоносные программы, такие как JS-снифферы (скрипты, внедряемые в сайты интернет-магазинов для кражи данных карт). Group-IB обнаружила такие угрозы, включая те, что были нацелены на азиатские e-commerce платформы.
- Локализация азиатских сетей: Сингапурский офис Group-IB отслеживал региональные узлы кардинг-сетей, включая "мулов", которые обналичивали средства через местные банковские счета или криптовалютные биржи. Это позволило правоохранителям пресечь локальные операции.
4. Интеграция усилий
Ключевым фактором успеха стало объединение данных от всех участников:- Банки предоставляли информацию о транзакциях и скомпрометированных картах.
- Group-IB анализировала киберинфраструктуру и передавала данные правоохранителям.
- Правоохранительные органы координировали аресты и блокировку инфраструктуры.
Такой подход позволил создать замкнутый цикл: от обнаружения угрозы до ее нейтрализации.
Результаты операции
- Финансовый эффект: Предотвращены убытки в размере €14 млн в Европе и значительные суммы в Азии (точные цифры по Азии не публиковались, но регион был ключевым в цепочке транзакций).
- Блокировка инфраструктуры: Были заблокированы тысячи скомпрометированных карт, а также закрыты некоторые даркнет-площадки, использовавшиеся для продажи данных.
- Аресты: 12 ключевых фигурантов, включая операторов из Азии, были идентифицированы, а некоторые арестованы.
- Превентивный эффект: Операция показала, что совместные действия банков, платежных систем и правоохранителей могут быстро пресекать сложные киберпреступления, что особенно важно в Азии, где цифровая экономика растет быстрее, чем системы защиты.
Почему это важно для Азии?
Азия — один из самых быстрорастущих регионов в области цифровых платежей, но это также делает его уязвимым для кардинга. По данным Mastercard, в 2023 году около 30% всех глобальных атак на платежные системы были нацелены на Азиатско-Тихоокеанский регион. Причины включают:- Высокий уровень проникновения мобильных платежей (например, в Китае, Индии, Южной Корее).
- Активное использование криптовалют для отмывания средств.
- Наличие локальных даркнет-форумов и "мулов", которые усложняют отслеживание.
Операция Carding Action 2021 показала, что региональные банки (например, DBS в Сингапуре или HDFC в Индии) могут эффективно сотрудничать с глобальными структурами, если используют передовые технологии анализа и обмениваются данными в реальном времени.
Уроки и образовательные выводы
- Межсекторное сотрудничество: Успех операции подчеркивает важность интеграции банков, платежных систем, кибербезопасности и правоохранителей. Каждый участник привносит уникальные данные и инструменты.
- Роль технологий: Инструменты анализа даркнета, такие как те, что использует Group-IB, позволяют выявлять угрозы на ранних стадиях. Это особенно важно для образовательных целей: будущие специалисты по кибербезопасности должны изучать такие технологии.
- Глобальный и локальный подход: Кардинг — это глобальная угроза, но в Азии она имеет локальные особенности (например, использование региональных платежных систем). Это требует адаптации стратегий.
- Превентивные меры: Банки могут минимизировать риски, внедряя системы мониторинга транзакций в реальном времени и обучая клиентов распознавать фишинг и другие угрозы.