Lord777
Professional
- Messages
- 2,579
- Reaction score
- 1,471
- Points
- 113
В предыдущем блоге мы объяснили, куда попадают украденные данные. На прошлой неделе Брайан Кребс сообщил, что русские закрыли огромную сеть по мошенничеству с картами . ФСБ арестовала 25 человек, связанных с 90 нелегальными онлайн-рынками. Эти веб-сайты специализируются на продаже украденной финансовой информации. Это дает нам тематическое исследование, чтобы лучше понять влияние полицейских операций на преступное подполье. Мы находим доказательства того, что уничтожение коснулось преступной организации, но части группы пережили удар и продолжают действовать.
Сайты не работают
Кребс объясняет, что арестованные актеры продавали украденную информацию торговым посредникам. Торговые посредники, в свою очередь, независимо управляли несколькими онлайн-платформами, известными как автомагазины. На рисунке ниже представлен внешний вид большинства автомастерских.
Примерно одновременно с арестами мы стали свидетелями отключения ряда крупных автомагазинов. Мы считаем, что эти автомагазины связаны с операцией полиции. Полиция помешала их деятельности, арестовав их поставщиков и даже, возможно, управляющих ими актеров. Это говорит о реструктуризации криминального подполья и уменьшении количества мошенничества, но лишь на короткий период времени. Действительно, многие мелкие актеры будут стремиться заполнить пустоту, оставленную арестованными актерами, и будущие сообщения в блогах будут следовать их траекториям.
Связанная сеть
В дополнение к предупреждению о сбоях в работе автомагазина, сообщение Кребса в блоге Krebs напоминает нам, что одна преступная группа может оказать значительное влияние на преступное подполье. У нас были подозрения, что многие крупные автомагазины управляются одними и теми же актерами. Этому способствовали 3 основные причины:
- Все автомастерские использовали одну и ту же внутреннюю базу данных. Мы собирали данные об автомагазинах, напрямую подключаясь к их базам данных, используя неопубликованные методы доступа. Поскольку один и тот же метод работал в нескольких автомастерских, все они использовали одну и ту же программную архитектуру. Различные графические интерфейсы автомагазинов должны были заставить посетителей поверить в то, что они заходят в другой автомагазин.
- Автомагазины использовали один и тот же идентификатор Google Analytics (GAI). Google Analytics - это бесплатный инструмент для отслеживания посещаемости веб-сайтов. Пользователи добавляют GAI в исходный код своего веб-сайта, и эта информация часто используется для подключения веб-сайтов к участникам. У кого-то просто нет причин вставлять чужой ГАИ на сайт.
- В автомагазинах продавалось много таких же карточек. Мы проанализировали все карты, выставленные на продажу в автомагазинах, которые недавно закрылись за последние месяцы. Как показано на рисунке ниже, 41% этих карт продавались в 5 различных автомагазинах, 28% продавались в 4 различных автомагазинах и только 11% продавались в 1 автомагазинах. Это означает, что 89% карт продавались более чем в одном автомагазинах.
Количество автомагазинов, в которых выставлена на продажу каждая украденная кредитная карта
Взятые вместе, эти результаты убедительно свидетельствуют о том, что одна группа управляла несколькими автомагазинами и скрывалась за несколькими поддельными именами. Вопрос теперь в том, все ли члены группы были арестованы в результате полицейского расследования?
Группа, которая все еще активна?
Prtship [точка] ком является Киберпреступники форум действует с 2017. Он размещается Nforce Entertainment Bv, в печально известном хостере. Prtship [dot] com способствует продаже украденной личной и финансовой информации - другими словами, украденных кредитных карт. Наша система мониторинга связала недавно закрытые автомагазины с этим форумом, поскольку оба использовали один и тот же идентификатор Google Analytics. Это еще раз убедительно свидетельствует о том, что описанная выше группа также является хостом Prtship [dot] com.
Домашняя страница Prtship [точка] com
Удивительно, но Prtship [dot] com все еще находится в сети на момент написания. Это говорит о том, что некоторые члены группы избежали ареста. Противоречащая гипотеза состоит в том, что правоохранительные органы взяли на себя управление форумом и теперь управляют форумом и выдают себя за его администраторов.
Чтобы выяснить, так ли это, мы проанализировали поведение руководства Prtship [dot] com. На форуме работают 1 администратор и 2 модератора. Если правоохранительные органы действительно захватят форум, мы ожидаем, что будет период отсутствия сообщений от руководства форума (переходный период), а затем период высокой активности ( период сбора разведывательной информации), когда правоохранительные органы будут просить участников извлечь из них информацию.
Ежедневная активность руководства Prtship [dot] com
На рисунке выше показано количество постов за каждый день за последние 3 недели руководства форума. Это не указывает на то, что на данный момент форум был захвачен правоохранительными органами.
Администратор форума и один модератор практически не проявляли активности в течение последних недель. Однако с начала года у них не было большой активности, поэтому такое поведение ожидается . Активность одного модератора за последние две недели снизилась. Однако отсутствует лидерство на форуме. Тогда возможно, что члены группировки избежали ареста и по-прежнему активны в преступном подполье.
Если вы следите за автомагазинами самостоятельно, вам нужно будет обновить свой список целей в ближайшие дни, поскольку кардинг переходит на новые платформы. Вам также следует искать подсказки о том, кому принадлежат автомагазины, за которыми вы следите. Вы можете найти повторяющуюся информацию на разных платформах, и идентификаторы Google Analytics - один из способов уменьшить шум. Это позволяет вам сконцентрироваться на платформах, которыми управляют различные преступные организации .
