Руководство по мошенничеству с картами: как финансовые учреждения могут лучше выявлять, смягчать и предотвращать кардинг

[Friend]

Мошенничество с картами, или кардинг, описывает процесс, посредством которого злоумышленники получают доступ к украденным учетным данным или украденным данным кредитных карт, а затем используют их, чтобы мошенническим путем приобретать товары и услуги или монетизировать текущие мошеннические операции (или ради чистой прибыли), перепродавая их в глубокой и темной паутине. Для кардеров кардинг — прибыльный, хотя и рискованный бизнес. А для организаций, сообществ и отдельных лиц, на которых они нацелены, может дорого обойтись стать жертвой их вредоносных схем.

Оглавление

• Введение и основные выводы
• Что такое мошенничество с картами?
• Почему кардеры крадут, продают и покупают скомпрометированные учетные данные и данные карт
• Как атакуют субъекты угроз
• Наличие карты: как кардеры используют скомпрометированные учетные данные
• Отсутствие карты: как кардеры используют скомпрометированные учетные данные
• Решения для команд по борьбе с кардингом: как выявлять угрозы, снижать риски и принимать меры после нарушений

Введение и основные выводы​

Мошенничество с картами, или кардинг, описывает процесс, посредством которого злоумышленники получают доступ к украденным учетным данным или украденным данным кредитных карт, а затем используют их для мошеннической покупки товаров и услуг или для монетизации текущих мошеннических операций (или для чистой прибыли) путем их перепродажи в глубокой и темной паутине. Для кардеров кардинг — прибыльный, хотя и рискованный бизнес. А для организаций, сообществ и отдельных лиц, на которых они нацелены, может дорого обойтись, если они станут жертвами их вредоносных схем. Согласно отчету IBM Cost of a Data Breach, глобальная средняя стоимость утечки данных, включая скомпрометированные учетные данные, составила 4,24 миллиона долларов. Чтобы проактивно бороться с кибератаками и быстро и всесторонне снижать риск мошенничества с картами, службы безопасности в финансовых учреждениях должны понимать риски, с которыми они сталкиваются, включая утечки данных, которые могут возникнуть из-за преднамеренных или непреднамеренных действий, таких как ошибка сотрудника, и инструменты, которые могут помочь им проактивно и последовательно бороться с подверженностью риску. В этой статье мы:

• Дать определение мошенничеству с картами и рассмотреть основные виды мошенничества с картами , с которыми обычно сталкиваются финансовые учреждения, розничные торговцы и другие вспомогательные организации;
• Опишите, как конфиденциальные данные организации могут быть скомпрометированы ;
• Изучите тактику, методы и процедуры (ТТП), которые используют злоумышленники для кражи информации о картах;
• Определите, как злоумышленники используют украденную информацию о картах , а также что ими движет;
• Опишите передовые методы для организаций по выявлению случаев мошенничества с картами и платежами, а также по принятию мер.

Что такое мошенничество с картами?​

Мошенничество с картами, или «кардинг», — это преступная деятельность, при которой злоумышленники — иногда отдельные лица, иногда «коллективы» — нацеливаются на данные организации, включая скомпрометированные учетные данные, номера карт, почтовые индексы и другие конфиденциальные данные, которые могут поставить под угрозу активы, клиентов, заинтересованных лиц и репутацию организации, если их используют злоумышленники в глубокой и темной паутине. Это включает в себя мошеннические покупки, мошенничество с идентификацией, захват учетных записей (ATO) и перепродажу данных в магазинах карт, таких как ныне несуществующий Joker Stash и на других незаконных рынках в глубокой и темной паутине.

Мошенничество с картами — это легкодоступный плод киберпреступной деятельности, поскольку барьер для входа низок, поскольку многие методы кардинга не отличаются сложностью и не требуют особой технической проницательности для реализации. Кроме того, они могут быть прибыльными практически для любого субъекта на протяжении жизненного цикла разведки угроз.

Почему кардеры крадут, продают и покупают скомпрометированные учетные данные и данные карт​

Большинство злоумышленников, нацеленных на финансовый сектор, имеют финансовую мотивацию — многие из них фокусируются на мошенничестве с картами и платежами как на средстве достижения своих финансовых целей: для финансирования будущих операций или для чистой прибыли. Однако финансовая мотивация не объясняет все киберпреступления, нацеленные на финансовый и розничный сектор. Помимо финансовых мотивов, злоумышленники имеют и другие цели, которые также могут повлиять на финансовые учреждения, а также другие организации в государственном и частном секторах, далеко за пределами мошенничества с кредитными картами и платежами. Эти кибератаки могут быть столь же разрушительными.

Хактивизм​

Некоторые субъекты угроз, известные как «хактивисты», движимы моральным или идеологическим противодействием продуктам или услугам, предлагаемым организациями как в государственном, так и в частном секторе. Чтобы вызвать страх, неуверенность и сомнения (FUD), хактивисты распространяют социальные или политические идеологии либо как отдельные лица, либо как часть более крупной хактивистской группы.

Нарушения и ущерб​

Конкуренты могут нацеливаться на организации, которые они считают угрозой своему бизнесу. Аналогичным образом субъекты угроз на уровне государства могут стремиться вызвать сбой или нанести ущерб компаниям или организациям, которые предоставляют критически важную услугу.

Внимание, известность​

Злоумышленники, мотивированные своей известностью, будут выбирать организации, которые с наибольшей вероятностью привлекут внимание, и перераспределять свои ресурсы от менее масштабных или случайных кибератак.

Внутренние угрозы​

Инсайдерские угрозы относятся как к непреднамеренным, так и к злонамеренным угрозам, которые сотрудники представляют для организаций. Злонамеренные инсайдеры используют свой привилегированный доступ для кражи или извлечения данных, чаще всего по электронной почте. Затем они используют эти данные в качестве инструмента шантажа или вымогательства или перепродают их в незаконных сообществах субъектов угроз. Инсайдеры также могут служить точкой контакта для субъектов угроз, желающих установить или распространить
вредоносное ПО для кражи рекламных карт и точек продаж (POS), а иногда предлагают свои услуги в качестве инсайдеров в незаконных сообществах. Сотрудники могут стать непреднамеренными инсайдерами, соблюдая плохую гигиену кибербезопасности, включая нажатие фишинговых писем или неправильную настройку цифровых активов.

Как атакуют субъекты угроз​

Карта не присутствует​

Мошенничество с картами обычно делится на две категории: без предъявления карты и с предъявлением карты. Мошенничество, связанное с не предъявлением карты, основано на утечке финансовых данных, которые продаются и обмениваются на рынках даркнета, незаконных форумах и в чатах. Мошенничество с не предъявлением карты позволяет злоумышленникам владеть большим количеством скомпрометированных карт и учетных данных для финансирования незаконных покупок. Или они могут перепродать украденную информацию другим кардерам, которые затем используют раскрытые данные чаще всего с помощью клонирования карт или привязки учетных записей цифровых покупок. Эти данные обычно раскрываются, когда злоумышленник получает данные, которые непреднамеренно утекают, например, через репозиторий кода или неправильно настроенное сетевое устройство; финансовые записи и другую личную идентификационную информацию (PII) на плохо защищенных веб-сайтах; и учетные данные для входа в банк. Или они используют целевые атаки скимминга и шимминга на банкоматы, POS-системы и, иногда, на заправочные станции, где принимаются платежи по кредитным и дебетовым картам.

Карта присутствует​

Напротив, мошенничество с предъявлением карты требует, чтобы преступник физически предъявил поддельную или украденную карту торговцам. Этот метод имеет очевидные подводные камни, с которыми мошенники без предъявления карты не сталкиваются — например, их могут поймать лично или отклонить карту, — что значительно усложняет для преступника продажу учетных данных или использование их для кражи товаров и услуг, купленных мошенническим путем. Деятельность по предъявлению карты в основном затмевается мошенничеством без предъявления карты, но она по-прежнему представляет риск как для финансовых учреждений, так и для розничных торговцев.

Вредоносное ПО​

Некоторые типы вредоносных программ специально созданы для эксфильтрации или регистрации данных. К ним относятся трояны удаленного доступа (RAT), которые позволяют злоумышленнику устанавливать удаленное соединение для эксфильтрации данных, а также стиллеры, которые являются троянами, способными красть учетные данные для входа, файлы cookie, номера кредитных карт и другую информацию, хранящуюся в браузере.

Программы-вымогатели​

Атаки вымогателей-вымогателей угрожают организации-жертве продажей конфиденциальной или личной информации, чтобы заставить ее заплатить выкуп. Группы вымогателей понимают, что розничные торговцы часто хранят конфиденциальную информацию о клиентах, включая финансовые данные, которые могут быть ценными как при переговорах, так и при перепродаже данных на торговых площадках даркнета.

DDoS​

Распределенный отказ в обслуживании (DDoS) в основном используется для нарушения или полного отключения доступности сети, хотя все чаще они прокладывают путь к утечкам данных. Атаки DDoS используются для маскировки другого вредоносного поведения, например установки вредоносного ПО, и для отвлечения внимания служб безопасности и ИТ, пока в сети выполняется другая вредоносная деятельность, а злоумышленники закрепляются. Этот плацдарм может позволить злоумышленникам изымать конфиденциальные данные из финансовых учреждений, подвергая риску активы, руководителей, клиентов и третьих лиц.

Социальная инженерия​

Социальная инженерия — это искусство психологического манипулирования людьми с целью совершения желаемого действия или раскрытия конфиденциальной информации. Злоумышленники используют эти методы для обхода корпоративных процедур по борьбе с мошенничеством, безопасности и проверки пользователей с целью содействия финансовому мошенничеству. Многие из этих методов включают применение тактики социальной инженерии против представителей службы поддержки клиентов лично, онлайн или по телефону с целью убедить или уговорить их выполнить действие, которое позволит совершить мошенничество. Почти в каждой ситуации представители службы поддержки клиентов не знают, что их используют для содействия мошенничеству.

Облако​

Большинство уязвимостей, связанных с облачными вычислениями, возникают из-за неправильных конфигураций, в результате чего данные оказываются открытыми для Интернета и, таким образом, подвергаются воздействию злоумышленников, желающих украсть или продать эту информацию. Было замечено, что злоумышленники нацеливаются на облачные резервные копии финансовых учреждений, которые могут содержать PII клиентов, репозитории кода и другие конфиденциальные данные, которые могут подвергнуть организации риску в случае их раскрытия.

Третьи стороны и цепочка поставок​

Финансовые учреждения должны знать о рисках цепочки поставок сторонних поставщиков, таких как поставщики облачных услуг, которые предлагают цифровые решения и хранилища данных. Нарушение или кибератака на любом из этих этапов цепочки поставок может не только повлиять на бизнес, но и поставить под угрозу конфиденциальные данные клиентов.

Вставка учетных данных​

Атаки Credential stuffing, включающие атаки brute force, относятся к различным методам, основанным на тестировании большого количества комбинаций имени пользователя и пароля против инфраструктуры входа. Злоумышленники, которые осуществляют этот тип атак, обычно делают это, чтобы получить несанкционированный доступ к плохо защищенному банковскому счету, счету электронной коммерции или другому типу счета или проверить действительность скомпрометированных учетных данных перед их продажей.

Наличие карты: как кардеры используют скомпрометированные учетные данные​

Получив украденную информацию, от данных кредитных карт и PII до учетных данных для входа, злоумышленники могут использовать эти данные различными способами в зависимости от своих мотивов. Злоумышленники будут размещать украденную информацию в магазинах карт или магазинах счетов в зависимости от характера скомпрометированных данных. Номера и данные кредитных карт указываются в магазинах карт, а банковские журналы или логины для розничных сайтов с большей вероятностью продаются в магазинах счетов.

Подарок с карты: мошенничество с подарочными картами​

Мошенничество с подарочными картами уникально для сектора розничной торговли и является результатом того, что мошенники используют средства с украденных кредитных карт для покупки подарочных карт, чтобы как можно быстрее обналичить свою скомпрометированную карту. Злоумышленники, как правило, покупают дорогие подарочные карты, чтобы использовать их для себя позже. Некоторые также рекламируют услуги подарочных карт на форумах в глубокой и темной сети, где они обещают приобретать товары со скидкой, используя подарочные карты, купленные на украденные средства. Розничные торговцы могут опередить мошенничество с картами, связанное с праздничными покупками, внедрив такие методы смягчения, как одноразовые пароли (OTP), многофакторная аутентификация, сегментация сети, если это возможно, и минимальные привилегии для сотрудников, чтобы уменьшить воздействие финансовой информации. Клиенты также должны сохранять бдительность в отношении своих личных мер безопасности, касающихся их финансовой информации и гигиены паролей.

Карта присутствует: Клонирование карты​

Клонирование карт относится к программному обеспечению, которое злоумышленники используют для активации украденной финансовой информации через физическую карту. Злоумышленники копируют эту украденную информацию на физическую карту, которую затем можно использовать для снятия наличных в банкоматах. Затем злоумышленники объединяют и продают эти клонированные карты и тайно отправляют их покупателям. Цифровая привязка магазинов часто позволяет злоумышленникам связывать украденную информацию о кредитной карте с различными приложениями для покупок, чтобы обналичить украденную кредитную карту. Один из способов сделать это — купить подарочные карты.

Отсутствие карты: как кардеры используют скомпрометированные учетные данные​

Мошеннические покупки​

Возможно, чаще всего злоумышленники используют мошенничество CNP для финансирования незаконных покупок в Интернете. Это позволяет злоумышленникам быстро и в цифровом виде обналичивать свои украденные карты или счета. В таких ситуациях бремя смягчения последствий ложится на аффилированное финансовое учреждение или торговца, которые сосредоточатся на устранении проблемы на стороне клиента, позволяя злоумышленнику скрыться с купленными мошенническим путем товарами.

Распознать мошенничество​

Мошенничество с картами — это разновидность мошенничества с идентификацией. В зависимости от приобретенных данных номера карт могут содержать дополнительные персональные данные, такие как номера социального страхования, физические адреса, адреса электронной почты и номера телефонов. Эта дополнительная информация может дать злоумышленникам доступ к банковским счетам или, возможно, достаточно данных для открытия мошеннических счетов или подачи заявки на мошеннические кредитные карты. Распространенным способом смягчения последствий, применяемым организациями (обычно банками), которые стали жертвами взлома, включая финансовую информацию, является бесплатный мониторинг кражи кредитов и идентификационных данных.

Взлом аккаунта (ATO)​

Мошенничество с захватом аккаунта (ATO) — это еще одна форма кражи личных данных, при которой злоумышленники используют определенные PII или другие тактики, такие как фишинг, чтобы захватить аккаунт жертвы. Попав внутрь банковского счета, мошенники могут переводить деньги, запрашивать новые кредитные или банковские карты, менять пароли и настройки уведомлений, чтобы владелец аккаунта не был предупрежден об этой мошеннической деятельности, по крайней мере, сразу. В схеме захвата аккаунта злоумышленник пытается оставаться незамеченным как можно дольше.

Перепродажа в магазинах открыток​

После сбора информации о кредитных или дебетовых картах или банковских журналах у злоумышленников обычно есть ограниченное количество времени, чтобы извлечь выгоду из имеющегося у них доступа, прежде чем мошенничество будет обнаружено и карта или счет будут заморожены. Если злоумышленник владеет большим количеством номеров карт или банковских журналов, для него обычно сбрасывать те, к которым он не может получить своевременный доступ, чтобы продать эту информацию в магазинах карт, магазинах счетов или на форумах. Финансовая информация особенно ценна на этих рынках, поскольку потенциальная финансовая выгода часто намного выше покупной цены.

Решения для команд по борьбе с кардингом: как выявлять угрозы, снижать риски и принимать меры после нарушений​

С обязанностями, включающими борьбу с кражей данных, защиту активов и отслеживание постоянно меняющихся тактик злоумышленников, директора по информационной безопасности финансовых учреждений и команды по борьбе с мошенничеством нуждаются в весьма специфических ресурсах для выявления киберугроз, снижения риска и эффективного масштабирования операций. Ниже приведены некоторые передовые практики, которые команды SOC и CTI могут использовать для выявления киберугроз и их устранения.

Минимизировать мошенничество с картами​

• Понимайте и отслеживайте данные, касающиеся ваших карт или вашего риска, своевременно. Модуль мошенничества с картами Flashpoint предоставляет аналитику высокого уровня, предназначенную для обобщения вашего риска, а также подробные данные о магазине и дампе, которые помогут вам определить конкретные карты и счета, в отношении которых вам необходимо принять меры.
• Участвуйте в обмене информацией с другими учреждениями для максимального использования общих данных о точках продаж и связанного с ними контекста.
• Проактивно используйте полученные данные, создавая модели риска мошенничества, отменяя авторизацию взломанных карт и назначая специалистов по борьбе с мошенничеством для анализа и сортировки данных.

Мониторинг скомпрометированных учетных данных​

• Выявляйте аккаунты, которые регулярно подвергаются взлому, чтобы обеспечить постоянный мониторинг мошенничества, не влияя на пользовательский опыт.
• Получите представление о типах доменов, подвергающихся атакам, а также о наиболее уязвимых паролях и картах, которые с наибольшей вероятностью могут быть связаны с уникальными нарушениями, требующими дальнейших действий.
• Интегрируйте данные в существующие бизнес-процессы клиента, чтобы сделать их немедленно применимыми на практике.

Боевой захват аккаунта (ATO)​

Поиск и мониторинг уникальных коллекций Flashpoint на предмет скомпрометированных учетных данных, принадлежащих их сотрудникам, для того, чтобы помечать учетные записи, сбрасывать пароли и ограничивать разрешения, чтобы не допустить доступа злоумышленников к конфиденциальной или персонально идентифицируемой информации (PII). Используйте нашу технологию OCR, которая позволяет группам по борьбе с мошенничеством идентифицировать текст, логотипы и объекты из мультимедиа в коллекциях Flashpoint. Мониторинг скомпрометированных учетных данных, принадлежащих вашим клиентам, что позволит вам предотвратить мошенническую деятельность и защитить свою клиентскую базу.