Красивый жест криминала
Эксперты российской Group-IB обнаружили крайне нетипичную публикацию на нескольких хакерских форумах: кто-то выложил информацию о целом миллионе скомпрометированных платежных карт бесплатно. Как вскоре выяснилось, — в порядке рекламы.
Информация о платежных картах — ходовой товар на черном рынке, так что такой аттракцион невиданной щедрости выглядел, по меньшей мере, необычно. Тем более, что миллионная подборка была опубликована сразу на нескольких кардинговых форумах.
Исследователи Group-IB вскоре смогли установить, что тем самым владельцы нового кардингового магазина All World Cards решили прорекламировать свой ресурс. Рекламная кампания включала не только раздачу миллиона карт, но и некий письменный конкурс для хакеров с призовым фондом в $15 тыс.
Щедрость не знала границ
Подборка данных скомпрометированных карт относилась, как указали сами операторы All World Cards, к 2018-2019 гг. Авторы подборки указали, что процент валидности (т. е. действующих карт) составляет 3%, но уже через сутки эта цифра сменилась 20%.
![kreditki600.jpg](https://filearchive.cnews.ru/img/news/2020/07/07/kreditki600.jpg)
По данным Group-IB, однако, 97% карт в подборке, выложенной на форуме XSS, до сих пор действуют. Эксперты нашли 810 карт, у которых истек срок действия в июне-июле 2021 г., и еще 27 тыс. карт перестанут действовать в августе 2021 г. Специалисты Group-IB предполагают, что либо большая часть нерабочих карт из базы данных уже удалена, либо подборка новее, чем заявляют ее авторы.
Исследователи также выяснили, что авторы набора использовали несколько файлообменных сервисов для загрузки; вся база данных содержалась в защищенном паролем ZIP-архиве, в котором хранился текстовый файл с миллионом строк. Данные включали номера карт, дату истечения срока действия, коды CVV/CVC, имена владельцев, географическую информацию о них (вплоть до личного адреса), в некоторых случаях также электронную почту и телефонные номера.
Не для всех карт, впрочем, был доступен весь набор данных. Около 200 тыс. карт (22%) относились к индийским банкам, по 9% — к мексиканским и американским, 8% — к австралийским. Эксперты Groub-IB в настоящее время информируют эти банки в надежде, что те примут меры.
Также установлено, что 48% скомпрометированных карт выпущены Visa, 47% — Mastercard, около 4% относятся к национальной платежной системе Индии RuPay, и еще 1% — к American Express. Как минимум, 58% карт в подборке являются стандартными, еше 7% относятся к «золотой» разновидности и 6% — к «платиновой». Более 8 тыс. карт обозначены как корпоративные.
Отмечены 600 тыс. карт с корректно проассоциированными адресами электронной почты. Среди них — адреса с доменными именами государственных учреждений и банков. К 26 тыс. карт также прилагалась информация об IP-адресах, из них 24 тыс. — уникальные.
По данным Group-IB, менее 2% карт из подборки уже встречались в других коллекциях скомпрометированных карт, представленных на подпольных ресурсах, т. е. утечка по большей части свежая.
Общий ассортимент AllWorldCards составляет около 3,8 млн карт, из них в начале августа были доступны для продажи 2,6 миллиона.
Расскажите о вашем опыте
Как отмечалось выше, кроме раздачи информации о картах, операторы All World Cards объявили конкурс статей на такие темы как «пентестинг сетей, обход систем защиты, развитие атаки, повышение прав, закрепление в сетях, захват AD» а также APT, уязвимости, Web-взломы и пр.
Характерно, что объявление об этом конкурсе сделано на форуме XSS, чьи администраторы заявляли, что он существует «ради знаний» (как раз под этим предлогом были запрещены все упоминания шифровальщиков — дескать, слишком нетехнологично).
По мнению специалистов Group-IB, вся эта маркетинговая кампания свидетельствует о том, что магазин All World Cards, появившийся, к слову, лишь весной 2020 г., собирается закрепиться в киберподолье всерьез и надолго.
«Миллион скомпрометированных карт, раздаваемых задаром, — это, конечно, беспрецедентный случай, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Очевидно, создатели кардингового магазина чувствуют себя очень уверенно, если готовы выделять такое количество ресурсов на самопродвижение. Это указывает, во-первых, на то, что злоумышленники рассчитывают быстро пополнить свой ассортимент информацией о новых картах, а во-вторых, на то, что кардинг — торговля скомпрометированными платежными картами — весьма прибыльное занятие само по себе».