Как стать автором
Обновить
92.87

Кардеры-каннибалы: Group-IB выявила крупнейшие сети фейкшопов. Часть 1

Время на прочтение7 мин
Количество просмотров6.4K

В этом посте мы впервые исследуем такой пласт андеграунда, как фейковые маркетплейсы по торговле данными банковских карт. Кардинг — это преступление. Торговля данными банковских карт — это преступление. Создание фейковых магазинов, копирующих "оригинальные" кардшопы — это также преступление. Мы считаем, что чем глубже изучается индустрия андеграунда, тем больше возможностей для слежения, изучения и борьбы с киберпреступностью.

Именно поэтому мы впервые публикуем исследование фишинговых ресурсов, копирующих кардшопы. В данном случае под кардшопами мы будем понимать "оригинальные" ресурсы по торговле дампами и текстовыми данными банковских карт. Под "фейкшопами" — фишинговые ресурсы, копирующие кардшопы. Под пользователями — покупателей краденных данных банковских карт.

Как вы вероятно уже поняли в этом исследовании нет "простых пользователей", ставших "жертвами" мошенников. Оно описывает явление "каннибализма" в андеграундной среде, когда одни злоумышленники наживаются на других.

Каждый пользователь интернета регулярно сталкивается с фишинговыми сайтами. И киберпреступники — не исключение. Аналитикам Group-IB Threat Intelligence удалось выявить несколько крупных групп мошенников, которые зарабатывают деньги на начинающих неопытных кардерах, создавая и распространяя фишинговые сайты под кардшопы — подпольные магазины по продаже скомпрометированных платежных данных. Эти сайты аналитики Group-IB называют фейкшопами.

Большое количество фейкшопов в сети вызывают проблемы не только у пользователей андеграундных форумов — киберпреступников, но и могут создавать сложности специалистам по киберразведке. Размещенные на них поддельные данные могут привести к появлению ложной статистики при мониторинге и описании кардшопов, а скопированные дизайны оригинальных ресурсов могу ввести в заблуждение даже опытного антифрод аналитика.

Как правило, фейкшопы не создаются по одному. Для охвата большего количества пользователей (покупателей украденных данных банковских карт) создатели фейкшопов проводят рекламу на андеграундных форумах, чатах Telegram и обманом заставляют переходить пользователей по своим ссылкам, заставляя создателей оригинальных ресурсов, как не комично бы это звучало, нести репутационные потери, а также объединяют свои сайты в гигантские сети.

Аналитики Group-IB Threat Intelligence обнаружили три крупнейшие сети фейкшопов, которые получили названия UniFake, JokerMantey, и SPAGETTI. Последняя — самая крупная из обнаруженных сетей — насчитывает более 3000 доменных имен, многие из которых являются копиями самых популярных кардерских сайтов в андеграунде, таких как: Joker's Stash, BriansClub, Uniсс, Ferum shop, ValidCC и других.

Создателям этой сети за все время работы удалось получить не менее 9200 входящих транзакций на различные крипто кошельки, на общую сумму более $1,200,000 (большая часть которых была получена в Bitcoin – 23 BTC по курсу на 12 октября 2021).

В отличии от других сетей SPAGETTI также распространяет через свои сайты вредоносное ПО. Создатели этой сети разместили на своих сайта стилер Taurus Project в виде скачиваемого файла, собирая таким образом данные пользователя из браузера, логины и пароли от банковских приложений, и даже крипто кошельков.

Специалисты Group-IB изучили как создаются и поддерживаются фейкшоп-сети. В первой части этого материала Руслан Чебесов, руководитель группы исследования андеграундных маркетов Group-IB, и Сергей Кокурин, аналитик андеграундных маркетов Group-IB, рассказывают, как аналитикам отличить оригинальный кардшоп от фейкового и как провести правильную атрибуцию фейкового ресурса. А в следующем посте, используя систему Threat Intelligence & Attribution, они для примера проведут анализ самых крупных сетей фейкшопов. Часть 2 тут.

Что такое фейкшопы?

В андеграундной сфере интернета существуют ресурсы для торговли скомпрометированной информацией, такой как данные кредитных или дебетовых карт, доступов к аккаунтам пользователей, доступов к компьютерам через порты RDP или SSH, паспортные или идентификационные данные граждан разных стран, доступов к серверам и панелям управления сайтов и т.д.

Эти ресурсы называются "андеграундные маркеты".

Основная особенность таких маркетов — большое количество продавцов на ресурсе. Сами площадки являются аналогами Amazon или Ebay только на теневой стороне интернета.

Скриншот главной страницы Amigos market
Скриншот главной страницы Amigos market

Кардшопы — это частные случаи маркетов. Здесь продаются похищенные данные банковских карт в виде текстовых данных с самой карты, либо в виде дампов — сохраненной копии информации с магнитной полосы. Обычно других видов продаваемых скомпроментированных данных на кардшопах не встречается.

Раздел поиска по картам кардшопа Bestvalid
Раздел поиска по картам кардшопа Bestvalid

Кардшопы и маркеты – основные ресурсы для мелких мошенников, занимающихся кардингом, скамом, спамом и другими подобными видами киберпреступлений.

Кардинг — мошенничество с банковской картой — является одной из самых простых форм мошенничества, не требующей от преступника дополнительной подготовки, кроме базовых навыков работы с компьютером. Низкий порог входа в эту "индустрию" создает высокий спрос на услуги кардшопов и маркетов.

Собственно, высокий спрос и низкий уровни грамотности начинающих кардеров создает идеальные условия для мошенников, зарабатывающих на создании фейкшопов — сайтов, которые выдают себя за работающие кардшопы или андерграундные маркеты. Самая главная задача – создать иллюзию настоящего ресурса, для того чтобы попавший на сайт пользователь захотел оставить на нём свои деньги. Дополнительно для этого могут использоваться названия существующих андеграундных ресурсов или даже полностью копироваться дизайн их страниц.

В случае с настоящими кардшопами и маркетами, пользователю сначала необходимо внести деньги на свой аккаунт, чтобы потом использовать эти средства для покупки скомпрометированных данных. Распространенной практикой среди кардшопов также является платная активация аккаунта, для этого после регистрации пользователю необходимо заплатить от $20 до $200. Фейкшопы пользуются этими устоявшимися системами предварительной оплаты услуг, чтобы вводить в заблуждение кардеров.

Пример активации аккаунта на маркете Amigos
Пример активации аккаунта на маркете Amigos

Все фейкшопы можно разделить на три вида:

  1. Создает видимость нового кардшопа или маркета. Это самый простой способ обмана. В этом случае злоумышленник создает ресурс, который элементами дизайна на сайте создаёт впечатление кардшопа или маркета: списки баз с товаром, корзина, новости и обновления, система поддержки и т.д. Также для самого названия и доменного имени используются устоявшиеся слова и сокращения: "cc", "dump", "cvv", "shop", "carding", "pin", "swipe", "sniff", "money" и другие.

    Скриншот фейкшопа cvvunion
    Скриншот фейкшопа cvvunion
  2. Создание фишингового ресурса, имитирующего оригинальный кардшоп. Для этого злоумышленники создают сайты с доменным именем, напоминающим оригинал, изменяют расположение букв или слов в названии, добавляют сокращения, делают специальные ошибки или добавляют что-то из фраз из пункта выше. Для дальнейшего введения в заблуждение злоумышленники могут скопировать дизайн оригинального сайта: html код, css стили и картинки. Это несложная задача, однако она увеличивает доверие жертвы к правдоподобности такого ресурса для неопытного пользователя.

    Скриншот главной страницы фейкшопа Unicc, полностью копирующий оригинал
    Скриншот главной страницы фейкшопа Unicc, полностью копирующий оригинал
  3. "Захват" доменного имени настоящего кардшопа или маркета. Это один из самых сложных для реализации вариантов создания фейкшопа. Для этого злоумышленниками необходимо выкупить доменное имя, когда-то принадлежавшее кардшопу или маркету. Это вполне реально, если владельцы сайта не успели оплатить аренду доменного имени регистратору, либо их доменный адрес был разделегирован по какой-либо причине. В таком случае на фейкшоп попадают пользователи, ранее уже посещавшие ресурс по этой ссылке.

    Такими примерами являются захват доменов unicc[.]cm и briansclub[.]ru. Как мы видим, заподозрив обман, возмущенные пользователи присылают сообщения администрации оригинальных кардшопов. Зачастую админам приходится дополнительно информировать своих пользователей о смене доменного имени.

    Сообщение на форуме altenens[.]org. Источник: Group-IB Threat Intelligence & Attribution
    Сообщение на форуме altenens[.]org. Источник: Group-IB Threat Intelligence & Attribution

    Как следует из сообщения администратора BriansClub, показанного на скриншоте ниже, домен briansclub[.]ru ранее принадлежал его кардшопу. Однако в данный момент там размещен фейкшоп

    Сообщение на форуме omerta. Источник: Group-IB Threat Intelligence & Attribution
    Сообщение на форуме omerta. Источник: Group-IB Threat Intelligence & Attribution

На андеграундных форумах можно часто заметить темы и сообщения со списком фейкшопов. Так посетители форумов пытаются бороться с рекламой фишинговых ресурсов.

Сообщение на форуме crdclub[.]ws. источник: Group-IB Threat Intelligence & Attribution
Сообщение на форуме crdclub[.]ws. источник: Group-IB Threat Intelligence & Attribution

Нередко можно встретить сообщения от обманутых кардеров на разных форумах, как на скриншоте ниже, где пользователь внес деньги на счёт в маркете, но так и не дождался возможности приобрести желаемые "услуги".

Скриншот с форума carder[.]uk
Скриншот с форума carder[.]uk

А некоторые владельцы ресурсов, стремясь избежать потери аудитории и репутации, даже указывают список фейкшопов, маскирующихся под них, на своём ресурсе.

Скриншот страницы авторизации маркета Valcc
Скриншот страницы авторизации маркета Valcc

Выявить настоящий это ресурс или фейковый зачастую не просто. Так же как и создатели обычных фишинговых веб-страниц, владельцы фейкшопов стараются как можно точнее копировать оригинал. Сравним страницу авторизации реального Ferum-shop и его фейка:

Визуально отличия почти не заметны, например, рекламные баннеры скопированы полностью. Однако, можно обратить внимание на разные системы капчи на оригинале и фейке (выделены красным). Также неправильно перенесены дизайны панелей (выделено зеленым) и кнопок (выделено синим).

Такие различия могут легко ввести в заблуждение неопытного пользователя, особенно, когда создатели фейкшопа Ferum-Shop активно рекламируют на форумах срочную "смену" доменного имени маркета.

Сообщение на форуме sky-fraud[.]ru. Источник: Group-IB Threat Intelligence & Attribution
Сообщение на форуме sky-fraud[.]ru. Источник: Group-IB Threat Intelligence & Attribution

Продолжение здесь.

Дисклеймер

  1. Целью настоящего исследования является предоставление сведений о способах совершения противоправных деяний для привлечения внимания государственных регуляторов, соответствующих уполномоченных органов, а также для минимизации риска дальнейшего совершения таких противоправных деяний, их своевременного пресечения и формирования у пользователей должного уровня правосознания.

  2. Выводы, содержащиеся в настоящем исследовании, сделаны в результате анализа специалистами Group-IB информации, полученной из открытых источников, а также ни в какой ее части не являются официальной позицией компетентных органов, в том числе правоохранительных любой юрисдикции. Сведения, ставшие публично известными до выпуска настоящего исследования, указаны в первоначальном неизреченном виде. Исследование не содержит прямых обвинений в совершении преступлений и иных противоправных действий и носит аналитический характер.

  3. Настоящее исследование подготовлено в информационных и ознакомительных целях и не может использоваться читателем в коммерческих и иных, не связанных с образованием или личным некоммерческим использованием целях.

  4. Исследование является объектом авторского права и охраняется нормами права в области интеллектуальной собственности.

Теги:
Хабы:
Всего голосов 4: ↑1 и ↓30
Комментарии1

Публикации

Информация

Сайт
www.facct.ru
Дата регистрации
Дата основания
Численность
501–1 000 человек
Местоположение
Россия

Истории