В этом отчете подробно описаны риски, которые представляет праздничный сезон для частных лиц и финансовых учреждений, описаны инструменты и сервисы, которые мошенники могут использовать во время праздников, а также даны советы о том, как избежать угроз в этот период. Он предназначен для групп по борьбе с мошенничеством и разведке киберугроз в финансовых учреждениях и исследователей в области безопасности.
Введение.
С наступлением «черной пятницы» и «киберпонедельника» начинается сезон праздничных покупок, магазины наращивают усилия по привлечению покупателей, а онлайн-покупатели ищут скидки. В то же время в криминальном подполье начинается параллельный процесс, поскольку злоумышленники ожидают расширения возможностей для совершения мошенничества. Пока розничные торговцы предлагают скидки на новейшую электронику и одежду, кардинговые магазины предлагают скидки на скомпрометированные данные платежных карт. В то время как производители наращивают производство и создают инновационные товары и сервисы, злоумышленники открывают фишинговые и мошеннические сайты для привлечения онлайн-покупателей и используют новейшее криминальное программное обеспечение. В то время как ритейлеры запускают рекламные кампании и сотрудничают с маркетинговыми фирмами, злоумышленники готовят списки спама и сотрудничают с другими злоумышленниками для размещения рекламы в Интернете на своих мошеннических сайтах.
В данном отчете анализируются мошеннические предложения и обсуждения на форумах, посвященных мошенничеству, активность кардинг-магазинов, а также активность фишинговых и мошеннических сайтов в предыдущие праздничные сезоны. Угрозы в этот период затрагивают все этапы жизненного цикла мошенничества - от момента компрометации до продажи и мошеннической монетизации. Исторические данные за последние 3 года показывают, что объем скомпрометированных платежных карт, выставленных на продажу, увеличивается в праздничный сезон по сравнению с предшествующим и последующим трехмесячными периодами. В конечном итоге, вполне вероятно, что праздничный сезон 2022 года будет проходить по аналогичной схеме, что приведет к периоду повышенного риска для держателей карт, финансовых учреждений и поставщиков сопутствующих услуг.
Ключевые выводы.
- Киберпреступники чутко реагируют на изменения в покупательских привычках жертв во время праздников. Поскольку во время праздников увеличивается число покупок через Интернет, киберпреступники готовятся воспользоваться расширенными возможностями для обмана своих жертв.
- Киберпреступники используют сезонные изменения в работе продавцов, бдительность которых ослаблена, чтобы лучше справляться с резким увеличением количества транзакций во время праздников.
- Акции, скидки и специальные предложения на нелегальные сервисы и украденные данные увеличиваются во время праздников, что стимулирует рост активности киберпреступников как во время, так и после праздничного сезона.
- Киберпреступники, вероятно, воспользуются распространенными праздничными акциями, такими как «Черная пятница» и «Киберпонедельник», создавая тематические фишинговые и мошеннические страницы, чтобы завлечь жертв обещанием экономии.
- Во время праздников вероятно увеличение количества скомпрометированных платежных карт, выставленных на продажу. Это может быть результатом повышенной активности покупателей, ослабления мер по борьбе с мошенничеством, а также активизации фишинга и мошенничества.
Обзор проблематики.
Платежное мошенничество - это игра в кошки-мышки. Кошки (финансовые учреждения, сети платежных карт, торговцы, обработчики платежей, правоохранительные органы и компании, занимающиеся сбором информации о платежном мошенничестве) продолжают совершенствовать системы защиты от мошенничества на основе данных, разрабатывать более безопасные методы оплаты и улучшать стандарты хранения данных платежных карт. Для мышей (злоумышленников и кардинговых магазинов) главное - адаптивность. Они должны выявить «слепые пятна» кошек и выжимать преступную прибыль до тех пор, пока остаются возможности.
Для злоумышленников адаптивность проявляется на всех этапах жизненного цикла мошенничества: злоупотребление легальными сервисами для электронного скимминга и труднообнаруживаемой проверки карт, обход усовершенствований системы безопасности, таких как 3-D Secure (3DS), и реагирование на внешние потрясения рынка карточного мошенничества, такие как кратковременное, но неожиданное подавление киберпреступности российскими правоохранительными органами.
Злоумышленники угроз рассматривают «черную пятницу» и праздничный сезон как еще одну возможность адаптировать свои схемы, предложения и действия для извлечения дополнительной преступной прибыли. За последние 3 года объем скомпрометированных платежных карт, выставленных на продажу в магазинах кардинга в праздничный сезон - с ноября по январь - обычно превышал показатели предыдущих 3 месяцев в среднем на 5%, а последующих 3 месяцев - в среднем на 20%.
Несмотря на то, что данные за последние 3 года указывают на связь между сезоном праздников и мошенничеством с платежами, мы выявляем всплески мошенничества с картами в течение года, обусловленные множеством других факторов (инновации злоумышленников, масштабные взломы, динамика работы кардинговых магазинов и многое другое). Таким образом, праздничный сезон следует рассматривать не как принципиально исключительный период повышенной активности мошенников, а как еще один яркий пример адаптивности мошенников, которая в данном случае соответствует определенному сезонному периоду.
Анализ угроз.
Праздники предоставляют злоумышленникам больше возможностей избежать обнаружения, поскольку жертвы с меньшей вероятностью заметят мошеннические операции из-за возросшего объема продаж и покупок. Кроме того, увеличению числа атак способствуют рекламные скидки на нелегальные сервисы и украденные данные в сообществе мошенников. Кроме того, злоумышленники могут попытаться напрямую использовать расслабленность потребителей, используя целевые фишинговые атаки - например, фишинговые и мошеннические страницы на праздничную тематику.
Торговцы и меры по борьбе с мошенничеством.
Атакующие предполагают, что продавцы корректируют свои меры по борьбе с мошенничеством во время праздников, и пытаются использовать это в своих целях. Действительно, компания Recorded Future ранее подтвердила, что некоторые сайты электронной коммерции отключают такие средства защиты, как 3DS - протокол, предназначенный для обеспечения дополнительной безопасности операций с кредитными и дебетовыми картами в Интернете - при покупках до определенного порога. В зависимости от продавца этот порог может исчисляться сотнями долларов. Киберпреступники могут использовать экспериментальные транзакции для определения суммы покупки, при которой срабатывают меры защиты от мошенничества, а затем держать последующие покупки ниже этого порога, чтобы избежать обнаружения.
27 ноября 2021 года мошенник «primum_leo» на Darknet-форуме WWH Club разместил рекламу своего «дроп-сервиса». Дроп-сервисы используют наемных лиц, которые перехватывают краденные товары, проверяют покупки и иногда выдают себя за владельцев счетов, и являются жизненно важными для успеха мошенничества с банковскими картами. В рекламе primum_leo утверждает, что «черная пятница» и «киберпонедельник» - это «дни открытых дверей» в подпольных кардинговых магазинах, где киберпреступники могут использовать резкий рост объемов транзакций и ослабление мер по борьбе с мошенничеством. Согласно объявлению, злоумышленники могут получить услуги дропа со скидкой, чтобы воспользоваться смягченными мерами по борьбе с мошенничеством.
Аналогичным образом, 19 августа 2022 года мошенник «Vyebist» на Darknet-форуме WWH Club прокомментировал, что PayPal регулирует строгость своих мер по борьбе с мошенничеством в зависимости от объема транзакций и времени года. По словам Vyebist, компании ужесточают меры по борьбе с мошенничеством летом, когда спрос на различные продукты снижается. Однако в более прибыльные периоды - например, с осени до зимних праздников - компании ослабляют меры по борьбе с мошенничеством. По мнению злоумышленника, такая стратегия позволяет компаниям максимизировать прибыль и одновременно минимизировать текущие расходы и недовольство пользователей из-за отказа от легальных транзакций. Другими словами, компании стремятся найти баланс между риском и доходами в периоды повышенной покупательской активности.
Рис. 1: Злоумышленник primum_leo утверждает, что «черная пятница» и «киберпонедельник» являются «днями открытых дверей» во многих кардинговых магазинах. (Источник: Форум WWH Club)
Рис. 2: Злоумышленник Vyebist делится своим мнением относительно мер Paypal по борьбе с мошенничеством. (Источник: Форум WWH Club)
Объем и степень, в которой продавцы действительно корректируют свои меры по борьбе с мошенничеством в периоды увеличения количества транзакций, менее значимы, чем тот факт, что такие злоумышленники, как primum_leo и Vyebist воспринимают это за истину. И так же, как ритейлеры могут одобрить больший объем платежей, несмотря на повышенный риск мошенничества, чтобы извлечь выгоду из резкого роста числа транзакций, злоумышленники могут проводить больше преступных операций, несмотря на риск обнаружения, чтобы извлечь выгоду из ослабления мер по борьбе с мошенничеством.
«Скидки и акции» на криминальные сервисы и краденные данные.
Повышенная доступность нелегальных сервисов и украденных данных на теневых рынках во время праздников также может способствовать росту активности киберпреступников. Как и в случае с легальными предприятиями, праздники дают возможность злоумышленникам проводить акции и распродажи. За последние 3 года аналитики Recorded Future наблюдали заметное увеличение количества нелегальных сервисов со скидками во время праздников. Анализ активности кардинговых магазинов показал, что с ноября по декабрь увеличилось как количество украденных карт, выставленных на продажу, так и количество праздничных скидок на эти записи. Примечательно, что объем проданных карт несколько снижается в конце декабря и значительно возрастает в январе. Это может быть связано с тем, что восточноевропейские киберпреступники часто берут длительные отпуска в декабре, а затем возвращаются к «работе» в январе.
Праздничные предложения распространены среди продавцов, предоставляющих прокси-сервисы или похищающих персональную информацию. 3 декабря 2021 года злоумышленник «CNN_News» разместил объявление на форуме WWH Club, предлагая скидки на «Черную пятницу» в CC2BTC. CC2BTC был русско- и англоязычным кардинговым магазином, который открылся в мае 2020 года и закрылся весной 2022 года. Операторы CC2BTC активно рекламировали магазин как минимум на 4 форумах - WWH Club, Exploit, Verified и Omerta - и использовали праздничные спецпредложения в качестве маркетинговой уловки для привлечения новых клиентов и повышения лояльности существующих пользователей. Хотя CC2BTC уже закрылся, ныне действующие кардинговые магазины предлагали подобные скидки в прошлом и, скорее всего, сделают это снова в этом праздничном сезоне.
Аналогичная ситуация возникла и у других продавцов темной паутины. Во время праздников часто выставляются на продажу логи, прокси-сервисы, «пуленепробиваемый» хостинг и выделенные серверы, что позволяет злоумышленникам укрепить свою инфраструктуру дешевле, чем обычно. Аналитики Recorded Future ранее зафиксировали ряд рекламных акций, приуроченных к праздникам и ориентированных на злоумышленников:
- В ноябре 2021 года на WWH Club мошеннический банковский сервис, используемый для компрометации банковских учетных данных жертв, был уценен на 30%.
- В ноябре 2021 года на форуме Nulled BB было размещено рекламное предложение веб-прокси, позволяющих злоумышленникам маскировать свою деятельность.
- В ноябре 2021 года на форуме Exploit была размещена акция «Черная пятница» для логов, используемых для получения нелегального доступа к аккаунтам жертв.
- С декабря 2021 года по январь 2022 года на WWH Club хостинг-провайдер предлагал различные скидки на услуги хостинга, предназначенные для преступной деятельности, такой как брутфорс-атаки.
Рис. 3: Злоумышленник CNN_News объявил о скидках на «черную пятницу» в кардинговом магазине CC2BTC. (Источник: Форум WWH Club )
Рис. 4: Качественные фишинговые и мошеннические страницы часто неотличимы от настоящих сайтов электронной коммерции.
Рис. 5: Злоумышленник nickjonom попросил помощи в создании страницы мошеннического магазина для «черной пятницы» (Источник: Форум XSS)
Рис. 6: Отвечая на запрос nickjonom, другой мошенник Lamer2018g предложил добавить всплывающую рекламу «Черной пятницы» на целевую страницу (Источник: Форум XSS)
«Праздничные» фишинговые и мошеннические страницы.
На теневых форумах аналитики Recorded Future заметили различные темы и сообщения, указывающие на интерес пользователей к созданию фишинговых и мошеннических страниц на праздничную тематику. Злоумышленники стремятся воспользоваться расслабленными привычками тратить деньги во время праздников, чтобы обмануть больше жертв. Для этого они ищут людей, которые могут создать тематические праздничные целевые страницы - веб-страницы, созданные специально для рекламных или маркетинговых целей - чтобы привлечь потенциальных жертв. Фишинговые страницы обычно имитируют популярные сайты электронной коммерции и предназначены для кражи платежной информации, в то время как мошеннические страницы выглядят как легальные розничные магазины, но на самом деле не предлагают никакого реального товара, а похищают средства жертв и информацию о платежных картах после списания денег.
24 ноября 2021 года на темном веб-форуме XSS злоумышленник «nickjonom» попросил помощи в создании праздничной тематической целевой страницы мошеннического магазина для «Черной пятницы».
В ответ на запрос nickjonom учатсник «Lamer2018g» предложил просто добавить мошенническую всплывающую рекламу «Черной пятницы» на существующую целевую страницу.
Увеличение количества фишинговых и мошеннических страниц, вероятно, будет способствовать увеличению количества скомпрометированных платежных карт и персональных данных. Мошенники обычно монетизируют украденные данные платежных карт и данные, полученные с их фишинговых сайтов, путем перепродажи на Darknet-рынках и форумах или для личного использования для совершения мошенничества с платежными картами.
Рис. 7: Фишинговая панель «FishPanel» включает данные карт, слепок браузера и запрос для подделки 3DS-кодов верификации (Источник: Форум XSS)
Фишинговые панели.
С увеличением числа фишинговых и мошеннических страниц, вероятно, также возрастет использование таких инструментов и сервисов, как фишинговые панели. Фишинговые панели значительно упрощают фишинговые операции и предоставляют злоумышленникам, совершающим мошенничество, средства обхода таких инструментов проверки, как 3DS. После массового внедрения 3DS в Европе и его растущей популярности в США обход 3DS становится все более необходимым для компрометации платежных карт жертв. В связи с этим фишинговые панели также получили широкое распространение.
Чтобы эффективно использовать фишинговые панели, киберпреступники должны сначала связать свою фишинговую страницу с фишинговой панелью. После того как жертва попадает на фишинговую страницу, данные из ее сеанса просмотра в реальном времени заполняют фишинговую панель злоумышленника. После того как фишинговый сайт предлагает пользователю произвести оплату, жертва вводит свои платежные данные, которые снова автоматически попадают на фишинговую панель.
Затем мошенник запускает на фишинговой странице запрос на проверку 3DS. Пока жертва ожидает получения кода проверки 3DS - фактический код еще не отправлен - киберпреступник использует данные платежной карты, полученные от жертвы с помощью фишинговой панели, чтобы инициировать реальную покупку на другом сайте электронной коммерции. Эта мошенническая транзакция запускает протокол 3DS, отправляя жертве настоящий проверочный код 3DS. Как только жертва получает и вводит этот код в запрос на фишинговом сайте, реальный код попадает на фишинговую панель злоумышленника. Затем киберпреступник может забрать поддельный код и использовать его для завершения мошеннической операции.
Препятствия и проблемы для мошенников.
В зависимости от того, как оформлены мошеннические страницы, могут существовать препятствия для входа. На популярных платформах социальных сетей киберпреступники могут заявлять о продаже товаров под видом поддельного розничного продавца, однако они сталкиваются с проблемами монетизации мошеннических операций или фишинга информации о платежных картах жертв. Основные платежные шлюзы, часто используемые для обработки платежей в социальных сетях, редко передают информацию о платежных картах жертв продавцам. Многие платежные шлюзы также позволяют жертвам мошенничества оспаривать мошеннические транзакции, что может привести к замораживанию платежей или возврату денег.
Одним из распространенных решений является перенаправление жертв со страниц киберпреступников в социальных сетях на их собственные мошеннические страницы, где у них может быть больше свободы для проведения мошеннических операций и фишинговых атак. Однако создание собственных мошеннических страниц в Интернете сопряжено с дополнительными трудностями:
- Чтобы получить оплату, киберпреступники должны либо открыть торговые счета, либо скомпрометировать легальные торговые счета, либо воспользоваться услугами на форумах темной паутины, которые предоставляют доступ к таким торговым счетам.
- Как и в случае с мошенническими страницами в социальных сетях, платежные шлюзы на независимых мошеннических страницах не всегда передают информацию о платежных картах жертв, и они могут позволить жертвам мошенничества оспорить платежи.
- Чтобы в полной мере использовать мошеннические страницы в Интернете, киберпреступники должны организовать минимум рекламы, что требует дополнительного времени и ресурсов.
Ни одна из этих проблем не является непреодолимой, и их не следует воспринимать так, что фишинговые или мошеннические страницы представляют меньшую угрозу, чем другие пункты данного отчета. Киберпреступники легко адаптируются и могут использовать элементарное «обслуживание клиентов», чтобы удержать жертв мошенничества от оспаривания покупок. Например, на мошеннических страницах часто указывается, что доставка товаров может затянуться. После того как платежи прошли, мошенник может просто игнорировать жалобы своих обманутых жертв. В противном случае, если на страницу мошенника поступило много жалоб, мошенник может просто закрыть свою старую страницу и открыть новую. У мошеннических страниц короткий жизненный цикл, как правило, от 30 до 60 дней.
Меры защиты.
- Соблюдайте гигиену кибербезопасности, проверяйте покупателей и продавцов и будьте разборчивы при совершении праздничных покупок.
- Сохраняйте или усиливайте меры по борьбе с мошенничеством во время праздников, чтобы предотвратить мошеннические операции. Для торговых предприятий рассмотрите возможность введения дополнительной проверки для всех транзакций. Для финансовых учреждений - скорректировать расчеты баллов мошенничества или снизить порог, необходимый для отказа в транзакции.
- Используйте аналитические данные Recorded Future о мошенничестве с платежными картами, чтобы лучше предвидеть и смягчить последствия мошенничества с платежными картами. Recorded Future отслеживает скомпрометированные платежные карты, выставленные на продажу на криминальных интернет-ресурсах, что позволяет финансовым учреждениям принимать меры в отношении скомпрометированных карт до того, как произойдет мошенничество. Аналогичным образом, макроуровневые данные Recorded Future позволяют финансовым учреждениям определять спрос на свои портфели, прогнозировать стратегические угрозы и улучшать контроль над борьбой с мошенничеством.
Заключение.
Анализ исторических данных показывает, что киберпреступность активизируется во время праздников из-за слияния факторов, и праздничный сезон 2022 года, вероятно, не будет отличаться от других. Ослабление привычек тратить деньги и увеличение числа сезонных акций розничных сетей способствуют росту онлайн-продаж, но также расширяют возможности для злоумышленников. Этот эффект усугубляется тем, что киберпреступники считают, что продавцы ослабляют меры по борьбе с мошенничеством в периоды больших объемов продаж, что открывает их для атак. Праздничные акции на форумах темной паутины также позволяют киберпреступникам расширить свою инфраструктуру за счет скидок, что побуждает их активизировать свою деятельность. Праздничные акции, такие как «черная пятница», дают киберпреступникам дополнительные возможности для обмана жертв путем создания тематических фишинговых и мошеннических страниц.
В совокупности с данными, свидетельствующими об историческом увеличении в конце года количества украденных карточных записей, выставленных на продажу, эти факторы указывают на то, что в ближайшие месяцы вероятен период повышенного риска для держателей карт, финансовых учреждений и поставщиков соответствующих сервисов.
Об Insikt Group и компании Recorded Future.
Insikt Group – это подразделение компании Recorded Future по исследованию угроз, включает в себя аналитиков и исследователей безопасности с большим опытом работы в правительственных и правоохранительных органах, армии и разведывательных службах. Их миссия заключается в получении аналитической информации, которую в дальнейшем мы используем в целях снижения рисков для клиентов, что позволяет добиться ощутимых результатов и предотвратить сбои в работе бизнеса.
Recorded Future является крупнейшим в мире поставщиком разведданных для корпоративной безопасности. Благодаря сочетанию постоянного и повсеместного автоматизированного сбора данных и человеческого анализа Recorded Future предоставляет своевременную, точную и действенную информацию, полезную для принятия мер противодействия кибер-угрозам. В мире постоянно растущего хаоса и неопределенности Recorded Future дает организациям возможность получать информацию, необходимую для более быстрого выявления и обнаружения угроз, предпринимать упреждающие действия для пресечения действий кибер-преступников и защищать свой персонал, системы, и активы, чтобы бизнес можно было вести уверенно. Компании Recorded Future доверяют более 1 000 предприятий и правительственных организаций по всему миру.
Узнайте больше на сайте Recorded Future и следите за работой компании в Twitter!
Источник: https://www.recordedfuture.com