Компания в сфере кибербезопасности Group-IB оценила масштаб продажи данных скомпрометированных карт на крупных мошеннических сайтах, которые в начале февраля были заблокированы МВД. Как рассказал РБК представитель Group-IB, на этих ресурсах за все время их работы продавались данные о более чем 113 млн банковских карт, а их общая стоимость превышала $654,9 млн. Речь идет о продаже данных карт со всего мира, доля российских среди них была невысока, говорят специалисты по кибербезопасности.
Блокировка сайтов по продаже данных карт
В ночь с 7 на 8 февраля на трех крупнейших интернет-ресурсах по кардингу (мошенничество с банковскими картами) появились баннеры об их блокировке российскими правоохранительными органами, рассказали в Group-IB. Речь идет о сайтах по продаже данных карт (кардшопах) Ferum и Trump's Dumps и форуме с рекламными объявлениями таких магазинов Sky-Fraud. Также объявление о блокировке появилось на сайте Uas-Service, который занимался продажей скомпрометированных SSN (social security numbers — номеров социального страхования) и доступа к RDP-серверам для обеспечения анонимности киберпреступников. Все эти ресурсы русскоязычные и управлялись русскоязычными администраторами, подчеркивают в компании.
На всех сайтах появилось объявление с символикой МВД: «Сервис закрыт навсегда в ходе спецоперации правоохранительных органов. Управление «К» БСТМ МВД России предупреждает: хищения денежных средств с банковских карт незаконны!» БСТМ — это Бюро специальных технических мероприятий МВД.
«Заглушки на данных ресурсах появились в ночь с 7 на 8 февраля, а сложности с доступом к ним появились раньше — начиная с 5 февраля», — сказал представитель Group-IB. Он пояснил, что речь идет не о простой блокировке, а о так называемом дефейсе — это распространенная практика на Западе, когда киберполиция «вешает» баннеры на заблокированный ресурс, принадлежавший арестованным киберпреступникам. «Это может свидетельствовать о том, что сотрудники полиции получили доступ к инфраструктуре злоумышленников, что возможно только в связи с задержанием лиц, причастных к управлению как форумом, так и кардшопами», — говорит представитель Group-IB.
7 февраля Тверской суд Москвы сообщил, что следователи МВД попросили отправить в СИЗО шесть участников хакерской группировки в рамках уголовного дела о неправомерном обороте средств платежей. По информации ТАСС, фигуранты дела о кибермошенничестве были задержаны в разных регионах России. «По данным следствия, они обладают специальными познаниями в сфере международных платежных систем и подозреваются в совершении преступлений в сфере компьютерной технологии, техники и информационно-коммуникационной сети интернет», — рассказал собеседник агентства. Другие детали дела не раскрываются. РБК направил запрос в МВД.
Что продают в кардшопах
В кардшопах продаются два типа украденных данных банковских карт: текстовые данные банковских карт (номер, дата истечения, имя держателя, адрес, CVV) и дампы (содержимое магнитной полосы банковской карты). При получении этих данных мошенники могут списать с карты денежные средства. Текстовые данные обычно воруют с помощью вредоносного программного обеспечения, размещаемого на сайтах, а также с помощью фишинга. Дампы похищают с помощью скиммеров — устройств, устанавливаемых в банкоматах или зараженных POS-терминалах для оплаты товара или услуги банковской картой. В кардшопах продаются данные банковских карт большинства стран мира, основная доля приходится на США. Российские карты также бывают, но их доля неуклонно снижалась последние годы, говорит представитель Group-IB.
Масштаб заблокированных ресурсов
По словам представителя Group-IB, заблокированные ресурсы — крупнейшие игроки рынка кардинга.
Форум Sky-Fraud существует с 2011 года. На нем размещалась преимущественно реклама кардшопов, а также в свободном доступе публиковались скомпрометированные банковские карты. Group-IB зафиксировала на форуме около 280 тыс. сообщений, а также данные о более чем 20 тыс. банковских карт.
О кардшопе Ferum стало известно в 2011 году. За 2020 и 2021 годы Group-IB зафиксировала на форуме данные о 14,5 млн банковских карт — это больше, чем на любом отдельно взятом ресурсе по продаже карт за аналогичный период. Всего за время существования сайта на нем могло продаваться более 65 млн карт, а суммарная стоимость всех карт составила $280,6 млн, оценивают в Group-IB.
Group-IB выявила 50 схем мошенников с фейковыми инвестициями
Общество
Первые рекламные сообщения о сайте Trumps Dump появились на специальных форумах в марте 2017 года. На этом ресурсе за 2020 и 2021 годы на продажу было выставлено 30 млн дампов банковских карт. За все время существования кардшопа в нем могло быть более 48 млн дампов общей стоимостью $374,3 млн, рассчитали в Group-IB.
Ferum и Trumps Dump могли управляться одной хакерской группировкой, так как у них общий сервер, считает представитель Group-IB. Такой же сервер у сайта Uas-Service. Он не связан с кардингом, но его могли закрыть именно из-за принадлежности одной группировке злоумышленников, рассуждает собеседник РБК. По объемам сайт входил в топ-3 ресурсов по продаже RDP-доступов.
Влияние закрытия кардшопов на мошенников
Закрытие российскими правоохранительными органами ряда крупнейших кардшопов в даркнете имеет международное значение, считает сооснователь и генеральный директор Group-IB Дмитрий Волков: «Рынок кардинга становится все менее привлекательным для киберкриминала: его объемы с прошлого года сокращаются. Кардшопы поделят между собой клиентов и поставщиков, однако уже сейчас понятно, что кардинг постепенно движется к закату. Ликвидация трех старейших кардшопов — это однозначный сигнал для кардеров во всем мире». Он добавил, что в начале 2022 года также были закрыты два других кардшопа — Joker’s Stash и Unicc. «О закрытии Uncc свидетельствовал аналогичный баннер, появившийся 23 января этого года на сайте. Сейчас сайт недоступен», — говорит Волков.
По данным исследования Group-IB Hi-Tech Crime Trends, за второе полугодие 2020 года и первое полугодие 2021 года объем мирового рынка кардинга уменьшился на 26% — с $1,9 млрд до $1,4 млрд. В России и странах СНГ этот рынок уменьшился на 77%, составив всего $270 тыс. против $1,2 млн за предыдущий аналогичный период. Общее число данных карт банков России и СНГ, выставленных на продажу, за этот период сократилось на 60% — с 34 тыс. штук до 13 тыс. В среднем цена в кардшопах за текстовые данные составляет $15,43 за карту, за дамп — $31,12 за карту.
МВД сдало карты
В феврале были заблокированы три крупнейших мошеннических сайта по продаже данных банковских карт — на них появилось объявление о закрытии с символикой МВД. В общей сложности там продавались данные 113 миллионов карт, оценили в Group-IB.