«eBay» для хакеров: вашу карту могут купить онлайн — с кэшбэком и гарантией возврата

Мошенничество с банковскими картами, несмотря на многолетнюю борьбу с этим явлением, не исчезло под давлением банков и платёжных систем, а перестроилось в устойчивый теневой сервисный рынок. Авторы отчёта Rapid7 описали, как «магазины дампов» и крупные площадки превратили торговлю украденными данными в удобные витрины с фильтрами, гарантиями и поддержкой, почти как в легальном e-commerce.

Эту модель Rapid7 называет carding-as-a-service («кардинг как сервис»). Речь о комплексных предложениях, где вместе продают данные карт, инструменты для проверки и правила возвратов. При этом к карточным реквизитам всё чаще добавляют персональные сведения владельцев, из-за чего ущерб выходит за рамки прямых списаний и упирается в кражу личности и захват аккаунтов.

В отчёте выделяют три основных типа «товара». Это наборы с данными карты и кодом безопасности, «дампы» с сырыми данными магнитной полосы для клонирования пластика и «фуллз» с расширенным профилем владельца, включая контактные данные и другие идентификаторы. Источники утечек площадки обычно скрывают, но на профильных форумах чаще всего обсуждают фишинг, физические накладки и устройства на терминалах и банкоматах, вредоносные программы для POS-систем и инфо-стилеры, а также атаки на платёжные страницы через внедрение скриптов.

Rapid7 отдельно разобрала три заметные площадки, которые продолжают влиять на рынок: Findsome, UltimateShop и Brian's Club. У всех схожая логика работы — поиск по BIN, стране и «базам», указание срока действия, банка-эмитента и цены, а также условия возврата, если запись оказалась нерабочей. Площадки выглядят как агрегаторы, которые скупают массивы у сторонних продавцов и перепродают после собственной «проверки качества», из-за чего одни и те же наборы могут всплывать сразу в нескольких местах.

Findsome, по данным отчёта, работает как минимум с 2019 года и продаёт в основном карточные данные и «фуллз», а также вводит платный доступ для новых аккаунтов. UltimateShop действует по меньшей мере с 2022 года и сильнее зависит от небольшой группы крупных продавцов, что, как отмечают авторы, может сказываться на доле недействительных данных. Brian's Club существует с 2014 года и выделяется большим ассортиментом «дампов» и наличием инструмента, который упрощает подготовку данных для физического клонирования.

Все три площадки принимают биткойн, а Findsome, по наблюдениям Rapid7, поддерживает и другие криптовалюты. Администраторы часто меняют домены в открытой сети, чтобы снизить риск блокировок, а параллельно растёт число сайтов-двойников, которые выдают себя за «официальные» и крадут средства у покупателей.

В разделе со статистикой авторы оговариваются, что цифры взяты из самих площадок и их нельзя подтвердить независимо. По этим данным, крупнейшая доля приходится на Findsome, затем идут UltimateShop и Brian's Club. Среди брендов чаще всего встречаются Visa и Mastercard, а по географии доминируют записи, связанные с США, заметно реже — с Канадой и Великобританией. Пик публикаций пришёлся на ноябрь и декабрь, что связывают с сезоном распродаж.

Rapid7 ожидает, что рынок будет смещаться от массовых схем с магнитной полосой к продаже «богатых» наборов с персональными данными, которые подходят для фишинга, захвата учётных записей и других идентификационных атак. В рекомендациях для компаний упоминаются многофакторная аутентификация, регулярные обновления, защита платёжных страниц от клиентских внедрений и мониторинг теневых площадок, чтобы быстрее находить утёкшие данные и запускать перевыпуск карт и сброс учётных данных.