Джо Стюарт, директор антивирусной лаборатории фирмы SecureWorks, сообщил о
том, что ему удалось обнаружить российскую киберпреступную группу, использующую
скомпрометированные компьютеры для кражи и печати чеков на миллионы долларов.
Впоследствии эти чеки обналичиваются “мулами”.
Автоматизированная схема мошенничества начинается с проникновения в
онлайн-сервисы хранения и проверки ранее обналиченных чеков. Затем мошенники
прочесывают сайты по трудоустройству и рассылают ищущим работу людям
персонифицированные предложения поработать в сфере транзакций для международной
компании. После этого киберпреступники используют краденные данные кредитных
карт для того, чтобы рассылать откликнувшимся претендентам почти точные копии
чеков.
Стюарту удалось проследить за реализацией данной схемы путем заражения
лабораторного компьютера и наблюдения за обменом данными с сервером управления
ботнетом. Файл базы данных, который хакеры безрассудно передавали по этому
каналу, позволил установить, что за период с июня 2009 года было распечатано
3285 чеков и на предложения о трудоустройстве откликнулось 2884 соискателя.
Учитывая, что средняя сумма чека составляла 2800 долларов (ровно столько, чтобы
не привлекать к себе повышенного внимания контролирующих органов), Стюарт оценил
общую сумму выписанных чеков в 9 миллионов долларов.
По иронии судьбы, многие изображения чеков были украдены из баз данных тех
сервисов, которые коммерсанты использовали для защиты от мошенничества с ними.
Для кражи чеков злоумышленники использовали SQL-инъекции, а также трояны Zeus и
Gozi.
Стюарту удалось наладить контакт с некоторыми “мулами”, которые сообщили ему,
что они пересылали обналиченные деньги в Россию, получая взамен определенный
процент суммы. При этом почти все они рассказали, что транзакции не проходили.
