Управлением «К» МВД России при содействии Group-IB, задержаны двое киберпреступников, занимавшиеся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний.
Сообщается, что от рук мошенников пострадали десятки компаний, среди которых «Юлмарт», «Биглион», «Купикупон», PayPal», «Групон» и многие другие. Всего было скомпрометировано около 700 000 учетных записей, 2 000 из которых хакеры выставили на продажу по цене от 5 долларов США за аккаунт. Задержанные признались, что заработали как минимум 500 000 рублей. Однако реальную сумму ущерба экспертам и правоохранителям еще предстоит выяснить.
Сотрудники Group-IB рассказывают, что данное расследование стало первым подобным делом в их практике. Расследование началось в ноябре 2015 года, после того, как сайт крупного онлайн-магазина был зафиксирована масштабная кибератака, направленная на получение доступа к личным кабинетам участников программы лояльности магазина, получавших бонусы за свои покупки. В общей сложности за месяц было скомпрометировано около 120 000 учетных записей.
Как оказалось, злоумышленники собирали на хакерских форумах скомпрометированные учетные данные от различных интернет-сервисов, и с помощью специальных программ проводили автоматический перебор паролей к аккаунтам на сайте интернет-магазина.
Киберпреступники воспользовались тем, что многие посетители сайтов используют одни и те же комбинации логинов и паролей на нескольких ресурсах. Если взлом удавался, злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от 5 долларов США за аккаунт или за 20-30% от номинального баланса аккаунтов. В дальнейшем «покупатели» использовали их для оплаты товара бонусами.
«Масштаб компрометации учеток и объемы похищенных бонусов — в данном случае во многом являются следствием по-прежнему недостаточно серьезного отношения пользователей онлайн-сервисов к защите своих аккаунтов; — причина похищений бонусов. Единообразные и слабые пароли используемые для доступа к аккаунтам в разных онлайн-сервисах делают задачу злоумышленника максимально простой: единожды подобранная комбинация оказывается „ключом ко всем дверям“. Защитой от таких мошенничеств могут быть, прежде всего, бдительность самих граждан и более строгие требования к паролям, технически ограничивающие ввод простейших комбинаций, со стороны онлайн-магазинов», — говорит Сергей Лупанин, руководитель отдела расследований Group-IB.
Но скоро выяснилось, что хакеры занимались не только продажей скомпрометированных учетных записей. Также они предлагали услуги по «угону аккаунтов» — смене телефонного номера и электронной почты на учетных записях интернет-магазина. Стоимость этой услуги составляла 10% от бонусного баланса на аккаунте.
Чтобы запутать следы и затруднить противодействие со стороны службы безопасности компаний, хакеры проводили свои атаки с различных IP-адресов, используя анонимайзеры и изменяя User-Agent браузера. В целом, запросы на авторизацию поступали более чем с 35 000 уникальных IP-адресов.
После того, как в начале 2016 года крупные ритейлеры стали тщательно проверять все заказы с оплатой̆ бонусами, злоумышленники переключились на другие менее известные интернет-магазины. Кроме того, хакеры стали работать «по наводке» — за информацию о новых интернет-магазинах с бонусными программами и купонных сервисах, где можно было получить доступ к личным кабинетам пользователей, злоумышленники обещали выплатить до 50% от суммы, полученной от дальнейшей продажи скомпрометированных аккаунтов.
В ходе расследования специалисты Group-IB установили личности злоумышленников. Лидером группы оказался житель Рязанской области 1998 года рождения, а его партнером, осуществляющим техподдержку работы их совместного интернет-магазина, — житель Астраханской области, 1997 года рождения. В мае 2018 года оба были задержаны сотрудниками управления «К» МВД России. Во время обыска были изъяты доказательства их противоправной деятельности, а также наркотические вещества. Задержанным были предъявлены обвинения по ч. 2 ст. 272 УК РФ («Несанкционированный доступ») и 228 УК РФ («Незаконные приобретение, хранение, перевозка, наркотиков»). В настоящее время подозреваемые дают признательные показания. Ведется следствие.