Хакер #305. Многошаговые SQL-инъекции
Исследователи заметили, что преступники продают данные украденных банковских карт в соцсети Threads*. В некоторых случаях хакеры публикуют полную информацию о картах, а также похищенные учетные и изображения самих карт.
Как сообщает издание The Register, одной из первых сообщения о продаже ворованных карт заметила ИБ-исследователь из компании SpyCloud Кайла Кардона (Kyla Cardona), когда листала свою ленту. Также на всплеск рекламы ворованных финансовых данных в Threads некоторое время назад обратили внимание и пользователи Reddit.
Хотя представители Meta** сообщили журналистам, что компания «осведомлена об этом поведении и продолжает принимать меры против аккаунтов и контента, нарушающих правила» площадки, специалисты SpyCloud считают, что компания могла бы активнее вытеснять преступников со своей платформы.
Так, исследователи нашли в Threads не менее 15 аккаунтов, насчитывающих свыше 12 000 подписчиков, где публикуется краденая финансовая и личная информация. Отмечается, что аналогичные учетные записи были замечены и на одной из других платформ Meta, и такая активность может активно поощряться алгоритмами соцсетей.
«Не похоже, что все это активно модерируется, — говорит ИБ-исследователь Аврора Джонсон (Aurora Johnson), тоже заметившая рекламу ворованных карт. — Эти аккаунты существуют месяц, два месяца, и я полагаю, что у Meta есть возможность использовать OCR (оптическое распознавание символов) для изображений, а также автоматическое обнаружение сообщений, содержащих полную информацию о кредитных картах. Для такого формата можно установить автоматическую защиту».
В сообщениях, о которых говорят исследователи, зачастую содержатся полные имена владельцев карт, полные и частичные номера карт, коды CVV, даты истечения срока действия, PIN-коды, банковские идентификационные номера (BIN), а также названия банков и эмитентов карт, номера социального страхования, IP-адреса, физические адреса, номера телефонов, даты рождения, адреса электронной почты и пароли.
Иными словами, такие сообщения содержат все необходимое для того, чтобы совершать покупки по чужой карте или осуществить кражу личности, использовать украденные данные для взлома других учетных записей, преследовать пострадавших в сети или реальной жизни.
Более того, в некоторых сообщениях в Threads были замечены опросы, призванные повысить вовлеченность публики. Так, в одном случае преступник опубликовал данные ворованных карт вместе опросом о том, работают ли они. Вариант ответа «Работает нормально» означал успешную транзакцию, а вариант «Отклонено/Пости еще» позволял получить данные новой карты.
«Они краудсорсингом подтверждают, что украденные кредитные карты все еще работают, это просто безумие, — говорит Джонсон. — Мы видели сотни откликов, когда люди отвечали на такие опросы».
Иногда в таких сообщениях злоумышленники намеренно не указывают какие-то ключевые данные карт (например, CVV-код) и направляют пользователей в свои Telegram-каналы или группы, где пытаются продать полную информацию другим преступникам.
Однако после ареста Павла Дурова во Франции в августа текущего года платформа стала бороться с незаконным контентом гораздо активнее, и теперь ссылки из сообщений в Threads все чаще ведут не в Telegram, а на сайты, где торгуют финансовыми данными. По словам исследователей, время появления новых кардерских аккаунтов и сообщений в Threads, примерно совпадает с арестом Дурова и предъявлением ему обвинений.
«Если говорить о Telegram-аккаунтах, которые мы отслеживаем, мы заметили, что количество заблокированных каналов заметно увеличилось, — говорит Джонсон, отмечая, что в основном блокируются аккаунты, связанные подменой SIM-карт и кражей банковских карт. — Из-за всех этих блокировок и репрессий, вместо того чтобы заводить канал в Telegram, [преступники] размещают рекламу в Threads, но продажи при этом все еще готовы совершать в Telegram».
* Принадлежит компании Meta, которая признана экстремистской и запрещена в России.
**Деятельность Meta Platforms признана экстремисткой и запрещена в РФ.
