Αποκαλύφθηκε credit card fraud πολλών εκατομμυρίων δολαρίων! Μια τεράστια επιχείρηση που φέρεται να έχει αφαιρέσει εκατομμύρια δολάρια από πιστωτικές κάρτες από την έναρξή της το 2019 έχει αποκαλυφθεί και θεωρείται υπεύθυνη για απώλειες που είχαν δεκάδες χιλιάδες θύματα.
Δείτε επίσης: Κρίσιμη ευπάθεια Magento 2 στοχεύτηκε σε νέο κύμα επιθέσεων
Οι διαχειριστές του ιστότοπου, που πιστεύεται ότι προέρχονται από τη Ρωσία, διαχειρίζονται ένα εκτεταμένο δίκτυο ψεύτικων ιστοσελίδων γνωριμιών και υποστήριξης πελατών και τις χρησιμοποιούν για να χρεώνουν πιστωτικές κάρτες που αγοράστηκαν στο dark web.
Με αυτόν τον τρόπο, οι χρεώσεις των credit card φαίνονται νόμιμες και οι ιστότοποι δεν εγκρίνουν εύκολα τις επιστροφές κεφαλαίων με βάση δόλιες συναλλαγές, με αποτέλεσμα τον εμπλουτισμό του εγκληματικού συνδικάτου πίσω από την επιχείρηση.
Δείτε επίσης: Οι servers Microsoft Exchange παραβιάστηκαν μέσω OAuth apps για phishing
Η ανακάλυψη και η αναφορά για την παγκόσμια επιχείρηση προέρχονται από ερευνητές στο ReasonLabs, οι οποίοι μοιράστηκαν τα ευρήματά τους με το BleepingComputer.
Τεράστιο δίκτυο ιστοσελίδων
Η λειτουργία χρησιμοποιεί δύο είδη domain που χρησιμεύουν ως βάση της λειτουργίας, συγκεκριμένα, ιστότοπους γνωριμιών και portals υποστήριξης πελατών.
Κατά την επίσκεψη στους ιστότοπους για τις εταιρείες ορισμένων από αυτούς τους φερόμενους ιστότοπους γνωριμιών, διαπιστώσαμε ότι οι εταιρικοί ιστότοποι δεν υπήρχαν ή είχαν ανύπαρκτες διευθύνσεις email, όπως “mail@example.com”.
Αν και λειτουργικοί, αυτοί οι ιστότοποι δεν λαμβάνουν αξιοσημείωτη επισκεψιμότητα και κατατάσσονται πολύ χαμηλά στα αποτελέσματα του Google Search, καθώς σκοπός της ύπαρξής τους δεν είναι να προσελκύουν θύματα, αλλά φέρεται να χρησιμεύουν ως κανάλια ξεπλύματος βρώμικου χρήματος.
Η ReasonLabs λέει ότι οι ιστότοποι έχουν την ίδια δομή και περιεχόμενο HTML, επομένως φαίνεται ότι έχουν δημιουργηθεί από αυτοματοποιημένα εργαλεία.
Η ReasonLabs λέει ότι οι ιστότοποι έχουν την ίδια δομή και περιεχόμενο HTML, επομένως φαίνεται ότι έχουν δημιουργηθεί από αυτοματοποιημένα εργαλεία.
Σύμφωνα με την ReasonLabs, τα portals υποστήριξης πελατών είτε χρησιμοποιούν ένα ψεύτικο όνομα entity είτε σχεδιάζουν τους ιστότοπούς τους ώστε να μοιάζουν με πραγματικά brands όπως η McAfee, η ReasonLabs και άλλες εταιρείες.
Δείτε επίσης: CISA: Κρίσιμο σφάλμα ManageEngine RCE χρησιμοποιείται σε επιθέσεις
Οι χειριστές φαίνεται επίσης να έχουν καταβάλει μεγαλύτερη προσπάθεια για να αποκρύψουν τα 75 support portals από την ευρετηρίαση μηχανών αναζήτησης, χρησιμοποιώντας οδηγίες anti-crawler στο Robots.txt (“disallow all”).
Επεξεργασία και χρέωση πληρωμών
Το μεγαλύτερο εμπόδιο της επιχείρησης είναι η εγγραφή αυτών των ιστότοπων ως payment acquirers με επεξεργαστές, οι οποίοι συνήθως τους ταξινομούν ως “υψηλού κινδύνου” ακόμη και όταν είναι νόμιμοι λόγω της κατηγορίας των υψηλών ποσοστών επιστροφής χρέωσης.
Για να μην μπουν στη μαύρη λίστα, οι ερευνητές λένε ότι κάθε ιστότοπος έγινε apply μεμονωμένα για να αποφευχθεί η απώλεια όλων ταυτόχρονα σε περίπτωση που αποκαλυφθεί απάτη σε κάποια από αυτές.
Όσον αφορά την προσκόμιση αποδείξεων νομιμότητας, όλοι οι ιστότοποι διαθέτουν chat υποστήριξης 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα και τηλεφωνική γραμμή που λειτουργεί, η οποία ανατίθεται σε έναν γνήσιο πάροχο κέντρου υποστήριξης.
Επιπλέον, όλοι οι ιστότοποι αναφέρουν έναν αριθμό χωρίς χρέωση για τους “συνδρομητές” εάν θέλουν να ακυρώσουν μια πληρωμή, ο οποίος συνήθως δεν βρίσκεται σε fraudulent sites.
Μόλις οι υπεύθυνοι επεξεργασίας πληρωμών τις εγκρίνουν, η ReasonLabs πιστεύει ότι οι χειριστές αξιοποιούν τη δεξαμενή των εκατομμυρίων κλεμμένων καρτών πληρωμής στο dark web (CC dumps) και τις χρεώνουν στους ιστότοπους.
Η ReasonLabs παρατήρησε ότι οι περισσότερες από τις κάρτες που χρησιμοποιούνται κατά τη λειτουργία ανήκουν σε ανθρώπους στις Ηνωμένες Πολιτείες, αλλά υπήρχαν και κάρτες από γαλλόφωνες χώρες.
Η χρέωση πραγματοποιείται είτε με χρήση API είτε χειροκίνητα, ενώ οι διαχειριστές του ιστότοπου είναι πολύ προσεκτικοί ώστε να μην ενεργοποιούν συναγερμούς anti-fraud και να μην παρατείνουν το χρόνο πριν το θύμα συνειδητοποιήσει τις χρεώσεις.
Χρεώνουν μικρά ποσά, χρησιμοποιούν γενικές ονομασίες που μπορεί να συνδυάζονται με τις συνήθειες δαπανών του θύματος, χρησιμοποιούν επαναλαμβανόμενες πληρωμές με το ίδιο ποσό και αποφεύγουν να πραγματοποιούν δοκιμαστικές συναλλαγές.
Όλες αυτές οι συνδυασμένες τακτικές επέτρεψαν σε αυτή την επιχείρηση απάτης να διαρκέσει τόσο πολύ χωρίς να ανακαλυφθεί, κερδίζοντας δεκάδες εκατομμύρια δολάρια χρεώνοντας μικρά ποσά από πολλά άτομα.
Δυστυχώς, το BleepingComputer δοκίμασε τυχαία αρκετούς από τους 275 ψεύτικους ιστότοπους που αναφέρονται στην αναφορά ReasonLabs και είναι όλοι online.
Ωστόσο, αυτό μπορεί να αλλάξει σύντομα, καθώς η ReasonLabs λέει ότι έχει αναφέρει τους ιστότοπους στους υπεύθυνους επεξεργασίας πληρωμών και στις αρχές επιβολής του νόμου.
Μια πλήρης λίστα των sites βρίσκεται στην αναφορά της ReasonLabs.
Πηγή πληροφοριών: bleepingcomputer.com
