Na online tržišti jsou na prodej údaje o platebních kartách za 3,5 milionu dolarů

12. 3. 2019 v sekci Článek

Údaje o platebních kartách několika tisíc Pákistánců se minulý měsíc objevily ve třech dávkách na nechvalně proslulém online tržišti Joker's Stash k prodeji.

Velké množství údajů o platebních kartách, které se dále přeprodávají, se v bezpečnostní terminologii označují jako „dumps“ (skládky). Kyberzločinci tyto nahromaděné údaje „ze skládek“ skupují, aby z nich mohli vytvářet duplikáty platebních karet, prostřednictvím kterých následně ve velkém vybírají prostředky z bankomatů.

Všechny tři várky údajů obsahovaly podle portálu ZDNet data z karet pákistánských uživatelů, ve dvou případech šlo o menší objemy dat, přesto byly tyto údaje o kartách unikátní a přesné, díky čemuž se staly atraktivní komoditou i v menším množství. Podle zprávy, kterou portálu ZDNet poskytla bezpečnostní firma Group-IB, obsahovaly dvě menší skládky dohromady údaje, které by posloužily k duplikaci 69 189 platebních karet.

První várka dat se na Joker's Stash objevila na konci ledna, kdy bylo možné zakoupit jednotlivě 1 535 údajů, přičemž 1 457 patřilo klientům Meezan Bank. Druhá várka dorazila zhruba o týden později, to už šlo o 67 654 karet (64 948 patřilo klientům Meezan Bank). Karty byly prodávány jednotlivě, přičemž cena za jednu se dostala na 50 dolarů, což je podle Group-IB poměrně vysoká cena. Tu zapříčinila skutečnost, že se karty pákistánských bank na podobných fórech běžně nevyskytují. Dále byla způsobena i tím, že podklady pro duplikáty byly prodávány i s PIN kódem – tedy kompletní. Celkem jsou tak na Joker's Stash k dispozici údaje za 3,5 milionu dolarů.Obvyklá cena údajů ke kartám se běžně pohybuje v rozmezí 10-40 dolarů za kus.

Zmíněná data se na Joker's Stash začala objevovat dva týdny poté, co pákistánskými médii proběhly zprávy o tom, že se hackeři dostali do systémů několika tamních bank. Většina bank údajně bezpečnostní incident popřela, a to navzdory opakovaným tvrzením pákistánských orgánů činných v trestním řízení. Přestože 96 % všech údajů o kartách pochází z Mazeen Bank, a klienti této instituce chtějí vysvětlení, banka nereagovala ani na dotazy Group-IB.

Před pár dny se na Joker's Stash objevily informace o prodeji údajů z tzv. DaVinci Breache, což by měla být skládka údajů o kartách patřících více 2,15 milionu klientům amerických bank ze 40 států. Zatím nebyla potvrzena pravost dat.

Podle odborníků z Group-IB jsou údaje o kartách pro útočníky cenné a mohou je využít mnoha způsoby, přičemž nejjednodušší je zmíněné vytváření duplikátů. Ty jsou následně použity pro výběry z bankomatů nebo pro přímý nákup zboží, které pak útočníci nejčastěji opětovně prodají. Další metodou „praní špinavých peněz“ z duplikovaných karet je zneužívání POS terminálů v podvodných firmách. Jde o platby za neexistující zboží, služby na účet nastrčené firmy, která slouží pouze k tomuto účelu – jakmile jsou peníze na jejím účtu, mohou je útočníci vybrat dříve, než je nahlášena podezřelá transakce. Podle Group-IB bývají metody praní špinavých peněz detekovány poměrně brzy. Banky v rozvojových zemích však často nemají dostatečné kontrolní mechanismy proti podvodům, díky čemuž se v těchto oblastech stále drží realizovat tyto praktiky. I to je důvod, proč se výběry z duplikovaných karet odehrávají v zemích třetího světa.

Zdroj: ZDNet