Банда подарочных карт извлекает деньги из 100 тысяч входящих ежедневно

Некоторые из наиболее успешных и прибыльных интернет-мошенников используют подход “низкого и медленного” – избегая обнаружения или вмешательства со стороны исследователей и правоохранительных органов путем кражи небольших денежных сумм у многих людей в течение длительного периода времени. Вот история о киберпреступной группе, которая ежедневно взламывает до 100 000 почтовых ящиков и, по-видимому, не делает ничего другого, кроме перехвата данных подарочных карт и программ лояльности клиентов, которые могут быть перепроданы в Интернете.

Данные в этой истории получены из надежного источника в индустрии безопасности, который имеет доступ к сети взломанных машин, которые мошенники используют практически во всех уголках Интернета для анонимизации своего вредоносного веб-трафика. В течение последних трех лет этот источник – мы будем называть его “Билл” для сохранения анонимности – наблюдал за одной группой угроз, которая ежедневно проводит массовую проверку миллионов имен пользователей и паролей против основных мировых провайдеров электронной почты.

Билл сказал, что он не уверен, откуда берутся пароли, но предполагает, что они связаны с различными базами данных для взломанных веб-сайтов, которые регулярно публикуются на форумах по взлому паролей и хакерских форумах. По словам Билла, в среднем эта преступная группа ежедневно совершает от пяти до десяти миллионов попыток аутентификации электронной почты и забирает от 50 000 до 100 000 рабочих учетных данных.

Примерно в половине случаев учетные данные проверяются через “IMAP”, который является стандартом электронной почты, используемым такими почтовыми клиентами, как Mozilla’s Thunderbird и Microsoft Outlook. Имея доступ к прокси-сети, Билл может видеть, успешна ли попытка аутентификации, основываясь на сетевом ответе провайдера электронной почты (например, почтовый сервер отвечает “OK” = успешный доступ).

Можно подумать, что тот, кто стоит за такой разросшейся преступной машиной, использует свой доступ для рассылки спама или проведения целевых фишинговых атак на контакты каждой жертвы. Но, судя по взаимодействию Билла с несколькими крупными поставщиками услуг электронной почты, эта преступная группировка просто использует специальные автоматизированные скрипты, которые периодически заходят в систему и обыскивают каждый почтовый ящик в поисках цифровых ценностей, которые можно легко перепродать.

И, похоже, они особенно сосредоточены на краже данных о подарочных картах.

“Иногда они заходят в систему два-три раза в неделю в течение нескольких месяцев”, – говорит Билл. Эти парни ищут низко висящие плоды – в основном наличные деньги в вашем почтовом ящике”. Независимо от того, связано ли это с вознаграждениями от отелей или авиакомпаний или просто с подарочными картами Amazon, после успешного входа в аккаунт их скрипты начинают просматривать почтовые ящики в поисках того, что может представлять ценность”

Пример некоторых наиболее частых поисковых запросов, сделанных за один день бандой мошенников с подарочными картами на более чем 50 000 взломанных почтовых ящиков.

По словам Билла, мошенники скачивают не все электронные письма своих жертв: Это быстро привело бы к чудовищному объему данных. Скорее, они используют автоматизированные системы для входа в каждый почтовый ящик и поиска различных доменов и других терминов, связанных с компаниями, которые поддерживают программы лояльности и начисления баллов, и/или выпускают подарочные карты и занимаются их реализацией.

Зачем искать бонусы отелей или авиакомпаний? Потому что все эти счета могут быть очищены и зачислены на номер подарочной карты, которую можно быстро перепродать в Интернете за 80 процентов ее стоимости.

“Этим парням нужен твердый цифровой актив – наличные деньги, которые лежат в вашем почтовом ящике”, – говорит Билл. “Вы буквально просто вытаскиваете деньги из почтовых ящиков людей, а затем у вас есть все эти вторичные рынки, где вы можете продать эти вещи”

Данные Билла также показывают, что эта банда настолько агрессивно охотится за данными о подарочных картах, что регулярно добивается новых льгот по подарочным картам от имени жертв, если такая возможность имеется. Например, многие компании сейчас предлагают сотрудникам “оздоровительные льготы”, если они могут продемонстрировать, что придерживаются какой-то новой здоровой привычки, например, ежедневно посещают спортзал, занимаются йогой или бросают курить.

Билл говорит, что эти мошенники придумали способ воспользоваться и этими льготами.

“В ряде компаний медицинского страхования существуют оздоровительные программы, поощряющие сотрудников больше заниматься спортом, где если вы подпишетесь и обязуетесь отжиматься 30 раз в день в течение следующих нескольких месяцев или что-то в этом роде, вы получите пять оздоровительных баллов в счет подарочной карты Starbucks на 10 долларов, которая требует 1000 оздоровительных баллов”, – объяснил Билл. “Они фактически автоматизируют процесс отправки ответа о том, что вы завершили эту деятельность, чтобы увеличить баланс баллов и получить подарочную карту”

След банды подарочных карт

Как распределяются взломанные учетные данные электронной почты по интернет-провайдерам и поставщикам услуг электронной почты? Жертвы есть почти во всех основных сетях электронной почты, но, по словам Билла, несколько крупных интернет-провайдеров (ISP) в Германии и Франции широко представлены в данных взломанных учетных записей электронной почты.

“У некоторых из этих международных провайдеров электронной почты мы наблюдаем взлом примерно 25 000 – 50 000 учетных записей электронной почты в день”, – сказал Билл. “Я не знаю, почему они так часто подвергаются взлому”

Это может показаться большим количеством взломанных почтовых ящиков, но Билл сказал, что некоторые из крупных провайдеров, представленных в его данных, имеют десятки или сотни миллионов клиентов

Измерить, у каких провайдеров интернет-услуг и электронной почты наибольшее число взломанных клиентов, во многих случаях не так просто, равно как и определить компании, сотрудники которых имеют взломанные электронные почтовые ящики.

Сопоставление такого рода часто становится более сложным, чем раньше, поскольку многие организации теперь передали свою электронную почту на аутсорсинг облачным сервисам, таким как Gmail и Microsoft Office365, где пользователи могут получить доступ к своей электронной почте, файлам и записям чата в одном месте.

“С Office 365 все немного сложнее, потому что одно дело – сказать, сколько подключений к Hotmail вы наблюдаете в день во всей этой активности по вбросу учетных данных, и вы можете увидеть результаты тестирования на сайте Hotmail”, – говорит Билл. “Но в случае трафика IMAP, который мы рассматриваем, имена пользователей, которые входят в систему, являются любыми из миллиона или около того доменов, размещенных на Office365, многие из которых мало что скажут вам о самой организации-жертве”

Вдобавок ко всему, трудно определить, какой активности вы не замечаете.

Рассмотрев небольшой набор блоков интернет-адресов, которые, как он знает, связаны с инфраструктурой электронной почты Microsoft 365, Билл изучил трафик IMAP, идущий от этой группы к этим блокам. По словам Билла, в первую неделю апреля 2021 года он обнаружил 15 000 скомпрометированных учетных записей Office365, к которым обращалась эта группа, причем в 6 500 различных организаций, использующих Office365.

“Таким образом, я наблюдаю этот трафик всего на 10 сетевых блоках, связанных с Microsoft, что означает, что я смотрю только на 25 процентов инфраструктуры Microsoft”, – объяснил Билл. “И при нашей ничтожной видимости, вероятно, менее одного процента от общего трафика подбора паролей, направленного на Microsoft, мы наблюдаем взлом 600 учетных записей Office в день. Если я вижу только один процент, значит, речь идет о десятках тысяч учетных записей Office365, ежедневно взламываемых по всему миру”

В опубликованном в декабре 2020 года сообщении в блоге о том, как Microsoft переходит от паролей к более надежным методам аутентификации, гигант программного обеспечения заявил, что в среднем каждый месяц взламывается одна из каждых 250 корпоративных учетных записей. По состоянию на прошлый год у Microsoft было около 240 миллионов активных пользователей, согласно этому анализу.

“Для меня это важная история, потому что на протяжении многих лет люди говорили: “Да, мы знаем, что электронная почта не очень безопасна, но это общее заявление не имеет под собой никаких оснований”, – сказал Билл. “Мне кажется, что никто не смог привлечь внимание к цифрам, которые показывают, почему электронная почта так небезопасна”

Билл говорит, что в целом у компаний гораздо больше инструментов для защиты и анализа почтового трафика сотрудников, когда доступ осуществляется через веб-страницу или VPN, в отличие от доступа через IMAP.

“Просто сложнее получить доступ через веб-интерфейс, потому что на веб-сайте у вас под рукой множество расширенных средств контроля аутентификации, включая такие вещи, как отпечатки пальцев устройств, сканирование аномалий в заголовках http и так далее”, – говорит Билл. “Но какие сигнатуры обнаружения у вас есть для обнаружения вредоносных входов в систему через IMAP?”

Компания Microsoft отказалась комментировать исследование Билла, но заявила, что клиенты могут блокировать подавляющее большинство попыток захвата учетных записей путем включения многофакторной аутентификации.

“Для контекста, наше исследование показывает, что многофакторная аутентификация предотвращает более 99,9% случаев взлома учетных записей”, – говорится в заявлении Microsoft. “Более того, для корпоративных клиентов такие инновации, как Security Defaults, отключающая базовую аутентификацию и требующая от пользователей введения второго фактора, уже значительно сократили долю взломанных учетных записей. Кроме того, для потребительских учетных записей добавление второго фактора аутентификации является обязательным для всех учетных записей”

Беспорядок, который, скорее всего, так и останется беспорядком

По словам Билла, он расстроен тем, что имеет такую возможность наблюдать за ботнетом для проверки учетных данных и при этом не может ничего с этим поделать. Он поделился своими данными с некоторыми крупными провайдерами в Европе, но, по его словам, спустя несколько месяцев он все еще видит, что банда, промышляющая подарочными картами, получает доступ к тем же самым почтовым ящикам.

Проблема, по словам Билла, заключается в том, что многие крупные интернет-провайдеры не имеют никаких базовых знаний или полезных данных о клиентах, которые получают электронную почту через IMAP. То есть, у них нет никаких инструментов, позволяющих отличить законный вход в систему от подозрительного для клиентов, которые читают свои сообщения с помощью почтового клиента.

“Я думаю, что во многих случаях серверы IMAP по умолчанию не регистрируют каждый поисковый запрос, поэтому [провайдер] не может вернуться назад и увидеть, что это происходит”, – сказал Билл.

Проблема осложняется тем, что у провайдеров, заинтересованных в добровольном мониторинге IMAP-трафика на предмет взломанных учетных записей, не так уж много плюсов.

“Допустим, вы провайдер, у которого есть инструменты для обнаружения такой активности, и вы только что определили 10 000 своих клиентов, которые подверглись взлому. Но вы также знаете, что они получают доступ к своей электронной почте исключительно через почтовый клиент. Что вы делаете? Вы не можете пометить их учетную запись для сброса пароля, потому что в почтовом клиенте нет механизма для смены пароля”

Это означает, что эти 10 000 клиентов начнут получать сообщения об ошибках при каждой попытке получить доступ к своей электронной почте.

“Эти клиенты, скорее всего, разозлятся и позвонят провайдеру, злясь как черт”, – сказал Билл. “И тогда сотруднику службы поддержки придется потратить кучу времени на объяснение того, как пользоваться службой веб-почты”. В результате, очень немногие провайдеры будут что-то делать с этим”

Индикаторы компрометации (IoCs)

Не так часто KrebsOnSecurity имеет возможность опубликовать так называемые “индикаторы компрометации” (IoC), но мы надеемся, что некоторые интернет-провайдеры найдут здесь полезную информацию. Эта группа автоматизирует поиск в почтовых ящиках определенных доменов и торговых марок, связанных с активностью по подарочным картам и другим счетам с накопленной электронной ценностью, таким как бонусные баллы и мильные программы.

Этот файл включает в себя самые популярные поисковые запросы, использованные в течение одного 24-часового периода бандой по подарочным картам. Цифры слева в электронной таблице представляют собой количество раз за 24-часовой период, когда банда подарочных карт проводила поиск по данному термину в скомпрометированном почтовом ящике.

Некоторые из поисковых запросов ориентированы на конкретные бренды – например, подарочные карты Amazon или баллы Hilton Honors; другие относятся к крупным сетям подарочных карт, таким как CashStar, которая выпускает карты с белой этикеткой десятков брендов, таких как Target и Nordstrom. В почтовых ящиках, взломанных этой бандой, скорее всего, будет производиться поиск по многим из этих терминов в течение всего нескольких дней.

Оставьте комментарий