Dollármilliók forognak az internetes feketepiacon

Elképesztő mennyiségben találnak gazdára az internetes feketepiacon a bank- és hitelkártya adatok, miközben a csalók dollár százmilliókat keresnek.
 

Az adatlopások egy nagyon jelentős hányada kifejezetten a bank- és hitelkártyákra koncentrálódik. Világszerte adatok millió kerülnek illetéktelen kezekbe, és sok esetben rögtön portékává válnak az internetes feketepiacon, ahol meglehetősen jól szervezett keretek között folyik az értékes adatokkal való kereskedés. A FireEye biztonsági cég kutatói ezt a piacot vették alaposabban szemügyre annak érdekében, hogy az egyik kiberbanda ténykedését felgöngyölíthessék, és kideríthessék, hogy milyen kiterjedt károkozásokban is vett részt a FIN6 néven emlegetett csapat.
 
A FIN6 létezésére először 2015-ben derült fény, amikor a FireEye intenzíven figyelni kezdte a csoport működését egyebek mellett az azóta felvásárolt iSIGHT Partners szakembereinek közreműködésével. A FIN6 egyik ismertetőjelének számít, hogy elsősorban POS-terminálok megfertőzésével próbál értékes adatokhoz jutni. Az elmúlt időszakban több különböző kártékony programot is használt e célra. Így például a Grabnew (más néven Neverquest, Snifulam vagy Vawtrak) trójai is szerepet játszott a károkozásai során. A Grabnew terjesztésének célja az volt, hogy a fertőzött rendszerekre további károkozókat lehessen feljuttatni. 2015-ben a Proofpoint szakértői olyan POS terminálokra akadtak, amelyeken a Grabnew mellett az AbaddonPOS malware is megtalálható volt.  
Amikor egy POS-kompatibilis kártékony program felkerül egy terminálra, akkor azon többek között a folyamatokhoz tartozó memóriaterületek folyamatos monitorozásával szűri ki a kártyaadatokat (kártyaszámokat, Track 1 és Track 2 információkat stb.). Ezeket a károkozó - akár több szerveren keresztül - szivárogtatja ki az adattolvajoknak. Az adatküldés ez esetben történhet HTTP/HTTPS és FTP alapokon is, de előfordul, hogy felhős fájlmegosztó szolgáltatások is szerepet kapnak.
 
Milliós bevételek
 
A FireEye szakértőinek becslése szerint a FIN6 egymaga kétezer POS terminált fertőzhetett meg, amivel összességében több millió kártyaadatra tett szert. Ezek az adatok gyakorta rövid időn belül a netes feketepiacra kerültek. Megfigyelések szerint egy kártyához tartozó "adatcsomagért" a csalók átlagosan 21 dollárt kértek. A kutatók eddig 10 millió lopott kártyához tudták hozzákötni a FIN6-et, de könnyen elképzelhető, hogy ennél jóval nagyobb károkozás fűződik a bandához. De ha "csak" a 10 millió lopott kártyával számolunk 21 dolláros egységáron, akkor is óriási bevétel üthette a kiberbanda markát.
 
„A FIN6 esete jól mutatja, hogy napjainkban miként is működik az internetes alvilág. A tanulmányunk nemcsak technikai betekintést nyújt ebbe a világba, hanem azt is megmutatja, hogy a kiberbűnözők vagy a kiberbandák miként működnek együtt, és hogyan látják el a piacot nemcsak adatokkal, hanem különféle eszközökkel, hozzáférési információkkal is" -  vélekedtek a FireEye kutatói.