В даркнете продают подарочные карты на сумму 38 млн долларов

Это 6 апреля первыми сообщили публике в компании по кибербезопасности Gemini Advisory. На неназванном русскоязычном даркнет-форуме в феврале 2021 года было выложено в продажу около 895000 подарочных карт и данные от 330000 платёжных карт.

Общая стоимость подарочных карт составляет 38 миллионов долларов. Это подарочные карты от более чем 3000 компаний, включая Chipotle, Marriott, Amazon, Airbnb, American Airlines, Dunkin Donuts, Target, Subway и Walmart. То есть кое-где подарочной картой можно оплатить ценный товар, а кое-где лишь пончик и колу. Где-то это можно сделать только онлайн, а где-то лично – но в любом случае, без необходимости показывать продавцу удостоверение личности. Отследить и аннулировать скомпрометированные подарочные карты очень трудно, и это почти не практикуется. Однако низкий риск сочетается с высокой расплатой в случае неудачи, ведь что бесплатный авиаперелёт, что часы с Amazon, что скидка на проживание через Airbnb – это всё может быть расценено как уголовное преступление (мошенничество). Обычно такие подарочные карты сбываются за 10% от их номинала.

Несмотря на огромную стоимость карт, хакер выставил их всего за 20 тысяч долларов, то есть за ~0.05% от номинала. В Gemini Advisory это объясняют тем, что, во-первых, карты были украдены ещё в 2019 году, и самые ценные из них уже наверняка использованы. Также многие карты за это время использовались их настоящими владельцами. И, в конце концов, их стало сложнее сбыть, так как сайт Cardpool.com, где легально торговались такие карты, и на котором обычно монетизировали краденое, закрылся в начале 2021 года. Кстати, именно с этого сайта и была совершена кража.

Также хакер выставил на продажу данные от 330000 банковских карт. В базе данных есть платёжный адрес держателя карты, срок действия карты, название банка и номер карты. Однако не было имени держателя карты и CVV (трёхзначного секретного кода для подтверждения оплаты). Это говорит о том, что данные были украдены оттуда же, откуда и подарочные карты – со взломанного бэкенда Cardpool. Ведь Cardpool и не имеет права хранить никакой больше информации о платёжных картах.

Такие бедные и устаревшие данные о 330000 банковских карт за несколько дней были проданы на аукционе за 15000 долларов при начальной цене в 5000 долларов.

То есть данные одной карты были оценены в четыре с половиной цента. Для сравнения, свежие и полные данные от карты, позволяющие совершать с неё онлайн-транзакции, стоят 12 долларов за штуку – в 266 раз дороже.

Короче, эта база данных платёжных и подарочных карт напоминает мусор. Когда его мало, он никому не интересен. А вот на гигантской свалке мусора специалисты могут организовать рентабельный сбор того, что ещё можно монетизировать.