Jednym z największych sektorów podziemnej gospodarki jest handel kradzionymi danymi kart płatniczych. Hakerzy kradną dane kart, dilerzy rozprowadzają je klientom, a my przyjrzymy się ofercie jednego z największych karcianych sklepów.
Serwis, znajdujący się miedzy innymi pod adresem Rescator.so, prowadzony jest przez popularnego w świecie carderów Rescatora. Oprócz posiadania dedykowanego sklepu jest on także aktywnym członkiem co najmniej trzech społeczności cyberprzestępców: cpro.su, vor.cc oraz lampeduza.net.
Supermarket dla przestępców
Sklep, a właściciwie supermarket Rescatora zyskał na popularności dzięki ofercie sprzedaży ogromnej, idącej w miliony ilości kart pochodzącej z ataku na sieć Target. Z terminali płatniczych amerykańskiej sieci sklepów Target skradziono w grudniu zeszłego roku około 40 mln danych kart kredytowych i debetowych. Brian Krebs pokusił się nawet o próbę wyśledzenia kim jest wspomniany Rescator, my natomiast przyjrzeliśmy się danym oferowanym w serwisie Rescator.so pod kątem kart wydanych przez nasze rodzime banki.
W ofercie sklepu przede wszystkim znajdują się tzw. „zrzuty” (ang. dumps) kart. Są to dane umożliwiające zrobienie dokładnej kopii karty, pochodzące w większości przypadków ze skimmingu, czyli skopiowaniu zawartości paska magnetycznego karty płatniczej lub przechwycenia danych karty z pamięci operacyjnej terminala płatniczego. W ofercie CC (czyli zrzutach danych kart zawierających dodatkowe informacje, umożliwiające np. zakupy przez Internet) polskich kart obecnie brak.
Dane ze świata
Zacznijmy jednak od zestawienia ogólnoświatowego. Na 6,1 mln dostępnych kart ze 141 krajów, Polska zajmuje 57 miejsce (to zdecydowanie lepiej niż w rankingu FIFA ;), ale w tym wypadku nie warto się chwalić ani jednym ani drugim), przodują natomiast Stany Zjednoczone z 5 712 681 rekordami. Na uwagę również zasługuje, że najprawdopodobniej Rescator „nie sprzedaje swoich” (lub po prostu nie chce niepotrzebnie denerwować lokalnych organów ścigania) i nie udostępnia kart pochodzących z rynku rosyjskiego.
Wyniki ze Starego Kontynentu
Wśród krajów europejskich przoduje Dania z 27 304 rekordami, za nią Wielka Brytania (18 740) i Finlandia (8482). W tym zestawieniu na 36 krajów znajdujemy się na 15 miejscu (odrzucając kontrowersyjną w tym gronie Turcję awansujemy o jedno oczko).
Szczypta teorii
Przechodząc do zestawienia dotyczącego naszych polskich banków warto przypomnieć, jak można stwierdzić kto jest wydawcą karty. Numer karty nie jest zbieraniną losowo wybranych cyfr czy nawet 19 kolejno wybranych cyfr, z czego 16 widocznych jest na froncie karty. Zasady numeracji definiuje norma ISO 7812. I tak pierwsza cyfra – MII czyli Major Industry Identifier – określa, kto jest wydawcą karty, dlatego też najczęściej w tym polu występuje cyfra 4, 5 i 6 przyporządkowująca kartę do grupy banków i instytucji finansowych. Kolejne 6 cyfr wraz z pierwszą już wspomnianą to IIN czyli Identyfikator Wydawcy (ang. Issuer Identification Number). Lista ta w teorii nie jest jawna, natomiast nawet na Wikipedii można znaleźć rozwinięcie większości z dostępnych numerów IIN. Kolejne 12 cyfr odpowiada za numer konta, a ostatnia cyfra jest sumą kontrolną generowana wg. algorytmu Luhna.
VISA vs MasterCard
W zestawieniu 295 ofert sprzedaży kart pochodzących z Polski przeważa VISA z 198 kartami, do Mastercard należy 95 rekordów, pozostałe dwie karty to American Express (AMEX). Polskie karty najwyraźniej sprzedają się całkiem nieźle, ponieważ jeszcze kilka dni temu w ofercie było ich ponad 400.
Klienci których polskich banków najczęściej byli ofiarami ?
Polskie zestawienie wygrywa Bank Polska Kasa Opieki S.A. (popularnie PEKAO S.A.) z 69 kartami, zaraz za nim Bank Zachodni WBK S.A. z 51 rekordami oraz Bank Handlowy w Warszawie S.A. (czyli popularnie CitiBank) – już tylko 23 rekordy. Niestety aż w przypadku 56 ofert nie było informacji co do pochodzenia. Nie widać związku z ilością bankomatów w Polce poszczególnych banków. Według takiego zestawienia zaraz za Euronetem jest PKO Bank Polski SA z 16% rynku (w zestawieniu zajął miejsce 7), Bank Polskiej Spółdzielczości SA – 12% (w zestawieniu 13 miejsce z dwoma ofertami) czy dopiero trzeci Bank Pekao SA – 10% rynku (w zestawieniu pierwszy).
Shut up and take my money!
Gdybyśmy chcieli zakupić wszystkie polskie karty w sklepie Rescator, musielibyśmy dysponować kwotą 8358 dolarów, co daje średnią wartość 28 dolarów za kartę. Nie jest to wygórowana kwota, biorąc pod uwagę zwrot jaki możemy osiągnąć wybierając się na zakupy. Najtańsze z kart – z datą ważności 14.02.2014 były po 18 USD, możemy to nazwać swego rodzaju wyprzedażą (co dziwne – w sprzedaży było aż 25 kart których termin ważności już minął). Najdroższe to dwie karty VISA Credit Platinum – w cenie 42 dolarów, obie wystawione przez CitiBank. Pozostałe ceny kształtowały się następująco – 21 USD Visa Electron, 26 USD Visa Debit i Credit Classic, 32 USD Mastercard Credit i Debit oraz 38 USD Mastercard Credit Gold i New World. Gdy porównamy te ceny z cenami kart pochodzących z USA (średnio około 10 dolarów), to można powiedzieć, że musimy zapłacić spory podatek od unikalności, z drugiej jednak strony nasze konta nie dają kupującemu tak dużej gwarancji sukcesu jak którakolwiek z 537 kart Zjednoczonych Emiratów Arabskich, gdzie średnia cena karty to prawie 40 dolarów. Będąc już przy gwarancji – po zakupie karty, gdyby w ciągu 6 godzin okazało się, że karta została zablokowana, sklep gwarantuje wymianę na nową bądź zwrot kosztów. Niestety sklep nie przyjmuje płatności kartą. Dziwne… :)
Komentarze
Aż zapytam: jaki jest sens tego artykułu?
Myślę ,że zgodnie z przyjętą filozofią „czytania ze zrozumieniem” ten artykuł jest bardzo fajną propozycją informacyjną posiadającą dokładne dane odnośnie polskich klientów , i tego jak niewiele trzeba zapłacić aby posiadać karty , a w Tym już Twoja głowa co z Nimi zrobisz i do jakiego ataku użyjesz aby pozyskać upragnione „piniąąądze” ;):D .
W zalewie newsów tłumaczonych z angielskiego i zwykłych plot pojawia się w końcu artykuł z oryginalną, własną treścią (opracowanie), a tobie jeszcze źle…
Wg mnie artykuł ładnie pokazuje, w przystępnej dla osób niezbyt technicznych formie, czym grożą ataki na sklepy i jak łatwo można tym obracać. Bardzo dobrze napisane i podesłane paru osobom, które „nie widzą problemu” :)
Bardzo interesujący i niepokojący artykuł. Bezpieczeństwo naszych pieniędzy, a co za tym idzie także kart na których je trzymamy jest bardzo ważne i naprawdę zaskakujące jest, jak łatwo można wejść w posiadanie takich danych.
Lekkie wprowadzenie czytelników w błąd, lampeduza.net, roscort.su (octavian.su) czy też vor.cc nie należą do największych, są za to wylęgarniami dzieciaków, podobnie jak na antichat.ru. Fora, która warto obserwować to przede wszystkim verified.ms, omerta.cc oraz exploit.in. Nie wspominam o tych dostępnych po uprzednim wpłaceniu 1k USD oraz uzyskaniu dostępu przez dedykowany VPN.
Wojtek, nie chciałbyś napisać ciekawego artykułu dla z3s? :)
Biorę coś takiego pod uwagę, z chęcią bym napisał o Hacking Team. To jest dopiero, kurwa (przepraszam za wyrażenie), niepokojące :)
„Od Ettercapa do rządowych trojanów”? Brzmi ciekawie :)
Mi właśnie MC CC zgrali w Moskwie w takim specjalnym taxi dla korpo.
Użycie było 2-3 tygodnie potem w BE cz NL.
Multibank pięknie zablokował kartę przed autoryzacją.
To wszystko to zabawki dla dzieci, prawdziwe sprawy sa tylko w tor!
Co z tego że zrzuty są dostępne i nie są drogie? Obecne zabezpieczenia bankowe w europie skutecznie blokują większość ataków zaś za reszte odpowiadają firmy ubezpieczeniowe. Dla CCV i zakupów online zabezpieczeniem jest np 3dsecure zaś dla zrzutów wystarczy że karta będzie debetowa i już musimy w większości przypadków mieć do niej pin. Dodatkowo przecież jest np region-lock na kartach itp. Powoli dochodzimy do momentu gdzie aby poza standardowym lub dającym się przewidzieć rejonem z kartą nie zrobimy nic. jedyne karty z którymi nie ma problemu (wymagające samego podpisu) to 101 a są (na szczęście) bardzo rzadko spotykane w EU. Jeśli ktoś miałby się połakomić na 201, 226 i inne z kodem zaczynającym się od cyfry 2 musiałby znaleźć sposób na ominięcie kodu PIN wymaganego nawet jeśli kartę chipową przy zakupach potraktujemy z paska. Kolejna rzecz to to że akceptanci coraz częściej sprawdzają ścieżkę 1 z karty a ta zwykle nie jest skimmowana tylko fałszerze generują ją za pomocą dopisania kilku zer w odpowiednich miejscach i wprowadzeniu dowolnego imienia i nazwiska. Czasy real-carderów w UE powoli kończą się jeśli nie wyjeżdżacie albo do USA albo do Nigerii :)