Más de 460,000 tarjetas de pago vendidas en foros del “mercado negro”
Los investigadores que supervisan la actividad en los mercados ilegales descubrieron que más de 460,000 registros de tarjetas de pago se dispusieron a la venta en dos días.
Esto ocurrió en un foro popular donde se comercializan dichos datos.
La información de la tarjeta se divide en cuatro bases de datos que se venden por separado y se ofrecieron en dos rondas, el 28 de octubre y el 27 de noviembre.
Precio del mercado negro: más de $550k
Inicialmente, el vendedor anunció dos bases de datos, cada una con datos de 30,000 tarjetas y solicitó $3 por cada tarjeta.
La oferta fue descubierta en Joker’s Stash, un mercado muy popular para comprar y vender datos de tarjetas de pago robadas.
El anuncio decía que del 85% al 90% de las tarjetas eran válidas y todas venían con todos los detalles necesarios para las transacciones en donde no se necesita la tarjeta física, como las compras en línea.
Los nombres de los dos cachés (TURKEY-MIX-01 y TURKEY-MIX-02) indican que los datos provienen de tarjetas emitidas en Turquía.
De hecho, los investigadores de seguridad de la empresa de ciberseguridad con sede en Singapur, Group-IB, pudieron determinar que los registros estaban “relacionados principalmente con los 10 principales y más reconocidos bancos turcos”.
Otro evento se dio a fines de noviembre, cuando también se ofrecieron dos bases de datos. El mismo porcentaje para tarjetas válidas fue anunciado para estas.
El número de tarjetas incluidas fue mucho mayor: alrededor de 190,000 en una y aproximadamente 205,000 en la otra, mientras que el precio de cada una se redujo a $1.
Los registros en las cuatro bases de datos son tarjetas sin formato conocidas, ‘CC’ o ‘fullz’ e incluyen la fecha de vencimiento, el código CVV (valor de verificación de la tarjeta), el número de la tarjeta y el nombre del propietario.
Aparte de esto, información como dirección de correo electrónico, nombre y número de teléfono.
No se encuentran las bandas magnéticas de las tarjetas; por lo que no podrían haberse obtenido al comprometer los sistemas PoS o los cajeros automáticos.
Estos detalles adicionales indican que los datos se recopilaron como resultado de ataques en línea.
Uso de phishing
El phishing podría haber sido la forma de robo. Sin embargo, los ataques de MageCart en las tiendas de comercio electrónico son más probables, considerando lo generalizados que están en estos días.
MageCart se basa en el código JavaScript, que Group-IB llama JS-sniffer, que generalmente se carga en las páginas de pago y copia los datos de la tarjeta rellenados por los usuarios que completan una compra.
Si bien la fuente de los datos aún no se ha determinado, Dmitry Shestakov, jefe de la unidad de investigación del Grupo IB dice que la compañía notificó a las autoridades turcas involucradas sobre la venta de estos registros de pago.
Como parte del procedimiento estándar de la compañía, los investigadores notificaron al CERT local (Equipo de respuesta ante emergencias informáticas) inmediatamente después del descubrimiento y también alertaron a las partes afectadas para que pudieran iniciar acciones de mitigación.
“Siempre hacemos nuestro mejor esfuerzo para llevar a cabo una divulgación adecuada.
Es extremadamente importante que los CERT de todo el mundo, oficiales o privados, puedan intercambiar datos de inteligencia de amenazas rápidamente.
Esto para poder reaccionar y localizar amenazas y trabajar de manera rápida y confiable para garantizar que no volverían a ocurrir “. Afirmó el representante del grupo IB.
El informe del Grupo IB compartido señala que las cuatro partes de la base de datos TURKEY-MIX aparecieron de la nada y no habían sido promocionadas antes en otras tiendas de tarjetas o foros en la web oscura.
Fuera de lo común
Los investigadores dicen que las tarjetas turcas están lejos de ser comunes en foros especializados, ya que esta venta es la única importante para las tarjetas emitidas en Turquía.
Las tarjetas robadas pueden servir para una variedad de propósitos ilegales, usándolos para comprar bienes que luego se convierten en efectivo, siendo el más común.
También ayudan a los cibercriminales a pagar los servicios necesarios en su actividad o a crear identidades digitales falsas.