- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
В рамках этой кампании используются два вида доменов: сайты знакомств и порталы поддержки клиентов (списки адресов можно найти в отчете компании). Если попытаться зайти на сайты компаний, которым якобы принадлежат эти фейковые ресурсы, можно обнаружить, что их не существует вовсе, или они используют несуществующие адреса электронной почты, вроде [email protected].
При этом сами сайты знакомств и поддержки клиентов выглядят рабочими, но не получают практически никакого трафика, занимая низкие позиции в результатах поиска Google. Дело в том, что они существуют не для привлечения пользователей, а чтобы служить каналами для отмывания денег.
Аналитики ReasonLabs пишут, что все сайты имеют одинаковую HTML-структуру и почти одинаковый контент, поэтому похоже, что они созданы с помощью автоматических инструментов. При этом фальшивые порталы поддержки клиентов часто используют имена несуществующих организаций, либо стараются напоминать настоящие бренды, такие как McAfee, ReasonLabs и другие фирмы.
Также отмечается, что операторы этой кампании, похоже, приложили немало усилий, чтобы скрыть все 75 фальшивых порталов поддержки от индексации поисковыми системами, используя инструкции для защиты от сканеров в Robots.txt.
Но самой большой сложностью для кардеров является регистрация этих сайтов у операторов платежей, которые обычно классифицируют их как «высокорисковые» (даже если речь идет о легитимном ресурсе) из-за высокого процента возвратных платежей. Чтобы не попасть в черный список, каждый сайт подает заявку индивидуально, так как операторы кампании опасаются потерять все ресурсы сразу в случае выявления мошенничества.
Если ресурсам нужно доказать свою легитимность, то на всех сайтах имеется круглосуточный чат с поддержкой и работающий телефон, переданный на аутсорсинг в настоящий колл-центр. Кроме того, на всех сайтах указан бесплатный номер на тот случай, если пользователи захотят отменить платеж, чего кардеры обычно не предлагают.
Как только оператор платежей одобрил запрос, хакеры пускают в дело миллионы украденных платежных карт, купленных в даркнете, и списывают с них деньги через свои фальшивые сайты. Большинство карт принадлежат жителям США, но также сообщается, что хакеры покупали карты и из франкоязычных стран.
Снятие средств осуществляется либо с помощью API, либо вручную. При этом операторы сайтов очень осторожны и стараются не привлекать к себе внимания. Они снимают небольшие суммы, используют распространенные названия, которые могут затеряться среди других расходов жертвы, задействуют повторяющиеся платежи с одной и той же суммой и избегают тестовых транзакций.
Более того, в некоторых случаях хакеры даже возвращают жертвам деньги, благодаря чему их операции становятся более аутентичными, а charge-back коэффициент кажется низким.
Хотя пока многие из 275 фиктивных сайтов по-прежнему работают, эксперты ReasonLabs уже уведомили о своих выводах представителей платежных систем и правоохранительные органы.
«Мы сообщили об этой афере более чем дюжине сторон, которых она так или иначе касалась. В их число входят Visa и Mastercard, а также множество других сервисов, включая AWS, GoDaddy и всевозможных регистраторов. Также мы уведомили о мошенничестве Fraud.org», — заявляют специалисты.