Разделы

Безопасность Стратегия безопасности Интернет Веб-сервисы Мобильность

В Facebook обнаружился маркетплейс краденых данных и хакерских инструментов на 400 тыс. участников

Исследователи безопасности обнаружили в Facebook 74 киберпреступных сообщества, в которых 385 тыс. участников торговали похищенными данными, в том числе кредитных карт и документов, и хакерскими инструментами, а также предлагали услуги по переводу средств. Один из спамеров предлагал инструмент для рассылки писем от лица Apple.

Рассадник киберпреступности

В Facebook обнаружено 74 преступных сообщества, объединяющих спамеров, скамеров и похитителей личности. Общее количество участников в данных группах достигает 385 тыс. Открытие было сделано подразделением по исследованию кибербезопасности Talos компании Cisco.

Среди сообществ есть как просто сомнительные, так и откровенно незаконные, с названиями вроде Spam Professional, Facebook hack (Phishing) и Spammer & Hacker Professional. Найти сообщества, чтобы присоединиться, можно было просто через поисковик по ключевым словам типа spam, carding или CVV. После вступления в одно из сообществ Facebook автоматически находил и предлагал пользователю похожие группы, что облегчало дальнейший поиск.

Несмотря на простоту обнаружения, некоторые из этих групп просуществовали около восьми лет — соцсеть не предпринимала никаких мер по их закрытию. За это время они успели привлечь десятки тысяч участников. По-видимому, компания ожидала, когда пользователи сами сообщат о существовании подозрительных групп, предполагают исследователи.

Сначала команда Talos попыталась прикрыть группы через механизм подачи жалобы на оскорбительный контент. После этого некоторые сообщества были немедленно закрыты, но из других всего лишь были удалены определенные публикации. Только после обращения к команде безопасности Facebook исследователям удалось добиться закрытия большей части групп.

fbh4503.jpg
Участники преступных сообществ на Facebook выставили на продажу данные кредитных карт и документов их владельцев

Это не первый подобный случай. В 2018 г. исследователь безопасности Брайан Кребс (Brian Krebs) нашел в Facebook 120 преступных сообществ, в которых состояло в общей сложности 300 тыс. пользователей. Там были выставлены на продажу ботнеты, инструменты мошеннического возврата налогов и другие незаконные сервисы. Facebook удалил все группы после обращения исследователя. Talos утверждает, что некоторые из найденных ими групп носили очень похожие, если не точно такие же имена, как сообщества из списка Кребса.

Чем занимались сообщества

Направленность сообществ, найденных Talos, была разнообразна — участники предлагали целый ассортимент услуг в сфере киберпреступности, включая продажу похищенных данных кредитных карт, кражу и продажу логинов и паролей от различных сайтов, а также инструменты и сервисы для рассылки спама по электронной почте.

fbh5004.jpg
В продаже на Facebook имеются списки адресов электронных почтовых ящиков

В числе прочего исследователи нашли несколько публикаций, в которых участники сообществ выставили на продажу номера кредитных карт вместе с их же CVV, а также в ряде случаев с данными документов владельцев, включая фото.

В других группах спамеры продавали длинные списки адресов электронных почтовых ящиков, преступники предлагали помощь с крупными денежными переводами и обналичиванием средств, продавались также shell-аккаунты доступа к серверам различных организаций, включая правительство. Встречались и предложения изготовить поддельные документы, удостоверяющие личность.

Спамер, рассылавший письма от имени Apple, приложил к своему объявлению рекламный скриншот

В большинстве случаев продавцы просили оплату в криптовалютах. Однако некоторые прибегали к помощи посредников, которые брали процент от сделки, зато оплату покупатель мог провести через PayPal. Обычно продавцы ставили пометку, что покупатель должен перевести деньги до получения товара или услуги.

Спамеры притворяются Apple

В одном из сообществ исследователи нашли спамера, который предлагал услуги по рассылке писем с вредоносным ПО в почтовые ящики Hotmail и Yahoo. Письма отправлялись якобы от имени службы поддержки Apple. К объявлению продавец прикрепил скриншот, где было показано, как такое письмо выглядит в папке «Входящие».

PDF-документ, прикрепленные к письмам, похож на настоящую накладную Apple

Ориентируясь на этот скриншот, исследователи смогли с помощью телеметрических данных найти образец такого письма в реальном почтовом ящике. Как оказалось, к письму был прикреплен PDF-файл, чрезвычайно похожий на накладную Apple о покупке. В PDF-файле было две ссылки — для просмотра или отмены заказа.

При нажатии на любую из ссылок пользователь перенаправлялся на фишинговый веб-сайт, который был зарегистрирован в недавно созданном в домене appleid[.]apple.com.verifysecureinfomanage.info. Сайт был создан с помощью фишингового инструмента 16Shop, который часто используется злоумышленниками против пользователей Apple. Хостинговые IP-адреса фишингового домена обслуживали и другие подозрительные доменные имена, которые явно использовались для скамерских кампаний в прошлом.

Валерия Шмырова