Правоохранительные органы задержали двоих киберпреступников, занимавшихся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний.
От рук мошенников пострадали десятки компаний, среди которых «Юлмарт», «Биглион», «Купикупон», PayPal, «Групон» и многие другие.
Всего было скомпрометировано около 700 тыс. учетных записей, 2 тыс. из которых хакеры выставили на продажу от 5 долл. за аккаунт.
Управление «К» МВД России при содействии международной компании, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, Group-IB, начали свое расследование еще в ноябре 2015 года. Именно тогда на одном из сайтов крупного онлайн-магазина был зафиксирована масштабная кибератака, направленная на получение доступа к личным кабинетам участников программы лояльности магазина, получавших бонусы за покупки.
Всего за месяц было скомпрометировано около 120 тыс. учетных записей.
Выяснилось, что злоумышленники собирали на хакерских форумах скомпрометированные учетные данные от различных интернет-сервисов, и с помощью специальных программ проводили автоматический перебор паролей к «учеткам» на сайте интернет-магазина.
Киберпреступники воспользовались тем, что многие пользователи используют одну и ту же связку логин/пароль на нескольких ресурсах. Если логины и пароли подходили на сайте атакуемого магазина, в дальнейшем происходил взлом личного кабинета. Злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от 5 долл. за аккаунт или за 20–30% от номинального баланса аккаунтов. А так называемые «покупатели» в дальнейшем использовали их для оплаты товара бонусами.
Как сообщили в Управлении «К», киберпреступники после их задержания признались, что заработали как минимум полмиллиона рублей. Вместе с тем реальную сумму ущерба еще предстоит выяснить.
Руководитель направления расследований Group-IB Сергей Лупанин убежден, что масштаб компрометации учетных записей и объемы похищенных бонусов, в данном случае во многом являются следствием по-прежнему недостаточно серьезного отношения пользователей онлайн-сервисов к защите своих аккаунтов.
«Единообразные и слабые пароли, используемые для доступа к аккаунтам в различных онлайн-сервисах, делают задачу злоумышленника максимально простой: единожды подобранная комбинация оказывается «ключом ко всем дверям». Защитой от таких мошенничеств могут быть, прежде всего, бдительность самих граждан и более строгие требования к паролям, технически ограничивающие ввод простейших комбинаций со стороны онлайн-магазинов», – убежден господин Лупанин.
Впрочем, как довольно быстро выяснили правоохранительные органы, хакеры не только продавали скомпрометированные учетные записи. Они также предлагали услуги по «угону аккаунта» – смене телефонного номера и электронной почты на учетных записях интернет-магазина. Стоимость подобного «сервиса» составляла 10% от бонусного баланса на аккаунте.
Чтобы запутать следы и затруднить противодействие со стороны службы безопасности компаний, хакеры проводили свои атаки с различных IP-адресов. При этом использовались анонимайзеры и изменения цифрового «отпечатка» браузера (User – Agent).
В целом запросы на авторизацию поступали более чем с 35 тыс. уникальных IP-адресов.
После того, как в начале 2016 года крупные ритейлеры стали тщательно проверять все заказы с оплатой бонусами, злоумышленники переключились на другие менее известные интернет-магазины. Кроме того, киберпреступники начали работать «по наводке»: за информацию о новых интернет-магазинах с бонусными программами и купонных сервисах, где можно было получить доступ к личным кабинетам, хакеры обещали выплатить до 50% от суммы, полученной от дальнейшей продажи скомпрометированных «учеток».
В ходе расследования специалисты Group-IB установили личности злоумышленников. Лидером группы оказался житель Рязанской области, 1998 года рождения, а его партнером, осуществляющим техподдержку работы их совместного интернет-магазина, – житель Астраханской области, 1997 года рождения. Оба были задержаны сотрудниками управления «К» МВД России.
Во время обыска у киберпреступников были изъяты доказательства их противоправной деятельности, а также наркотические вещества. В настоящее время подозреваемые дают признательные показания.
Следствие продолжается.
