ブラックマーケットとして人気が高いJoker's Stashで、トルコの金融機関に紐づくカード情報が多数販売されていたとシンガポールのセキュリティ企業、Group IBの調査で判明しました。
securityaffairs.co
地下フォーラムやカードショップの監視、調査、分析に独自のツールを使用し、Group-IB Threat Intelligenceチームは、主にTOP 10トルコ銀行に関連する侵害された支払い記録が4つの部分でJoker's Stashにアップロードされたことを発見しました。 。«TURKEY-MIX-01(FRESH SNIFFED CVV)30.000カードTURKEY MIX、HIGH VALID 85-90%、アップロード済み2019-10-28(NON-REFUNDABLE BASE)»および«TURKEY-MIX-02(FRESH)という名前の最初の2つのデータベースSNIFFED CVV)30.000カードトルコミックス、高有効85-90%、アップロード済み2019-10-28(返金不可ベース)»は2019年10月28日に発売され、60,000個でした。これら2つの部分のすべてのカードは、それぞれ3ドルで販売されていました。
(Security Affairs記事より引用)※機械翻訳
◆キタきつねの所感
Group IBの記事から画像引用しますが、4つに分割されて合計46万件のデビットカードとクレジットカードの情報が10月28日から11月27日にかけて販売開始された様です。画像を見ると、、CVV(セキュリティコード)も入っていて、Freshつまり新規販売という事がわかります。販売価格は1ドル~3ドルで設定されており、データベースの市場価値は50万ドル以上と推定されています。
データの内訳は、フィッシング、マルウェア、またはJava-Scriptスニッファーのアクティビティの増加により、すべてのカードがオンラインで侵害された可能性が高いことを示しました。このデータベースのすべての侵害されたクレジットカードとデビットカードのレコードは、「CC」または「fullz」とも呼ばれる生カードデータとして識別され、カード番号、有効期限、CVV / CVC、カード名、その他の追加情報が含まれていました電子メール、名前、電話番号などの情報は、カードダンプ(磁気ストライプに含まれる情報)とは異なり、オフラインPOS端末の侵害を通じて取得することはできません。この情報が特定されると、Group-IBチームは、関連するトルコの地方当局に支払い記録の販売について直ちに警告したため、前者は適切な措置を講じてリスクを軽減できました。
ドミトリー・シェスタコフドミトリー・シェスタコフ
Group-IBサイバー犯罪研究ユニット長
漏えいデータは、カード所有者名、有効期限、CVV/CVCである様ですので、JavaScriptを使ってのカードスキミング(Magecartの可能性もありそうです)である可能性が高いと思われます。
foxsecurity.hatenablog.com
日本ではEC-CUBEへの攻撃が多くて、Magecartの様なより洗練された攻撃はあまり被害事例が出てませんが、(個人の意見ですが)時間の問題だと思います。
日本で今年発生した様なカード情報漏えい事件の多くが攻められた、カード情報非保持の境界線であったり、管理者アクセス部分は、言い方が悪いかも知れませんが、スクリプトキディ(初心者)でも攻撃情報(マニュアル)やそう高度でない攻撃ツール(パスワードリスト攻撃含む)があれば成功するかと思います。
海外ではもちろん、そうした攻撃もありますが、よりセキュリティ対策がされている(PCI DSS準拠等がされている)所であっても侵害する攻撃手法が出てきていて、防御が非常に固いと思われていた金融機関ですら攻撃が成功してしまっている事には、日本企業は警戒すべきです。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
