犯罪者が盗まれたクレジットカードやデビットカードを売買するカード発行会社のサイトで目立っているのは、プロセス全体がとても顧客フレンドリーで簡単だという事実です。
セキュリティ会社のEasy Solutionsは、カーダーフォーラムを監視し、銀行や他の金融機関が盗難カードを追跡するのを支援します。 RSA Conferenceの会議で、Easy SolutionsのCTOであるDan Ingevaldsonは、ロシアに拠点を置くカーダーサイトValidShopについて議論しました。
インタフェース
このサイトは洗練された黒いインターフェースを持ち、非常にユーザーフレンドリーです。 最新の盗難カードのリストが画面に表示され、有効期限、発行銀行、カードの種類、国などの詳細が表示されます。 顧客は、画面の右上隅で自分の口座にあるお金を確認でき、購入するカードを検索できます。 検索は、カードの種類、銀行名、さらにはカードが発行された国と同じくらい具体的です。 顧客は、電子メールアドレス、生年月日、電話番号などの追加の個人情報を要求することもできます。
ストアは、盗まれたカードの各バッチの「有効率」も提供します。 これは、パッケージ内でまだ有効で、まだキャンセルされていないカードの割合を指します。
ユーザーは、BitCoinウォレットをリンクすることにより、ValidShopアカウントに資金を提供します。 他の支払いオプションも利用できますが、明らかな理由により、VisaとMastercardは受け入れられません。
「あなたが悪者であるなら、ショッピング体験は素晴らしいです」とインゲバルドソンは言いました。
有効
Targetの侵害により、4, 000万件の支払いカードの詳細が盗まれたと考えられています。 「4000万件のヒット(カードサイト)はまだありません」とインゲバルドソンは言いました。 泥棒は盗まれたカードをできるだけ早く動かしたいのですが、基本的な経済学も理解しています。 彼らが一度に4000万をすべて捨てた場合、それはあまりにも多くのカードで市場を過剰にし、価格を下げます。 その代わりに、盗まれたカードは一度に数百万の小さなバッチで現れます。
カードデータが盗まれたときと、発行銀行が盗難のためにカードをキャンセルするときとの間には狭い窓があります。 それでも、違反が発見されてから数か月後でも有効率がどれほど高いかは驚くべきことでした。 1月下旬にサイトに出現したターゲット違反のカードの有効率は83%でしたが、2月中旬にダンプされたバッチは60%でした。 犯罪者は、お金を稼ぐためにパッケージ内のすべてのカードが有効である必要はありません。 Ingevaldson氏によると、彼らは数百ドルを費やしてデータを購入し、カードごとに数千を作成できます。
モニタリング
イージーソリューションズは、BIN(銀行識別番号)プレフィックス、郵便番号、およびその他の情報を使用して、どのカードがどの店舗から盗まれたのかを識別することができるとインゲバルドソン氏は述べています。 同社はカーダーサイトを監視しており、同様の情報でダンプされるカードの数が急増している場合は、「何か大きなもの」が発生したことを示す明確なインジケーターです。
さまざまな小売業者サイトの店舗検索ツールに郵便番号を差し込むことは「教育的な推測」であるが、Easy Solutionsはどの店舗がかなりの程度の確実性で侵害されたかを追跡できると彼は言った。
1つのことは、カーダーフォーラムの監視から明らかです。これらのオペレーターは「起訴を恐れていません」とIngevaldson氏は述べ、これらの泥棒にとってクレジットカードの盗難は9対5の仕事であると指摘しました。 「これが彼らの仕事だ」と彼は言った。
