I siti web di phishing sono una potenziale trappola in cui ogni utente di Internet può incappare regolarmente – i criminali informatici non fanno eccezione: gli analisti del team di investigazione delle minacce informatiche di Group-IB hanno identificato diversi grandi gruppi che fanno soldi approfittando di contraffattori di carte di credito meno esperti.
Amsterdam | Group-IB ha appena pubblicato un lungo rapporto sull’attuale fenomeno della cannibalizzazione tra i contraffattori di carte di credito. Il carding (frode con carta di credito) è una delle forme di crimine informatico più semplici . Non richiede alcuna formazione aggiuntiva a parte competenze informatiche generali. La bassa soglia d’ingresso nel settore genera di conseguenza un’elevata domanda di servizi forniti da veri e propri negozi di carte di credito. Le scarse competenze dei principianti sono condizioni ideali per i truffatori che creano siti web che si spacciano per negozi di carte o mercati clandestini “reali”, impiegando nomi di risorse sotterranee esistenti o addirittura copiandone completamente il design. In quest’ultimo caso le differenze tra i siti sono talmente impercettibili da fuorviare gli utenti meno esperti, specie se chi crea lo shop contraffatto promuove attivamente il fatto che il nome del dominio di quello vero è cambiato.
Cannibalismo oltremodo proficuo
Gli investigatori di Group-IB hanno identificato tre grandi reti in cui confluiscono numerosissimi negozi fasulli, a cui hanno assegnato il nome in codice UniFake, JokerMantey e SPAGETTI. Quest’ultima (la più grande di tutte le reti analizzate) comprende oltre 3.000 nomi di dominio, molti dei quali sono facsimili di alcuni dei più popolari negozi di carte underground come Joker’s Stash, BriansClub, Uniсс, Ferum shop e ValidCC.
Con questa strategia, i soli creatori di SPAGETTI sono riusciti ad esempio a generare più di 9.200 transazioni in ingresso su diversi portafogli di criptovalute per un totale di oltre 1.200.000 dollari. A differenza di altre reti di negozi contraffatti, SPAGETTI diffonde anche malware attraverso i suoi siti web. I creatori della rete vi hanno integrato infatti uno stealer denominato Taurus Project che si installa sul device del malcapitato e ne carpisce i dati del browser oltre che login e password per applicazioni bancarie e portafogli di criptovalute.
Gli analisti di Group-IB hanno rilevato che i creatori della rete SPAGETTI gestiscono un ingente numero di shop fallaci sia totalmente indipendenti, sia cloni di note risorse sommerse come il BriansClub.
La maggior parte di questi domini è stata registrata a partire dal marzo 2021. Degno di nota è il fatto che tutti i siti hanno lo stesso aspetto, l’unica cosa che cambia è il nome del dominio e della risorsa. La pagina per l’autorizzazione dell’account “cliente” creato (ciò avviene dietro pagamento di circa 200 dollari, denaro che viene trafugato) è creata ad hoc per ogni sito “indipendente” o replicata per tutti i siti clone degli shop più noti.
Un fenomeno in crescita
I negozi contraffatti continueranno ad esistere fino a quando esisteranno mercati clandestini su cui vengono commercializzate carte credito compromesse. Si tratta di un segmento sotterraneo che continuerà a svilupparsi perché, a differenza dei proprietari di siti web legali, i proprietari di risorse sotterranee illegali non possono intraprendere azioni legali contro i detentori di shop fasulli.
Tuttavia, Group-IB è dell’avviso che nel prossimo futuro non ci sarà un boom di nuovi marketplace fasulli legati alla vendita di carte di credito rubate. Attualmente, infatti, il mercato dei negozi fasulli è diviso tra poche grandi reti e i novizi fanno fatica a costruire reti in grado di soddisfare tutti i requisiti per creare, sostenere e promuovere tali siti web, fatto salvo che qualcuno sviluppi nuove metodologie per ingannare i cybercriminali meno esperti.
Complicazioni per gli specialisti di threat intelligence
I negozi contraffatti risultano pericolosi per i ricercatori che indagano nell’underground e per gli specialisti di threat intelligence in termini di falsi positivi. Qualora si abbia a che fare con una rete di shop fasulli senza accorgersene si allertano clienti e il pubblico con informazioni imprecise e fuorvianti. Un altro rischio è l’errata attribuzione della frode.
Anche gli analisti antifrode esperti possono essere fuorviati da design accuratamente copiati, dati riprodotti da risorse originali e campagne promozionali attive. Studiare i negozi contraffatti aiuta gli investigatori ad esaminare i mercati sotterranei in modo più completo e approfondito perché i marketplace fallaci sono una parte inestricabile dell’industria delle carte contraffatte.
