זוהי ללא ספק אחת הסחורות החמות המוצעות כיום למכירה בדארקנט: פרטי כרטיסי אשראי. שפע של כלים וטכנולוגיות מקנים לעברייני הסייבר גישה וגם יכולת לאסוף מידע פרטי שכזה. הם יכולים לתקוף אתרי קניות ברשת דרך חולשות ופִרצות, לפתות קורבנות באמצעות פישינג ברשתות החברתיות, או להסתייע באמצעי סריקה פיזיים המותקנים בכספומטים, בנקודות מכירה ובתחנות דלק כדי לשכפל את המידע המוטבע בפס המגנטי של הכרטיס. לאחר שהצליחו לאסוף את הדאטה, הם מתפנים לעשות ממנו כסף - מוניטיזציה - בשוק המחתרתי של כרטיסי האשראי. בעזרת פרטי כרטיס האשראי, יוכלו הלקוחות שלהם לבצע הונאות ופעילויות זדוניות כאלו ואחרות.
לאחרונה פרסמה Cybersixgill דו"ח המנתח מספר טרנדים שאפיינו את השוק המחתרתי של ההונאות הפיננסיות במחצית השנייה של 2021. הניתוח התבצע על סמך איתור וזיהוי של למעלה מ-14 מיליון כרטיסי אשראי, שנחשפו והוצעו למכירה בשווקים של עברייני הסייבר. הנה כמה מהממצאים המרכזיים:
- מניין כרטיסי האשראי שהוצעו למכירה צנח ב-51% ביחס למחצית הראשונה של השנה.
- 9% מסך הכרטיסים הגנובים הונפקו בארצות-הברית.
- בחלוקה לפי סוגי כרטיסים, כרטיסי ויזה מהווים 57.6%.
- 84% מהכרטיסים נושאי קוד אימות (CVV/CVV2).
הממצא הראשון ברשימה מצביע על ירידה חדה במספר כרטיסי האשראי שהוצעו למכירה בדארקנט בששת החודשים האחרונים של 2021 ביחס למספרם בששת החודשים הראשונים של השנה. על פי פוסט שפורסם באחרונה בבלוג ThreatPost, מספר שווקים משמעותיים בתחום הפסיקו לפעול ברבעון האחרון של 2021, ובכך צומצם באופן ניכר מספר הכרטיסים הגנובים המוצעים למכירה. תרמו לכך שלושה גורמים עיקריים: מאמץ גובר מצד גורמי אכיפת חוק לסגור את האתרים הבלתי חוקיים, שחקני איום ש"יצאו לגמלאות" לצד מאבקים בתוך קהילת עברייני הסייבר והעדפה גוברת מצד השחקנים למתווים של תקיפות כופר, המשתלמים יותר עבור מפעילי האתרים.
הממצא השני מגלה כי כרטיסי אשראי שהונפקו בארה"ב הם עדיין המבוקשים ביותר בהשוואה לכרטיסים ממדינות אחרות. הכרטיס האמריקאי נתפס, בצדק או שלא, כחזק יותר מבחינת כוח הקנייה. כך, לעומת יותר מ-7.4 מיליון כרטיסי אשראי אמריקאיים שהוצעו למכירה במחצית השנייה של 2021, מספר הכרטיסים הרוסיים עמד על 974 בלבד. מתברר שבעוד שהרשויות ברוסיה נוהגות להעלים עין מפשיעה בסייבר היוצאת מתוך גבולות המדינה, הן מאוד לא מעוניינות שהשחקנים "שלהן" יתקפו אזרחים רוסים. אפשר לקרוא לזה דמי חסות.
הממצא השלישי, ולפיו כרטיסי ויזה מובילים במצעד כרטיסי האשראי הגנובים המוצעים למכירה, משקף את הדומיננטיות שיש לוויזה בשוק כרטיסי האשראי. אחריהם ברשימה מופיעים כרטיסי מאסטרקארד, אמריקן אקספרס ודיסקבר.
הממצא הרביעי מתייחס לאופן שבו כרטיסי אשראי דולפים לדארקנט. יש הבדל של ממש בין כרטיסים נושאי CVV/CVV2 לבין מה שמכונה כרטיסי Dump, כשאנחנו מתייחסים כאן לשכפול האלקטרוני של הפס המגנטי של הכרטיס. כרטיסים ללא קוד אימות יכולים לשמש רק באופן ידני (כרטיסים משוכפלים, למשל) כשהם מכילים פרטים מתוך הדאטה המוטבע על גבי הפס המגנטי. לעומתם, כרטיסים נושאי CVV/CVV2, אותו קוד בן שלוש או ארבע ספרות המופיע בגב הכרטיס, מאפשרים גם עסקאות מרחוק, ללא הכרטיס עצמו. כיוון שפעולות הונאה פנים אל פנים נושאות בחובן סיכון גבוה בהרבה לחשיפה בהשוואה לעסקאות אונליין, כרטיסים עם קוד אימות נחשבים לאטרקטיביים יותר עבור שחקני האיום ולכן הם מבוקשים יותר.
למרות מאמצי הרשויות, חברות כרטיסי האשראי, הבנקים והקמעונאים לשפר את רמת האבטחה, נוכלים ממשיכים לאמץ שיטות שונות ומגוונות כדי לחלץ הרשאות ומידע רגיש מתוך כרטיסי האשראי, וזאת הן בעסקאות וירטואליות והן באופן פיזי. כדי שלא ליפול בפח, חשוב לעקוב באופן שוטף אחר חשבונות הבנק ופירוטי חברות האשראי ולוודא שאין שם עסקאות חשודות; להימנע משימוש חוזר בסיסמאות בין אתרים ושירותים שונים; לאפשר אימות רב שלבי; להימנע מפתיחת לינקים וקבצים המגיעים משולחים חשודים; ולזכור: נגישות למה שמתחולל בדארקנט נותנת לנו יתרון מובנה.
הכותבת היא אנליסטית מודיעין איומי סייבר ב-Cybersixgill.