100万枚の盗まれたカード情報が闇マーケットのプロモーションで配布

One million stolen credit cards leaked to promote carding market

2021/08/09 BleepingComputer — 2018年から2019年にかけて盗まれた 100万枚のクレジットカードが、ハッキング・フォーラムで公開され、脅威アクターによる新たなカーディング市場を推進されている。カーディング (Carding) とは、盗まれたクレジット・カードを売買/利用することである。これらのクレジットカードは、POS マルウェアや、Web サイトへの MageCart 攻撃、トロイの木馬などにより盗み出されたものである。盗まれたクレジット・カードは、カーディング犯罪のマーケット・プレイスで販売され、オンライン・ショッピングでの購入や、追跡が困難なプリペイド・ギフト・カードの購入のために、犯罪者により使用されるのが一般である。

先週に、All World Cards という新たなカーディング・マーケット・プレイスは、100万枚のクレジットカードを無料で流出させたと、多数のハッキング・フォーラムに投稿した。このフォーラムへの投稿によると、一連のクレジットカードは 2018年から2019年の間に盗まれたものとなる。この脅威アクターは、98枚のカードをランダムにサンプリングし、約27%のカードが有効であったと主張している。しかし、イタリアのセキュリティ企業である D3Labs の報告書によると、50%が有効であるという、当初の主張よりも大きな割合を占めている。

今回の流出事件について D3Lab は、「現時点では、当社の分析チームへのフィードバックは限定されたものであるが、侵害されたと確認されていないが、有効であるカードが50%近くあることが示された」とブログで報告している。また、サイバー・セキュリティ企業の Cyble も、今回のクレジットカードの流出を分析し、流出した情報には、カード番号、有効期限、CVV、氏名、国、州、都市、住所、郵便番号、電子メール、電話番号などが含まれていると、BleepingComputer に述べている。これまでに、Cyble が分析したカードは 40万枚に過ぎないが、関連する銀行の Top-5 は以下の通りである。

• STATE BANK OF INDIA (44,654 cards)
• JPMORGAN CHASE BANK N.A. (27,440 cards)
• BBVA BANCOMER S.A. (21,624 cards)
• THE TORONTO-DOMINION BANK (14,647 cards)
• POSTE ITALIANE S.P.A. (BANCO POSTA) (14,066 cards)

顧客たちのカードが、今回の侵害に含まれているかどうかを確認するために、Cyble はデータを同社の AmIBreached サービスに取り込んだ。同社は、「この情報漏洩に自身の情報が含まれている場合は、クレジットカード会社に連絡し、新しいクレジットカードの発行を依頼することを強く推奨する。また、クレジットカードの明細書を確認し、過去の不正請求や今後の請求をチェックしてほしい」と述べている。

All World Cards のマーケットプレイス

All World Cards サイトは、カーディング・サイトの中では新しい部類に入るが、ダンプ・データをダウンロードした多くの脅威アクターにからは、今回のプロモーションは高く評価されているようだ。このカーディングサイトは、2021年5月に開始され、2,634,615枚のクレジットカードの在庫を持っている。ワーストは米国であり、1,167,616枚のカードが販売されている。カードの価格は $0.30〜$14.40 であり、$3〜$5 のカードが 73%を占めているという。All World Cards は、サイバー・セキュリティ企業や脅威インテリジェンス企業が追跡する、新しいマーケットプレイスとなっている。彼らはメジャー・プレーヤーになることを目指しており、今回の 100万枚のフリーダンプにより、多数の脅威アクターたちを自身のマーケットプレイスに引き付けることになるだろう。

盗まれたクレジット・カードを売買/利用することを、カーディング (Carding) と言うのですね。そこに All World Cards という、新たなマーケット・プレイスが登場したわけですが、日本のカードが業界で、どれくらいの損失が出ているのか調べてみたら、不正検知 Lab というサイトの、「2020年最新 クレジットカードの不正利用の発生状況と不正被害額まとめ」という記事が見つかりました。それによると、番号盗用による不正被害額は、2019年上半期だけで 111.9億円とのことです。世界全体だと、どれくらいの被害額になるのか、ちょっと想像もつきませんね。

%d bloggers like this: