Tarjetas de crédito: publican datos de 1 millón de plásticos gratis

El pasado 2 de agosto, el sistema Group-IB Threat Intelligence & Attribution detectó una publicación poco convencional en varios foros de tarjetas.

Un usuario, apodado AW_cards, publicó enlaces a un archivo que contenía 1 millón de registros de pagos robados.
El archivo ofrecido de forma gratuita contenía detalles de tarjetas comprometidas de más de 1000 bancos en más de 100 países, incluidos India, México, EE. UU., Australia, Brasil, etc.
La publicación despertó inmediatamente el interés de los investigadores del Grupo-IB, porque los ciberdelincuentes
La comunidad de carding rara vez ofrece tantas tarjetas gratis. Es especialmente inusual para un actor del mercado previamente desconocido.
El análisis del archivo reveló que este enorme lote de tarjetas comprometidas no había aparecido en otros foros clandestinos.
Investigaciones posteriores revelaron que la publicación no era más que un anuncio muy audaz para ampliar la base de usuarios de la tienda All World Cards, que se unió al mercado de herramientas de  transacciones monetarias en mayo de 2021.
Los investigadores de Group-IB descubrieron que los supuestos propietarios de la herramienta utilizada para realizar  transacciones monetarias shop había lanzado una campaña de promoción masiva en el underground para anunciar su nueva plataforma, que, además de un gran sorteo de base de datos, incluía un concurso de redacción para otros ciberdelincuentes con un premio en efectivo de U$S15.000.
Esta publicación analiza la última base de datos de registros bancarios robadas de 1 millón, así como la breve historia de la tienda de All World Cards y la actividad de sus supuestos propietarios, que probablemente no sean los novatos en el negocio.

“Un acto extraordinario de generosidad”

El 2 de agosto de 2021, se publicó el mismo mensaje en dos foros cibercriminales “crdclub” y “xss”.
El usuario apodado “AW_cards” en lo que llamaron “Un acto extraordinario de generosidad” cargó una base de datos que contenía 1 millón de registros de pago, algunos de los cuales incluían direcciones de correo electrónico y números de teléfono.
tarjetas gratis, una nueva y peligrosa modalidad

tarjetas gratis, una nueva y peligrosa modalidad

Figura 1 – Captura de pantalla del foro “xss” (AW_cards: “Publicamos 1,000,000 de tarjetas bancarias al público.
Válido al 3%.
Todo el material de 2018-2019. Promoción de una generosidad sin precedentes de la tienda AllWorld.Cards)
Fuente: Group-IB Sistema de atribución e inteligencia de amenazas

Figura 2 – Captura de pantalla del sistema de atribución e inteligencia de amenazas de Group-IB.
Cabe destacar que un día después de la publicación, se editó el post.
El “parámetro válido” (que representa la proporción de tarjetas bancarias válidas que los ciberdelincuentes pueden monetizar) se incrementó del 3% al 20% en todo el lote.

Figura 3: captura de pantalla del foro “xss”

Figura 4 – Captura de pantalla del foro “xss” (usuario del foro Xss: “Con solo el 3% de validez, ¿se generan estos СС?”).

Figura 5 – Captura de pantalla del sistema de atribución e inteligencia de amenazas de Group-IB

Sin embargo, según los hallazgos de Group-IB, a pesar de la afirmación del autor de la publicación de que los datos se vieron comprometidos entre 2018 y 2019, el 97% de los registros en la base de datos siguen siendo válidos.
En todo el lote, los investigadores de Group-IB encontraron 810 unidades vencidas, 30 de ellas vencidas en junio de 2021, 780 en julio de 2021.
Al menos 27,112 vencen en agosto de 2021.

Se puede suponer que la mayoría de las tarjetas inválidas han sido eliminadas de la base de datos, o es más reciente que lo declarado por el autor de la publicación.

Los investigadores de Group-IB establecieron que el propietario de la base de datos utilizó varios servicios de intercambio de archivos para cargarla.

La base de datos estaba contenida en un archivo zip protegido por contraseña con un archivo de texto que contenía 1 millón de líneas con las siguientes líneas:

  • Número de tarjeta;
  • Fecha de caducidad;
  • Código CVV / CVC;
  • Nombre del titular de la tarjeta;
  • País;
  • Estado;
  • Ciudad;
  • La dirección;
  • Código postal;
  • Correo electrónico y teléfono para algunas entradas

Sin embargo, no todos los campos anteriores estaban disponibles para todos los registros de la base de datos.
Según el equipo de Inteligencia de Amenazas de Group-IB, más de 200.000 (22%) de las tarjetas de pago comprometidas eran de bancos indios, seguidos de instituciones financieras mexicanas (9%), estadounidenses (9%) y australianas (8%).

La distribución de tarjetas en el lote por país del banco emisor se muestra en la Figura 6 a continuación.

Group-IB continúa la campaña de divulgación para informar a las organizaciones financieras afectadas para que puedan tomar las medidas necesarias para mitigar el impacto potencial de los datos comprometidos.

Figura 6 – Gráfico de distribución de datos de tarjetas bancarias comprometidas por país.
Según los hallazgos, el 77% de las tarjetas del lote eran tarjetas de débito, el 23% eran tarjetas de crédito y el resto representaba menos del 1 por ciento.

Figura 7 – Gráfico de distribución de datos de tarjetas bancarias comprometidas por tipo

La distribución de datos de herramientas bancarias comprometidas por los sistemas de pago es aproximadamente la misma: las tarjetas Visa representaron el 48%, mientras que las Mastercard se ubicaron en el 47%. 

Al menos el 4% (más de 39.000) pertenecían a “RuPay“, el sistema de pago nacional de la India.
Otro 1% de las tarjetas pertenecían a American Express, el resto de los sistemas representaron menos del uno por ciento.
Al menos el 58% de los registros del lote son “estándar” o “clásicas”, un 7% más son “oro” y un 6% son “platino”.
Es interesante notar que 8.050 unidades tienen una posdata “corporativa”.

Figura 8 – Gráfico de distribución de datos de tarjetas bancarias comprometidas por sistema de pago
Se han descubierto más de 600.000 líneas con una dirección de correo electrónico completada correctamente.
Entre ellos, se encontraron direcciones de correo electrónico con los nombres de dominio de organismos gubernamentales y bancos.
Algunos de los registros de tarjetas bancarias comprometidos tenían direcciones IP mencionadas.
Por lo tanto, al menos 26.451 unidades tenían direcciones IP, pero solo 24.443 de ellas eran únicas.
Un total de 77 unidades de la lista completa no corresponden al algoritmo de Luhn (el algoritmo para verificar si el número en una tarjeta de plástico es correcto).
A juzgar por el análisis de Group-IB TI&A, menos del 2% de las tarjetas de la base de datos se superponen con los datos de tarjetas bancarias previamente ofrecidos a la venta en cualquier recurso subterráneo, incluidas las tarjetas de Swarmshop reciente .y fugas de BriansClub.
También debe tenerse en cuenta que algunas de las tarjetas están relacionadas con campañas maliciosas que involucran a sniffers JS de CoffeMokko y otros grupos similares.
Pero en cualquier caso, un porcentaje tan pequeño solo sugiere que las tarjetas publicadas en esta base de datos no fueron publicadas previamente en otras fuentes públicas.
Un análisis más detallado de la actividad del usuario llamado “AW_cards” reveló que es el autor de la tienda de tarjetas All World Cards recientemente establecida.

Todas las tarjetas del mundo

Durante todo el período de observación, se ofrecieron a la venta 3,8 millones de tarjetas bancarias en esta tienda de tarjetas.
Al menos 2,6 millones de ellos están disponibles para su compra en el momento de la publicación.
Se puede suponer que 1 millón de tarjetas ofrecidas de forma gratuita se colocaron previamente en la tienda de tarjetas.
Para una tienda de tarjetas nueva, esta cantidad de ventas en 2 meses es demasiado alta.

Figura 9 – Página de inicio de sesión de la tienda de tarjetas “Todas las tarjetas del mundo”

All World Cards” es un mercado clandestino de datos de tarjetas de crédito.
La primera aparición de esta tienda de tarjetas en los foros se registró el 31 de mayo de 2021.

Figura 10 – Captura de pantalla del foro “xss” (AW_cards: “Estimados usuarios, les presentamos la tienda de tarjetas del banco All World Cards”).
Fue un mensaje promocionando la apertura de la tienda de tarjetas.
Los propietarios de la tienda de tarjetas están activos en varios foros usando dos apodos “AW_cards” y “AW_support”.
Desde estas dos cuentas, publican noticias sobre actualizaciones de la base de datos de tarjetas y responden las preguntas de los usuarios.

Figura 11 – Captura de pantalla del foro “crdclub”
Los propietarios de la tienda de tarjetas son muy activos en la publicidad de su foro.
Durante 2 meses, se publicaron más de 400 mensajes de ambas cuentas.
El 2 de agosto de 2021, apareció un mensaje sobre la contratación de vendedores de tarjetas en el foro “xss”.

Imagen 12 – Captura de pantalla del foro “xss” (AW_cards: “Reclutamos proveedores de tarjetas bancarias”)

Otro movimiento promocional inusual fue el patrocinio de un concurso para usuarios a quienes se les pidió que enviaran artículos sobre pruebas de penetración, eludir soluciones de seguridad, vulnerabilidades y otros temas relacionados con la piratería.
Los organizadores afirmaron haber obtenido un premio de 15.000 dólares para los usuarios del foro xss.

Tarjetas, un nuevo modelo que desconcierta

Figura 13 – Captura de pantalla del foro “xss” (administrador del foro Xss: “Estamos comenzando la COMPETICIÓN DE ARTÍCULOS # 6” Verano caliente XSS “. Con nuestro ya habitual fondo de premios: $ 15,000.”)

tarjetas, el nuevo desafío

Figura 14 – Captura de pantalla del sistema de atribución e inteligencia de amenazas de Group-IB
Este tema en el foro apareció 5 días después del primer mensaje del propietario de la tienda cibercriminal.
Lo más probable es que “AW_cards” haya hablado de este concurso con el administrador de “xss” incluso antes de que se lanzara la tienda de plásticos robados.

tarjetas robadas gratis, cambia el juego

Figura 15 – Captura de pantalla del foro “xss” (administrador del foro Xss: “Patrocinador del concurso Patrocinador AW_cards”.

Figura 14 – Captura de pantalla del sistema de atribución e inteligencia de amenazas de Group-IB

A pesar de que “All World Cards” es un nombre nuevo entre las tiendas cibercriminales, su propietario no es nuevo en el negocio de vender estos datos y administrar dichos recursos.

IT CONNECT

Información de valor para ejecutivos que toman decisiones de negocios

AW_cards también ha escrito reseñas en varios hilos con artículos ya publicados.

tarjetas gratis

Figura 16 – Captura de pantalla del sistema de atribución e inteligencia de amenazas de Group-IB

Figura 17 – Captura de pantalla del foro “xss” (AW_cards: “Parece un ganador. ¡Buena suerte en la competencia!”)
También vale la pena señalar que la cuenta “AW_cards” en el foro “xxs” tiene un depósito de 0.27 Bitcoin ($ 8.500 en el intercambio de agosto de 2021).

tarjetas

Figura 18 – Página de usuario del foro “xss”

Este depósito se puede gastar en varias transacciones en el foro, pero también puede servir como seguro y usarse para pagar daños en caso de que el propietario del depósito engañe a alguien.

Lo más probable es que hacer un depósito también sea algún tipo de publicidad, ya que es más probable que los usuarios del foro confíen en las cuentas con depósito.

Conclusión

Este es un caso único en el que un nuevo nombre para el negocio del mercado está utilizando una inversión financiera tan grande para publicitar su propia tienda de tarjetas.

Un total de 1 millón de plásticos ofrecidos de forma gratuita es un caso único.

A pesar del nuevo nombre, las acciones de los propietarios de la tienda de estos recursos roados para promocionar la nueva plataforma indican que es probable que no sean ajenos a este negocio.

Desde la creación del mercado hace 2 meses, se han colocado más de 3,8 millones de plásticos en una tienda del rubro y ya están a la venta más de 2,6 millones.

No todas las tiendas de tarjetas que existen actualmente pueden proporcionar tal cantidad de datos comprometidos.

Una oferta tan generosa puede indicar que “All World Cards” entró en este negocio con seriedad y durante mucho tiempo.

Es probable que esta no sea la última vez que nos enteramos de esta tienda de tarjetas.

Por Marcelo Lozano – General Publisher IT Connect Latam

Lea más

TheHive Reloaded: 4.1.0 ya está disponible

Mercado Financiero Global: Big Picture, con 1000 aristas

Pablo Lopez Kazelian: los secretos hackers 2021 no revelados

DLP: No todos los sistemas son útiles en la nueva realidad 2021

Seguridad post pandemia: 8 claves para comercio

97 / 100