Хакеры продают данные кредитных карт по $10–20

Украденные хакерами финансовые данные сегодня в изобилии представлены на черном рынке и продаются довольно дешево. Так, номера кредитных карт с CVV-кодами можно купить за $10–20, а архивы с личными данными стоят от $25.

Недавно группа исследователей в сфере кибербезопасности опубликовала новый отчет, в котором приводятся нынешние расценки хакеров на различные услуги, включая продажу украденных номеров кредитных карт, поддельные документы, DDoS-атаки и кражу личных данных. Данное исследование провели Джо Стюарт (Joe Stewart) из Dell SecureWorks и независимый эксперт Дэвид Шир (David Shear).

Основной вывод исследования – краденные личные данные и кибератаки стоят значительно дешевле, чем многие думают. Также эксперты отмечают, что со времени проведения предыдущего исследования в 2011 г. ситуация на «подпольном хакерском рынке» особенно не изменилась, а цены на некоторые услуги даже упали. В частности, теперь дешевле обходится приобретение данных банковских онлайн-аккаунтов и архивов с полными личными данными.

Архивы обычно включают такие персональные данные, как полное имя человека, его адрес, телефонные номера, адреса электронной почты, дата рождения, номер социального страхования, а также некоторая банковская информация, например логин от онлайн-банкинга. Если раньше такие архивы продавались на черном рынке за $40-60, то теперь их цена опустилась примерно до $25 в США и $30-40 за рубежом, отмечают исследователи. Основная причина такого падения цен – значительное увеличение предложения. На сегодня на черном рынке покупателям доступно намного больше украденных номеров карт и других личных данных.

При этом номера банковских карт сами по себе (включая и CVV-коды) продаются очень дешево. Так, кредитные карты США стоят около $10 и ниже, а за дополнительную плату можно получить и данные с магнитной полосы карты. Карты из других стран продаются дороже – около $20. В целом иностранные данные украденных банковских карт, аккаунтов и другая финансовая информация почти всегда заметно дороже по сравнению с такими же данными для банков в США. Исследователи не объясняют, чем это вызвано.

Также очень недорого можно купить данные логин-пароль от банковского онлайн-счета. Такая информация для счетов с балансом от $70 тыс. до $150 тыс. стоит около $300 или дешевле, в зависимости от банка и страны.

Помимо этого, недорого стоит и доступ к ботнетам. Так, за управление сетью в 1 тыс. зараженных вредоносным ПО компьютеров нужно заплатить около $20. Для 15 тыс. машин-ботов цена составляет $250.

Благодаря интернету мир стал глобальным, поэтому проблемы, которые есть у банков в Европе или США, в той же мере актуальны и для России, считает Андрей Грачев, директор департамента карточных и дистанционных технологий «Росбанка». «Для мошенников наибольший интерес представляют те данные клиентов банков, которые можно монетизировать с минимальным риском с учетом особенностей местного законодательства и полицейской практики. Распространение ботнетов – сетей зараженных вирусами компьютеров, управляемых из единого центра, – сделало возможным автоматизированный сбор определенных категорий данных, например реквизитов карт, используемых для оплаты в интернет-магазинах. В то же время массовое внедрение технологии безопасных покупок 3D Secure и смс-информирования существенно снизили ценность этих данных, так как в большинстве случаев несанкционировнную операцию по таким картам можно провести только один раз», – сказал эксперт.

«Эккаунты к системам ДБО физических лиц также в общем случае не представляют значительной ценности для мошенников, так как обычно банки требуют подтверждения операций перевода денежных средств дополнительными одноразовыми кодами. В случае же совершения нетипичных для клиента операций либо превышения установленного лимита на перевод банковские системы риск-мониторинга откладывают исполнение подобных транзакций до получения подтверждения от клиента способом, не связанным с использованием систем ДБО, например, через клиентского менеджера. Открытие счетов в банках – а без этого невозможно сделать перевод между счетами – при необходимости хорошо отслеживается правоохранительными органами. Именно поэтому те данные, которые доступны через интернет, так дешевы – их невозможно либо небезопасно эффективно монетизировать», – объяснил Андрей Грачев.