МВД задержало двух хакеров, 21 и 20 лет, которые взламывали личные кабинеты покупателей интернет-магазинов. Если в кабинетах были бонусы, юноши продавали аккаунты третьим лицам для совершения покупок в этих магазинах. Таким образом молодые люди сумели заработать около 500 тыс. руб., нанеся ущерб ряду компаний, в том числе «Юлмарту», «Биглиону», «Купикупону», PayPal, «Групону» и другим.

Арест хакеров

В России задержаны два хакера, которые взламывали и похищали учетные записи покупателей крупных интернет-магазинов, а также пользователей платежных систем и клиентов букмекерских компаний. Хакеров интересовали те учетные записи, где у пользователя накопилось некоторое количество бонусов, полученных по программам лояльности, поскольку этими бонусами можно было оплатить новую покупку.

Следствие сообщает, что с помощью таких покупок ущерб был нанесен «десяткам» компаний, в число которых вошли «Юлмарт», «Биглион», «Купикупон», PayPal, «Групон» и другие. Как уточнили по просьбе CNews в ИБ-компании Group-IB, которая принимает участие в расследовании, пострадали также некоторые онлайн-такси, но следствие пока не разглашает, какие именно.

Оценка ущерба

В общей сложности хакерам удалось взломать около 700 тыс. учетных записей. Из них 2 тыс. были выставлены на продажу по цене от $5 за штуку. Как правило, цена аккаунта составляла от 10% до 30% от суммы накопившихся на нем бонусов. Злоумышленники сообщили непосредственно на месте задержания, что их общий заработок от реализации всей схемы составил как минимум 500 тыс. руб.

Как уточнили CNews в Group-IB, количество бонусов на тех аккаунтах, которые были выставлены на продажу, составляло от 500 до 70 тыс. руб., среднее число было 5 тыс. руб. В случае онлайн-такси в аккаунтах были начислены также бонусные мили, которые можно было объединять с бонусами. Общий ущерб, нанесенный компаниям, все еще оценивается.

Схема действий

Как сообщает Group-IB, учетные данные для взлома аккаунтов преступники находили на хакерских форумах. Это были скомпрометированы данные от различных интернет-сервисов. Злоумышленники методом подбора пытались использовать эти логины и пароли для входа в личные кабинеты участников программ лояльности различных магазинов. Подбор паролей осуществлялся с помощью специального ПО.

Поскольку многие пользователи интернета используют одни и те же логин и пароль на разных сайтах, хакерам удавалось получить доступ к их учетным записям. По словам Сергея Лупанина, руководителя направления расследований Group-IB, успешной превентивной мерой против такого подхода могли бы быть более строгие требования к паролям со стороны магазинов, исключающие простейшие комбинации.

Помимо непосредственно продажи личных кабинетов, хакеры предлагали такую услугу, как «угон» аккаунта, то есть замену номера телефона и адреса электронной почты, указанных в учетной записи. Стоимость услуги составляла 10% от количества накопленных бонусов.

Чтобы замести следы и не дать себя вычислить, хакеры использовали для проведения атак разные IP-адреса. Попытки входа в аккаунты выполнялись в общей сложности более чем с 35 тыс. уникальных IP-адресов. Также преступники применяли анонимайзеры и меняли цифровой «отпечаток» браузера (User-Agent).

В начале 2016 г. схему пришлось изменить, поскольку крупные ритейлеры начали тщательно проверять покупки, за которые покупатель намеревался расплатиться бонусами. Злоумышленники стали выбирать в качестве мишеней менее известные интернет-магазины. Также они начали выплачивать вознаграждение за информацию о новых интернет-магазинах с программами лояльности, включающими бонусы и купоны, и где у покупателей были личные кабинеты. За такую наводку преступники обещали заплатить до 50% поступлений от продаж учетных записей.

Ход расследования

Причиной начала расследования стала масштабная кибератака на сайт крупного онлайн-магазина, которая была произведена злоумышленниками в ноябре 2015 г. Целью атаки было получение доступа к личным кабинетам участников программы лояльности, основанной на получении бонусов. За месяц хакерам удалось взломать около 120 тыс. аккаунтов.

Как выяснилось в ходе расследования, руководителем группировки является житель Рязанской области, родившийся в 1998 г. У него есть напарник, который занимался технической поддержкой созданного преступниками интернет-магазина — житель Астраханской области, родившийся в 1997 г.

Задержание преступников было произведено в мае 2018 г. сотрудниками управления «К» МВД России. Проведя обыск в месте задержания, следствие нашло доказательства причастности юношей к описываемым преступлениям, а также наркотические вещества. Расследование продолжается, подозреваемые дают признательные показания.

Возможное наказание

Молодым людям были предъявлены обвинения по части 2 статьи 272 Уголовного кодекса «Неправомерный доступ к компьютерной информации». В части 2 данной статьи речь идет о неправомерном доступе к охраняемой законом компьютерной информации, если это деяние причинило крупный ущерб или было совершено из корыстной заинтересованности. Максимальная мера наказания за это — лишение свободы на срок до четырех лет.

Также задержанным предъявлены обвинения по статье 228 «Незаконное приобретение, хранение, перевозка, наркотиков». Максимальное наказание по этой статье — лишение свободы на срок до трех лет, если речь не идет о совершении деяния в крупном размере.