Арестованы хакеры, занимавшиеся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний.
Управлением "К" МВД России при содействии Group-IB, международной компании, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, задержаны двое киберпреступников, занимавшиеся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний. В целом от рук мошенников пострадали десятки компаний, среди них – "Юлмарт", "Биглион", "Купикупон", PayPal, "Групон" и многие другие. Всего было скомпрометировано около 700 тыс. учетных записей, 2 тыс. из которых хакеры выставили на продажу от $5 за аккаунт. Задержанные признались на месте, что заработали как минимум 500 тыс. руб. Однако реальную сумму ущерба еще предстоит выяснить.
Расследование началось в ноябре 2015 г., после того как на одном из сайтов крупного онлайн-магазина был зафиксирована масштабная кибератака, направленная на получение доступа к личным кабинетам участников программы лояльности магазина, получавших бонусы за покупки. Всего за месяц было скомпрометировано около 120 тыс. учетных записей.
Выяснилось, что злоумышленники собирали на хакерских форумах скомпрометированные учетные данные от различных интернет-сервисов и с помощью специальных программ проводили автоматический перебор паролей к "учеткам" на сайте интернет-магазина.
Киберпреступники воспользовались тем, что многие посетители сайтов используют одну и ту же связку логин/пароль на нескольких ресурсах. Если логины и пароли подходили на сайте атакуемого магазина, происходил взлом личного кабинета. Злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от $5 за аккаунт или за 20-30% от номинального баланса аккаунтов. В дальнейшем "покупатели" использовали их для оплаты товара бонусами.
"Масштаб компрометации учеток и объемы похищенных бонусов – в данном случае во многом являются следствием по-прежнему недостаточно серьезного отношения пользователей онлайн-сервисов к защите своих аккаунтов, — говорит Сергей Лупанин, руководитель направления расследований Group-IB. — Причина похищений бонусов – единообразные и слабые пароли используемые для доступа к аккаунтам в разных онлайн-сервисах делают задачу злоумышленника максимально простой: единожды подобранная комбинация оказывается "ключом ко всем дверям". Защитой от таких мошенничеств могут быть прежде всего бдительность самих граждан и более строгие требования к паролям, технически ограничивающие ввод простейших комбинаций, со стороны онлайн-магазинов".
Довольно быстро выяснилось, что хакеры занимались не только продажей скомпрометированных "учеток". Они предлагали услуги по "угону аккаунта" — смене телефонного номера и электронной почты на учетных записях интернет-магазина. Стоимость "сервиса" составляла 10% от бонусного баланса на аккаунте.
Чтобы запутать следы и затруднить противодействие со стороны службы безопасности компаний, хакеры проводили свои атаки с различных IP-адресов, используя анонимайзеры и изменяя цифровой "отпечаток" браузера (User-Agent). В целом запросы на авторизацию поступали более чем с 35 тыс. уникальных IP-адресов.
После того как в начале 2016 г. крупные ритейлеры стали тщательно проверять все заказы с оплатой бонусами, злоумышленники переключились на другие менее известные интернет-магазины. Кроме того, хакеры начали работать "по наводке": за информацию о новых интернет-магазинах с бонусными программами и купонных сервисах, где можно было получить доступ к личным кабинетам, злоумышленники обещали выплатить до 50% от суммы, полученной от дальнейшей продажи скомпрометированных "учеток".
В ходе расследования специалисты Group-IB установили личности злоумышленников. Лидером группы оказался житель Рязанской области 1998 г. рождения, а его партнером, осуществляющим техподдержку работы их совместного интернет-магазина, — житель Астраханской области, 1997 г. рождения. В мае 2018 г. оба были задержаны сотрудниками управления "К" МВД России. Во время обыска были изъяты доказательства их противоправной деятельности, а также наркотические вещества. В настоящее время подозреваемые дают признательные показания. Ведется следствие.
