Задержаны хакеры, взломавшие 700 000 аккаунтов интернет-магазинов

Задержаны хакеры, взломавшие 700 000 аккаунтов интернет-магазинов

Управлением «К» МВД России при содействии Group-IB, международной компании, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, задержаны двое киберпреступников, занимавшиеся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний.

В целом от рук мошенников пострадали десятки компаний, среди них – «Юлмарт», «Биглион», «Купикупон», «PayPal», «Групон» и многие другие. Всего было скомпрометировано около 700 000 учетных записей, 2 000 из которых хакеры выставили на продажу от $5 за аккаунт. Задержанные признались на месте, что заработали как минимум 500 000 рублей. Однако реальную сумму ущерба еще предстоит выяснить.

Расследование началось в ноябре 2015 года, после того, как на одном из сайтов крупного онлайн-магазина был зафиксирована масштабная кибератака, направленная на получение доступа к личным кабинетам участников программы лояльности магазина, получавших бонусы за покупки. Всего за месяц было скомпрометировано около 120 тысяч учетных записей. 

Выяснилось, что злоумышленники собирали на хакерских форумах скомпрометированные учетные данные от различных интернет-сервисов, и с помощью специальных программ проводили автоматический перебор паролей к «учеткам» на сайте интернет-магазина. 

Киберпреступники воспользовались тем, что многие посетители сайтов используют одну и ту же связку логин\пароль на нескольких ресурсах. Если логины и пароли подходили на сайте атакуемого магазина, происходил взлом личного кабинета. Злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от $5 за аккаунт или за 20-30% от номинального баланса аккаунтов. В дальнейшем «покупатели» использовали их для оплаты товара бонусами. 

«Масштаб компрометации учеток и объемы похищенных бонусов – в данном случае во многом являются следствием по-прежнему недостаточно серьёзного отношения пользователей онлайн-сервисов к защите своих аккаунтов, — говорит Сергей Лупанин, Руководитель направления расследований Group-IB, — причина похищений бонусов – Единообразные и слабые пароли используемые для доступа к аккаунтам в разных онлайн-сервисах делают задачу злоумышленника максимально простой: единожды подобранная комбинация оказывается «ключом ко всем дверям». Защитой от таких мошенничеств могут быть, прежде всего, бдительность самих граждан и более строгие требования к паролям, технически ограничивающие ввод простейших комбинаций, со стороны онлайн-магазинов».

Довольно быстро выяснилось, что хакеры занимались не только продажей скомпрометированных «учеток». Они предлагали услуги по «угону аккаунта» — смене телефонного номера и электронной почты на учетных записях интернет-магазина. Стоимость «сервиса» составляла 10% от бонусного баланса на аккаунте.

Чтобы запутать следы и затруднить противодействие со стороны службы безопасности компаний, хакеры проводили свои атаки с различных IP-адресов, используя анонимайзеры и изменяя цифровой «отпечаток» браузера (User-Agent). В целом, запросы на авторизацию поступали более чем с 35 000 уникальных IP-адресов.

После того, как в начале 2016 года крупные ритейлеры стали тщательно проверять все заказы с оплатой бонусами, злоумышленники переключились на другие менее известные интернет-магазины. Кроме того, хакеры начали работать «по наводке» — за информацию о новых интернет-магазинах с бонусными программами и купонных сервисах, где можно было получить доступ к личным кабинетам, злоумышленники обещали выплатить до 50% от суммы, полученной от дальнейшей продажи  скомпрометированных «учеток».

В ходе расследования специалисты Group-IB установили личности злоумышленников. Лидером группы оказался житель Рязанской области 1998 года рождения, а его партнером, осуществляющим техподдержку работы их совместного интернет-магазина, — житель Астраханской области, 1997 года рождения. В мае 2018 года оба были задержаны  сотрудниками управления «К» МВД России. Во время обыска были изъяты доказательства их противоправной деятельности, а также наркотические вещества. Задержанным были предъявлены обвинения по ч. 2 ст. 272 УК РФ («Несанкционированный доступ») и 228 УК РФ («Незаконные приобретение, хранение, перевозка, наркотиков»). В настоящее время подозреваемые дают признательные показания. Ведется следствие.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft закрыла двухлетнюю 0-day DogWalk во всех версиях Windows

Microsoft выпустила патчи, устраняющие опасную уязвимость нулевого дня (0-day), эксплойт для которой уже выложили в открытый доступ. Киберпреступники вовсю используют брешь в атаках, поэтому лучше не тянуть с установкой апдейтов.

Уязвимость получила имя DogWalk, разработчики устранили ее с выходом августовского набора патчей (Patch Tuesday). Проблему отслеживают под идентификатором CVE-2022-34713.

На самом деле, история с DogWalk длится уже достаточно долго. Баг обхода пути (path traversal) ещё в начале июня получил бесплатный неофициальный патч от 0patch. Проблема затрагивает Microsoft Support Diagnostic Tool (MSDT), а успешная эксплуатация позволяет удаленно выполнить код.

Для атаки злоумышленнику потребуется добавить специально созданный исполняемый файл в папку автозагрузки Windows (Windows Startup). Но в первую очередь надо заставить жертву запустить файл в формате .diagcab, который доставляется на почту или загружается из Сети. В результате вредоносный исполняемый файл запустится автоматически при следующем старте операционной системы.

Впервые о DogWalk стало известно в январе 2020 года, однако тогда Microsoft отмахнулась, заявив, что это не проблема безопасности. Сейчас же в корпорации осознали степень риска.

«Если вектор атаки — электронная почта, злоумышленник должен отправить пользователю специально созданный файл, а потом убедить запустить его. Если же атакующий использует веб-вектор, ему нужно поднять собственный сайт или взломать уже существующий, чтобы поместить файл-эксплойт туда», — пишет в уведомлении Microsoft.

Техногигант также отметил, что DogWalk затрагивает все поддерживаемые версии Windows, включая Windows 11 и Windows Server 2022.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru