盗難カード系のインフラストラクチャ分析記事を見かけたので、この機にちょっと語りたいと思いました。
以下、Team Cymruの記事を上から読みながら補足していく感じで記載している。
Background on Cardingの補足
クレジットカードが盗まれるというのは、例えば単純にフィッシング、支払いページに改ざんされたJavaScriptが埋め込まれているWebサイトを使用してしまった、スキミングやそれに類する形でデータが取られる。
Webサイトにどんな改ざんしたら良いとか、スキミングの方法とかを解説できなくは無いが反響があったらにしましょう。
盗難カードの価格は、確かにまちまち。基本的には不随する情報量っていうのもあるが、特に総じて高いのは3Dセキュアが有効になっていないクレジットカードは$100以上が多い。付随する情報っていうのは実際に悪用する際に重要になってくるので価格に差が出るのだが、そこら辺の話も長くなりそうなので今度の機会にしましょう。
ところで、FT3: Fraud Tools, Tactics, and Techniques Frameworkっていうのは知らんかった。盗難カードの戦術に関してMITRE ATT&CKみたいな形でまとまっているので、分析ができるのは凄い!!!!!でも、誰向け......?
ちなみに盗まれたクレジットカードを使用するとなると、対象のサービスがどのような決済サービスをどのように使っているのかどうかで難易度が大きく変わったりする。Stripeは設定によって、実はバックエンドの通信ではCVVが無くてもクレジットカードを使えたりするガバガバ設定があったらしい。
Research Methodologyの補足
「CVV」、「Dumps」、「Carding」っていうキーワードは盗難カード界隈で取引される際によく使われる言葉。
CVVはクレジットカードを使う際の3桁とか4桁(AMEX系)の数字のこと。Dumpsはスキミングとかで取得したカードデータのこと。Cardingは盗難カードを使うってこと。
「Research Methodology」の最後でも言及されているが、クレジットカードマーケットは詐欺サイトも多い。つまり、盗まれたクレジットカードサイトを使う犯罪者を罠に嵌めようとする犯罪者。界隈で有名って言われるCarding Shopと同じサイトデザインや似たようなドメインで運用される詐欺サイトは沢山ある。利用者の多いCarding Forumの広告にも普通に詐欺サイトが混じってる。そういうサイトは雑なサイトはID/パスワードの検証がガバガバだったり、CAPTCHAの検証のガバガバなので割と分かりやすいが。
Carding Markets Versus Carding Forumsの補足
ダークウェブのフォーラムとかハッカーフォーラムは、漏洩情報とかWebや企業ネットワークのハッキング手法とかの話が多いが、Carding Forumは本当に盗難カードをどう使うかみたいな具体的でマニアックな話題が多い。
技術の交換に関してはあんまりジャンルがはっきりしていないハッカーフォーラムも寛容なユーザが多い気がする。マルウェアやフィッシングの手口に関する議論っていうのはあんまり無いイメージ。どこからどんなカードを買って、それをどうやって使うか?みたいな議論が多い。
実はカードが盗まれたからと言って直ぐにヤバイわけではなくて、盗まれたカードを使用する側には結構沢山の障壁がある。どんな防御壁があって、それをどうやって乗り越えようとしているのか的な話は知っておいた方が良いと思うのでどこかで話をしましょう。
反響があるか、気が向いたらCreditCard Atack&Defence的な話をしようかと思います。
今回は急に語りたくなった話なので、ふわーとしているが具体的な話はそのうち???
