Управлением «К» МВД России при содействии Group-IB, международной компании, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, задержаны двое киберпреступников, занимавшиеся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний.
В целом от рук мошенников пострадали десятки компаний, среди них – «Юлмарт», «Биглион», «Купикупон», «PayPal», «Групон» и многие другие. Всего было скомпрометировано около 700 000 учетных записей, 2 000 из которых хакеры выставили на продажу от $5 за аккаунт. Задержанные признались на месте, что заработали как минимум 500 000 рублей. Однако реальную сумму ущерба еще предстоит выяснить.
Расследование началось в ноябре 2015 года, после того, как на одном из сайтов крупного онлайн-магазина был зафиксирована масштабная кибератака, направленная на получение доступа к личным кабинетам участников программы лояльности магазина, получавших бонусы за покупки. Всего за месяц было скомпрометировано около 120 тысяч учетных записей.
Выяснилось, что злоумышленники собирали на хакерских форумах скомпрометированные учетные данные от различных интернет-сервисов, и с помощью специальных программ проводили автоматический перебор паролей к «учеткам» на сайте интернет-магазина.
Киберпреступники воспользовались тем, что многие посетители сайтов используют одну и ту же связку логин\пароль на нескольких ресурсах. Если логины и пароли подходили на сайте атакуемого магазина, происходил взлом личного кабинета. Злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от $5 за аккаунт или за 20-30% от номинального баланса аккаунтов. В дальнейшем «покупатели» использовали их для оплаты товара бонусами.
«Масштаб компрометации учеток и объемы похищенных бонусов – в данном случае во многом являются следствием по-прежнему недостаточно серьёзного отношения пользователей онлайн-сервисов к защите своих аккаунтов, — говорит Сергей Лупанин, Руководитель направления расследований Group-IB, — причина похищений бонусов – Единообразные и слабые пароли используемые для доступа к аккаунтам в разных онлайн-сервисах делают задачу злоумышленника максимально простой: единожды подобранная комбинация оказывается «ключом ко всем дверям». Защитой от таких мошенничеств могут быть, прежде всего, бдительность самих граждан и более строгие требования к паролям, технически ограничивающие ввод простейших комбинаций, со стороны онлайн-магазинов».
Довольно быстро выяснилось, что хакеры занимались не только продажей скомпрометированных «учеток». Они предлагали услуги по «угону аккаунта» — смене телефонного номера и электронной почты на учетных записях интернет-магазина. Стоимость «сервиса» составляла 10% от бонусного баланса на аккаунте.
Чтобы запутать следы и затруднить противодействие со стороны службы безопасности компаний, хакеры проводили свои атаки с различных IP-адресов, используя анонимайзеры и изменяя цифровой «отпечаток» браузера (User-Agent). В целом, запросы на авторизацию поступали более чем с 35 000 уникальных IP-адресов.
После того, как в начале 2016 года крупные ритейлеры стали тщательно проверять все заказы с оплатой бонусами, злоумышленники переключились на другие менее известные интернет-магазины. Кроме того, хакеры начали работать «по наводке» — за информацию о новых интернет-магазинах с бонусными программами и купонных сервисах, где можно было получить доступ к личным кабинетам, злоумышленники обещали выплатить до 50% от суммы, полученной от дальнейшей продажи скомпрометированных «учеток».
В ходе расследования специалисты Group-IB установили личности злоумышленников. Лидером группы оказался житель Рязанской области 1998 года рождения, а его партнером, осуществляющим техподдержку работы их совместного интернет-магазина, — житель Астраханской области, 1997 года рождения. В мае 2018 года оба были задержаны сотрудниками управления «К» МВД России. Во время обыска были изъяты доказательства их противоправной деятельности, а также наркотические вещества. Задержанным были предъявлены обвинения по ч. 2 ст. 272 УК РФ («Несанкционированный доступ») и 228 УК РФ («Незаконные приобретение, хранение, перевозка, наркотиков»). В настоящее время подозреваемые дают признательные показания. Ведется следствие.
