Carding – Tecniche di vendita: evoluzioni recenti e future

Questa analisi è stata inserita nel REPORT CLUSIT 2018 – https://clusit.it/rapporto-clusit/

Introduzione

Il presente report redatto dal Team di Cyber Threat Intelligence di Lutech, ha lo scopo di presentare lo scenario attuale relativo alla compravendita illegale di carte di credito su internet, fenomeno noto come Carding.

Attraverso i nostri sistemi proprietari di ricerca, attivi su fonti pubbliche e private, presenti sia nel deepweb che nel darkweb, sono stati raccolti e analizzati dati riconducibili al tema del carding, trattato su diversi canali:

 

 

Nelle successive sezioni viene descritto il fenomeno del carding in generale (“Il fenomeno del Carding”), vengono presentati altri canali di vendita (“Canali di vendita alternativi”), un impiego della tecnologia della Blockchain (“Blackmarket e Blockchain”) e viene riportato un caso di analisi di blackmarket che ha portato all’identificazione di una compromissione ai danni di una catena di ristoranti statunitensi (“Blackmarket – Analisi di un data breach”).

 

Il fenomeno del Carding

Con il termine Carding si identifica principalmente lo scambio e compravendita di informazioni riguardanti carte di credito, debito o account bancari, che vengono poi utilizzate per eseguire truffe di carattere finanziario acquistando beni o trasferendo fondi ai danni dei legittimi proprietari. Il carding è una delle attività più diffusa e popolare nell’underground; è possibile trovare numerosi market specializzati nella sola vendita di dati di carte di credito così come interi forum e thread dedicati all’argomento, con annunci di compravendita, guide e metodi sempre più aggiornati per riuscire a portare a termine questo tipo di truffe.

La maggior parte della compravendita di carte di credito avviene tramite i blackmarket, questo perché come per il normale e-commerce legale, è il canale più comodo sia per i compratori alla ricerca di questo prodotto che per i venditori che lo offrono. In questo modo i contatti fra le due parti vengono ridotte al minimo e la gestione della trattativa è affidata al market. Questo sistema si è evoluto negli anni da semplici siti web a veri e propri marketplace di informazioni illegali, completi di filtri di ricerca, news sui prodotti aggiunti, servizi di feedback e customer care, rimborsi e altro ancora.

Aggiornamento sui dati dei blackmarket – 2017

In questa sezione viene riportato un aggiornamento sulle statistiche relative ai dati delle carte di credito estratti dai market di carding, su cui è stato possibile verificarne l’effettiva presenza. Vengono riportati diversi indicatori sulla distribuzione di vendita di tali informazioni.

I dati numerici relativi ad ogni blackmarket sono stati estratti durante la fase di raccolta delle informazioni.

 

Il conteggio di tali quantità è stato estratto dai market tuttavia è necessario precisare che non è indicativo dell’effettivo volume di vendita dei market in quanto può riferirsi al numero di carte di credito in vendita in quel momento, a quelle non scadute oppure all’intero storico di informazioni che sono state presenti sui market stessi.

 

 

 

La maggior parte dei blackmarket presenti in rete ha a disposizione dati prevalentemente Statunitensi, poiché le carte di pagamento non integrano i chip elettronici ma sono dotati solo di banda magnetica, tuttavia sono presenti numeri significativi anche per quanto riguarda le carte emesse da istituiti di paesi europei, fra cui l’Italia.

 

 

 

Confermando la situazione degli anni precedenti, il prezzo delle carte di pagamento messe in vendita sui market si attesta intorno ai 20 dollari, dipendentemente dalla quantità di informazioni disponibili, quali:

  • Solo dati della carta (Numero, scadenza e CVV)
  • Nome intestatario
  • Indirizzo
  • Numero di telefono
  • PIN

 

Canali di vendita alternativi

I blackmarket rappresentano sicuramente il canale più utilizzato per la compravendita di dati di carte di credito, tuttavia la loro necessità di essere esposti e raggiungibili li ha resi sempre più oggetto di interesse da parte delle forze dell’ordine e ciò ha inevitabilmente portato al controllo ed alla chiusura di molti di essi (Figura 1) e, più in generale, alla riduzione della durata media della loro vita, come già presentato nel report Clusit 2017 (“Analisi blackmarket – Scenario e focus sul carding in Italia”).

 

Figura 1 – Blackmarket chiuso dalle forze dell’ordine

 

Tradizionalmente, uno degli altri principali canali di compravendita sono i forum. I forum sono da sempre uno dei canali più utilizzati nell’ambiente underground per discutere e diffondere attività illegali. Relativamente al carding, possiamo definirli come dei mezzi complementari ai blackmarket, spesso utilizzati dai gestori e da venditori per far pubblicità ai marketplace stessi, come farne conoscere gli indirizzi al quale raggiungerli, presentare feedback dei compratori per ottenere la fiducia dei nuovi utenti, annunciare nuove liste di dati a disposizione dei venditori e altro ancora.

 

Oltre a questo, molto spesso i venditori pubblicano degli annunci di vendita di dati relativi a carte di credito in loro possesso direttamente sui forum (figura 2), in modo da raggiungere un bacino di potenziali compratori il più ampio possibile.

 

Figura 2 – Raccolta thread su vari forum di Carding

 

Analizzando numerosi forum dedicati al carding è possibile avere una panoramica di quanto questo strumento sia utilizzato dagli attori specializzati in questo tipo di commercio; in particolare sui forum più popolari sono presenti all’anno mediamente circa 30 thread di venditori “PRO” (seller verificati, che spesso pagano una quota ai proprietari dei forum per una posizione nell’home page del proprio thread) e numerosi di altri venditori.
Non solo, questi canali spesso vengono utilizzati da utenti che sono alla ricerca di collaborazioni per portare a termine le proprie attività illecite. Un esempio è riportato nella figura seguente, dove un utente presumibilmente italiano cerca collaborazione annunciando la possibilità di prelevare soldi da conti frodati (Figura 3).

 

Figura 3 – Richiesta di un utente italiano su un forum di Carding

Alcuni di questi shop poi, con l’intento di raggiungere un sempre maggiore pubblico interessato, hanno espanso il loro raggio di azione postando gli annunci anche sui più popolari Social Network e/o creando pagine e gruppi, come ad esempio riportato nella seguente immagine (Figura 4):

 

Figura 4 – Pagina Facebook relativa a gruppo di Carding

 

Oltre ai canali di vendita già descritti, uno degli esempi più significativi è il popolare servizio di messaggistica Telegram, su cui ad oggi è facilmente possibile accedere a numerosi gruppi dedicati alla compravendita di carte di credito; in particolare, per l’analisi in oggetto, sono stati presi in considerazione esclusivamente quelli con linguaggio in italiano.

Analizzando i canali con visibilità pubblica è possibile trovare decine di gruppi dedicati al carding, che hanno una media superiore a circa cento partecipanti iscritti al gruppo e, talvolta, una attività estremamente intensa. Estendendo invece il perimetro alle chat di tutto il mondo, è facile trovare numerosi canali con diverse migliaia di partecipanti, a dimostrazione dell’interesse delle persone e della popolarità del carding.

Figura 5 – Diversi canali Telegram dedicati al carding, in italiano

 

Figura 6 – Feedback degli utenti

 

Come è possibile notare dalla Figura 6, alcuni di questi venditori hanno addirittura creato appositi canali per raccogliere i feedback degli utenti sulla qualità del servizio.

 

Blackmarket e Blockchain

Conseguentemente al rapido diffondersi della tecnologia Blockchain, anche i cyber criminali hanno iniziato a sfruttarne a proprio vantaggio i pregi per creare ed utilizzare dei nuovi canali di vendita di dati di carte di credito che possano risultare più “sicuri” per il loro scopo.

Ad oggi, semplificando e senza voler scendere nei dettagli dell’attuale tecnologia, gli utenti che visitano un sito web effettuano una query DNS verso uno dei 13 “root server”, gestiti da un totale di 12 organizzazioni a livello mondiale, per ottenere l’indirizzo IP del sito web, ospitato su un server centralizzato (fisico o virtuale) di un qualsiasi service provider, ed accedere ai contenuti offerti, tramite l’utilizzo del proprio browser.

Questo meccanismo, inevitabilmente, permette ai gestori di questi “root server” ed ai service provider che offrono il servizio di hosting di poter oscurare, censurare e tracciare qualunque contenuto e/o sito web esposto sulla rete internet.

Tramite l’utilizzo della blockchain, invece, oggi è possibile decentralizzare totalmente questo processo.

Ad oggi è infatti possibile registrare dei domini senza la necessità di dover utilizzare un ente centralizzato per la creazione e la gestione degli stessi. Una rete di nodi indipendenti, installati e messi in funzione da chiunque voglia partecipare al progetto in modo attivo, permette ad un utente di registrare dei domini utilizzando una serie di TLD (.bit, .lib, .emc, .coin, .bazar, oltre ai TLD offerti da OpenNIC) in maniera totalmente libera ed anonima.

Dall’altra parte, gli utenti che vogliono accedere a queste tipologie di domini, devono necessariamente interrogare la rete blockchain su cui essi si basano. A tal scopo, sono state create, con la collaborazione di una vasta community di sviluppatori, delle piattaforme di servizi blockchain (ad esempio: blockchain-dns.info, emercoin.com, namecoin.org) che tramite l’utilizzo di software ad hoc e/o plugin, disponibili per i browser più comuni, permettono agli utenti di accedere a questi domini in maniera totalmente trasparente ed efficiente.

Viene riportato di seguito un esempio di un marketplace che sfrutta la blockchain per la traduzione del nome del dominio avente TLD “.bazar”.

Figura 7 – A sinistra accesso tramite browser classico, a destra accesso con plugin per BlockChain installato

 

Com’è possibile notare dalla figura precedente, senza l’installazione del plugin del browser non è possibile accedere al marketplace. Viceversa, attivando il plugin, è possibile accedere a tutti i suoi servizi, disponibili previa registrazione.
Ma non è finita qui; per dare un’idea più puntuale dell’attuale diffusione del fenomeno, ulteriori analisi sul blackmarket precedentemente riportato hanno condotto alla scoperta di ben 42 marketplace differenti (ma molto simili tra loro), registrati su domini “.bazar”, incentrati sulla compravendita di dati di carte di credito e di materiale illecito ospitati sul medesimo server localizzato in Russia.

 

Figura 8 – Marketplace con domini .bazar ospitati su un server localizzato in Russia

 

L’utilizzo della blockchain, come già detto, non si limita alla possibilità di eseguire la registrazione di domini in modo decentralizzato.

Esistono e sono già funzionanti una serie di progetti che tramite la tecnologia blockchain permettono di distribuire totalmente anche i contenuti offerti dagli utenti. Uno di questi è ZeroNet:

Figura 9 – Servizio BlockChain per la decentralizzazione di contenuti web

 

Sostanzialmente, è stata creata una rete P2P tra i nodi che spontaneamente (ed anzi, incentivati da guadagni dovuti al loro impiego) entrano a far parte della community. Questa rete di client permette la diffusione e distribuzione di un contenuto web sui vari nodi facenti parte della rete stessa. Semplicemente visitando e scaricando un contenuto, in modo automatizzato tramite l’utilizzo di software open source sviluppato ad hoc dalla community di riferimento, un utente mette a disposizione di altri lo stesso contenuto.
Il risultato di tale processo è che ogni utente facente parte della rete, può autonomamente offrire agli altri utenti una versione aggiornata di un contenuto web in maniera totalmente decentralizzata.

E non è tutto, perché questi servizi permettono di integrare un ulteriore layer di anonimizzazione dei client collegati al network, sfruttando la rete TOR e rendendo ancora più difficile poter risalire alle identità degli utenti durante un eventuale processo di “takedown” da parte di enti preposti al controllo che abbiano rilevato la presenza di contenuti non leciti.
Proprio per queste caratteristiche, ci si aspetta che sempre più cyber criminali in futuro utilizzeranno queste tecnologie per i propri scopi lucrativi legati al carding (e non solo).

Blackmarket – Analisi di un data breach

I dati delle carte di pagamento messe in vendita sui vari canali precedentemente descritti sono spesso raccolti dai cyber criminali tramite diversi metodi, fra cui l’installazione di dispositivi su sportelli ATM e PoS (skimmer), accessi abusivi a sistemi che memorizzano tali dati (ad esempio negozi e sistemi di e-commerce), malware diffusi e attivi su sistemi degli utenti e altro ancora. Determinare la provenienza esatta dei dati che si trovano in vendita su internet è quasi sempre impossibile per via dell’eterogeneità delle fonti a disposizione dei venditori, tuttavia il monitoraggio dei canali di vendita permette talvolta di riuscire a scoprire sistemi infetti e non ancora noti.

Uno di questi casi è quello avvenuto ai danni di “Jason’s Deli”, una catena di ristoranti attiva in 29 stati degli USA. Analizzando l’annuncio di un popolare market di carding (Figura 10), alcuni ricercatori hanno ricondotto parte dei dati messi in vendita alle posizioni dei ristoranti di Jason’s Deli (fonte: https://krebsonsecurity.com/2017/12/4-years-after-target-the-little-guy-is-the-target/)

Figura 10 – Annuncio dei nuovi dati in vendita. Si può notare come sia dichiarata la fonte “fonte: High-end restaurant chain”

 

La società ha subito avviato un’investigazione e avvisato i propri clienti dell’accaduto, mettendo anche a disposizione un numero di telefono per chiarimenti. Al momento della stesura di tale report, però, non si hanno aggiornamenti in merito alla vicenda.

 

Conclusioni

Il carding rimane una delle attività di compravendita illegale più popolare, tuttavia, il crescente interesse da parte delle forze dell’ordine nell’affrontare il problema, ha portato ad una sua evoluzione rappresentata da nuovi canali di vendita alternativi ai semplici blackmarket, e che in particolare sono: servizi di messaggistica diretta, social network e forums. Ad oggi la maggior parte di questi canali e servizi utilizzano dei sistemi per mantenere l’anonimato dei venditori, quali il pagamento in bitcoin e le registrazioni anonime (per i servizi di chat spesso è necessario solo un numero di telefono, che in alcuni stati può non essere associato a nessuna persona fisica).

Inoltre, per rendere sempre più difficoltosa l’attività degli enti preposti al controllo ed evitare il più possibile la sospensione, la chiusura o il tracciamento dei vari marketplace, i cyber criminali hanno iniziato ad adottare dei sistemi decentralizzati per la registrazione dei propri servizi, ad esempio sfruttando il protocollo DNS basato su tecnologia Blockchain. In questo modo i cyber criminali possono registrare e gestire domini in maniera anonima, che vengono poi utilizzati per ospitare siti di compravendita di materiale illecito e che quindi risultano essere difficilmente contrastabili.

Ciononostante, l’impegno ed il monitoraggio costante di tutti questi canali può dare dei risultati di valore che possono andare oltre il semplice blocco delle carte rubate: come nel caso di Jason’s Deli può essere possibile risalire ad una compromissione di sistemi reali non ancora scoperta.

 

Authors

Luca Sangalli, Luca Dinardo

Leave a Comment

Your email address will not be published.