如何将盗窃来的信用卡数据变现

//cdn.tuisec.win/full/upload/201712/de686547c5be1852718bfd88cf3f111f.jpg

信用卡盗窃这一产业链不仅依赖于攻击者和信用卡数据的买方,而且普通用户往往才是关键,很多用户甚至在他们的信用卡数据被盗窃之后,对此全然不知。

据了解,那些专门将盗窃来的信用卡数据转换为现金的老板们每年都可以从中赚取一百万美元的纯利润。为什么这一行业会如此暴利呢?其中的一个原因就是:他们可以通过诈骗和欺诈等手段来欺骗无知的人们为他们工作。

在今天刚刚发表的一份研究报告中,惠普公司的企业安全部门将这整个产业链的大致轮廓进行了描述,并对这一过程中的所有参与角色和信息处理方式进行了详细的分析。为了将窃取来的信用卡支付数据转变成现金,犯罪分子需要先从网络商城中购买商品,然后再将商品出售出去,以此来将信用卡数据变成现金。根据惠普公司安全研究人员的介绍,在大多数情况下,攻击者会从美国用户的信用卡账户中窃取信用卡数据,然后再利用这些数据在美国的网络电商处购买商品,而购买到的商品会通过美国的中介机构运往俄罗斯。

实际上,控制这整个操作流程的人可以算是一名网络管理者,“购买”,“运输”,以及“出售”等一系列操作都可以通过网站来完成。实际上,整个处理流程的细节信息如下:

-管理员首先得通知那些“买手”需要去购买哪些商品,在某些情况下,还需要指定他们从哪一家零售商那里去购买。沃尔玛、百思买、AT&T、Sprint和Verizon等大型商城都是这些“买手”常去的地方。

-美国的这些“买手”会直接在网上购买商品,可供选择的商品范围非常的广泛,从电子产品,营养产品,到玩具和步枪瞄准镜等都可以进行购买。而且“买手”在支付订单时,根据购买商品的不同种类,还可以享受25%到40%不等的折扣率。

-在购买完成之后,这些商品会全部集中至美国的中介机构。

-幕后的操纵者会购买虚假的运输标签,并对这些货品包装进行伪装。他们会将这些包裹伪装成一些合法的快递包裹,例如FedEx,UPS以及美国邮政服务公司的合法快递包裹。

-中介机构的运输人员会将这些伪造的快递标签贴在货品的外包装上,然后利用合法的快递运输服务将这些商品运往俄罗斯。运输人员其实并不知道这些商品是违法商品,而且也不知道这些快递标签是伪造的。

这些运输人员往往是公司刚刚“招聘”进来的新员工,或者更加准确的说,这些人都是被“欺骗”来的。犯罪分子会通过社交媒体广告来宣传他们的招聘信息,他们是这样描述这份工作的:“我们给大家提供了一个“在家工作”的机会,这份工作不需要你拥有任何特殊的职业技能, 每个月的底薪为2500美元,每个月除了底薪之外,还会根据业绩进行提成。”

但是,根据报告中所提供的信息,这些运输人员从来都没有收到过任何的工资。实际上,管理人员使用了一款员工管理软件,这款软件可以帮助他们对这些运输工作人员进行实时跟踪,并评估他们的工作状态。这也就意味着,管理人员并没有期待这些运输人员能够长久地为他们工作,当运输人员意识到他们无论多么努力的去工作,都永远不可能得到一分钱的工资时,他们便会辞职离开。而雪上加霜的事情就在于,这些运输人员当初在应聘的时候,还会提供大量的个人信息,其中还包括政府提供的身份证信息和家庭住址证明,而这些信息全部都在管理人员的手中。

我们需要注意的是,这些运输人员实际上并不是组织的正式员工。相反,这些运输人员实际上和那些信用卡信息被盗的用户一样,也是犯罪分子欺诈计划中的受害者之一。

然而,无论是管理人员还是那些“买手”,这两个角色都是该组织的关键成员。管理人员不仅需要对每天所要购买的商品进行分类管理,而且还需要管理网站Web接口的技术维护。除此之外,他们还需要根据俄罗斯买方每天所需要购买的商品进行统计,并将这些需要购买的商品信息发送给“买手”去购买。购买成功之后,还需要对商品进行重新包装,联系运输人员,并追踪包裹的运输进度。

在犯罪分子设计的运输网站中,其可操作性和用户界面与正规的快递网站是非常相似的。所以研究人员认为,犯罪分子如果要设计出这样的一个网站,那么肯定需要正规快递网站的开发人员提供帮助。


为您推荐了相关的技术文章:

  1. 我当初是怎么管理技术团队的
  2. 软件安全设计初窥 - Powered By Startblog
  3. 【S&P’17论文】恶意软件网络通信:进化和洞察 – ArkTeam
  4. 企业安全:人员安全管理之黑客怎么入侵员工(1) |Seay 渗透测试 代码安全审计 网络安全博客
  5. New Mac Malware-as-a-Service offerings - Malwarebytes Labs

原文链接: www.anquanke.com