Cyberprzestępcy na danych zarabiają gigantyczne pieniądze
Cyberprzestępczość to dziś świetnie prosperujący biznes. Intel Security w najnowszym raporcie zatytułowanym The Hidden Data Economy ujawnia sposoby działania tej nielegalnej gałęzi gospodarki i podaje, ile warte są konkretne rodzaje danych na czarnym rynku.
Ile kosztują skradzione loginy do konta bankowego, a ile trzeba zapłacić za dane do karty kredytowej?
Raport McAfee Labs pokazuje konkretne ceny, jakie na czarnym rynku internetowym osiągają skradzione dane. Można na nim bez trudu kupić loginy do kart kredytowych i debetowych, dane logowania do rachunków bankowych czy internetowych serwisów płatniczych.
W raporcie uwzględniono również, jakie kwoty płacone są za dostępy do serwisów z treściami premium i do sieci firmowych, a także do kont lojalnościowych w hotelach i restauracjach oraz tych w internetowych systemach aukcyjnych.
- Podobnie jak każda niepodlegająca regulacjom gałąź gospodarki cyberprzestępczość stała się prężnie działającym ekosystemem, który dla zaangażowanych w niego osób wypracował liczne narzędzia i usługi - mówi Raj Samani, dyrektor techniczny Intel Security w regionie EMEA.
- To właśnie dynamiczny rozwój tej branży jest odpowiedzialny za tak wysoki wzrost zakresu, częstotliwości i siły ataków w cyberprzestrzeni. Struktura cyberprzestępczości przypomina dziś dobrze zarządzaną korporację, która tworzy coraz nowsze modele biznesowe na potrzeby skradzionych danych i czerpanych zysków.
Badacze z McAfee Labs na podstawie analizy witryn internetowych, chat roomów, platform społecznościowych dokonali ogólnej oceny stanu "gospodarki cyberprzestępczej" i podali przykłady najczęściej kradzionych danych wraz z konkretnymi cenami.
Dane kart płatniczych to "najgorętszy" towar na czarnym rynku cyberprzestępczym. Skradzione dane organizowane są w pakiety, a następnie wyceniane i sprzedawane. Podstawowa oferta obejmuje wygenerowany przez program numer zawierający numer karty płatniczej (PAN), datę ważności oraz numer CVV2. Sprzedawcy nazywają taką prawidłową numeryczną kombinację "losową", jednak generatory numerów ważnych kart kredytowych można kupić lub znaleźć w sieci za darmo.
Ceny za pakiety idą w górę, gdy oferta zawiera dodatkowe informacje pozwalające przestępcom na szerszy zakres działania z wykorzystaniem podstawowych danych, jak na przykład numeru rachunku bankowego czy daty urodzenia.
Najdroższe są informacje określone jako "Fullzinfo", czyli adres rozliczeniowy, numer PIN, numer ubezpieczenia społecznego, data urodzenia, nazwisko panieńskie matki, a nawet nazwa użytkownika i hasło używane w celu dostępu, zarządzania i zmiany danych rachunku internetowego właściciela karty.
Poniższa tabela prezentuje średnie ceny za dane kart kredytowych i debetowych w różnych regionach w oparciu o kombinację dostępnych elementów danych:
- Przestępca posiadający cyfrowy odpowiednik fizycznej karty może dokonywać zakupów lub pobierać środki aż do momentu, gdy właściciel zorientuje się, że to nie on zlecił dane transakcje, i skontaktuje się ze swoim bankiem - mówi Arkadiusz Krawczyk, Country Manager w Intel Security Poland. - Jeśli dodatkowo ma dostęp do kompletu danych osobowych - straty finansowe znacznie wzrastają.
Ceny za dane konta na serwisach płatniczych zależą wyłącznie od jego aktualnego stanu. Dane logowania w przypadku rachunków z saldem od 400 do 1 000 USD kosztują od 20 do 50 USD, a gdy saldo mieści się w granicach 5 000-8 000 USD, cena wzrasta do 200-300 USD.
Cyberprzestępcy potrafią bardzo skutecznie wykradać bankowe dane logowania i przy ich pomocy przesyłać skradzione środki do innych państw bądź też na inny numer konta. Według informacji uzyskanych przez McAfee Labs bankowe dane logowania w przypadku rachunku z saldem 2 200 USD kosztują około 190 USD. Zakup danych logowania do banku w połączeniu z wykonaniem ukrytego przelewu środków do banków amerykańskich to cena od 500 USD w przypadku rachunku z saldem 6 000 USD nawet do 1 200 USD, gdy rachunek opiewa na 20 000 USD. W Wielkiej Brytanii ta cena wynosi odpowiednio od 700 USD w przypadku rachunku z saldem 10 000 USD do 900 USD za rachunek o wartości 16 000 USD.
Raport podaje też koszty, jakie trzeba ponieść, kupując na czarnym rynku dane logowania do serwisów udostępniających różnego rodzaju treści, np. streaming filmów (0,55-1 USD) lub programów telewizji kablowej premium (7,50 USD), serwis premium z komiksami (0,55 USD) i streaming zawodowych rozgrywek sportowych (15 USD). Te względnie niskie ceny sugerują, że cyberprzestępcy korzystają z automatycznych operacji kradzieży, aby czerpać większe zyski w oparciu o swoje modele biznesowe.
Niektóre serwisy i powiązane z nimi dane, np. dane logowania do hotelowych programów lojalnościowych lub kont w systemach aukcyjnych, mogłyby się wydawać celami o niskiej wartości. Okazuje się jednak, że one również są sprzedawane na czarnym rynku. Nabywcy takich informacji z ich użyciem mogą dokonywać zakupów online, podszywając się pod osoby, którym dane skradziono. Specjaliści z McAfee Labs natrafili na przykład na ofertę sprzedaży konta lojalnościowego w jednym z dużych hoteli ze stanem 100 000 punktów za 20 USD czy też konta w społeczności aukcyjnej, z wysoką oceną innych użytkowników, za 1 400 USD.
ŹRÓDŁO raport: The Hidden Data Economy.
McAfee Labs to czołowy ośrodek analizujący istniejące zagrożenia i prowadzący działania badawcze związane z nimi oraz wiodąca firma w zakresie cyberbezpieczeństwa. Zespół McAfee Labs składa się z 450 badaczy zbierających dane o zagrożeniach z milionów czujników rozmieszczonych w najważniejszych źródłach - plikach, stronach WWW i systemach przesyłania wiadomości oraz w sieci.