Em fevereiro de 2021, logo após o fechamento da loja de cartões coringa’s Stash, a equipe da Blueliv Labs realizou uma investigação sobre o estado das lojas de cartões subterrâneos em meio ao contexto do fechamento. Pouco mais de um ano depois, decidimos que era hora de atualizar a pesquisa e investigar o que poderia ter mudado nesse período. Desta vez, também inspiradas em outro grande evento: no início de fevereiro de 2022, as agências de aplicação da lei russas apreenderam 4 grandes lojas de cartões – Trump’s Dumps, FERum, SkyFraud e Ultimate Anonimay Services (UAS). Além deste blogpost, os resultados desta pesquisa também foram apresentados no Botconf 2022 em Nantes, França: os slides da apresentação podem ser encontrados aqui; e a gravação de apresentação, aqui. Também temos uma webcast ao vivo onde você tem acesso direto ao nosso painel de especialistas em inteligência de ameaças e insights de fraude mais recentes.

   

Para orientar nossa pesquisa, estabelecemos alguns critérios para poder analisar e comparar lojas – mais precisamente, carrinhos de venda automática. Tendo estabelecido nossa metodologia de pesquisa (mais descrita abaixo), chegamos ao seguinte resultado: como lojas atualmente ativas, estamos analisando o Brian’s Club e o Rescator, e como lojas atualmente inativas, FERum e All World Cards. Cada um deles nos fornece um ângulo interessante que compõe uma imagem maior do status atual do ecossistema de lojas de cartões.

Antes de mergulhar na análise, uma breve linha do tempo de eventos relevantes no ecossistema de lojas de cartões nos últimos dois anos é fornecida como uma tentativa de identificar tendências potenciais no ecossistema de lojas de cartões:

Investigação de fraude de cartão de crédito - underground-card-shop-picture1

Figura 1. Cronograma de eventos no ecossistema de lojas de cartões nos últimos 2 anos.

 

Metodologia

A metodologia desenvolvida para esta pesquisa inclui 4 categorias que podem determinar a popularidade, confiabilidade e distinção de uma loja. ·

  • A primeira é a presença em fóruns: se a loja é anunciada em fóruns, quais fóruns, a frequência de posts e atualizações, qual é o feedback dos membros do fórum, se o ator ameaça anunciando a loja tem uma boa reputação de fórum ou se eles respondem a perguntas e comentários, se eles estão envolvidos em questões de arbitragem, e se a loja é um patrocinador do fórum.
  • O segundo aspecto são os métodos de comunicação: ter um canal do Telegram para novas atualizações de publicidade e comunicação também é relevante e torna a loja mais confiável. O número de assinantes de um canal é uma vantagem, mas é uma boa indicação da popularidade da loja.
  • Além disso, as ações de marketing são uma forma interessante de avaliar se a loja possui ativos e recursos exclusivos.
  • Por fim, e o mais importante, é a estrutura da loja em si: o layout da loja, a forma como os produtos são organizados, a política de reembolso, se a loja é automatizada ou não, se eles oferecem ferramentas adicionais para a conveniência do cliente, e quais são os métodos de contato e se eles são eficientes. Todos esses elementos podem tornar a loja mais confiável e tendem a atrair clientes fiéis.

   

Clube do Brian

Brian’s Club continua sendo um dos mais proeminentes e longevos carrinhos de venda automática no ecossistema.

Investigação de fraude de cartão de crédito - underground-card-shop-picture 2

Figure 2. Summary of Brian’s Club’s features: payment methods, additional tools, and prices.

O Brian’s Club oferece alguns recursos adicionais interessantes, como ferramentas gratuitas e pagas, para a conveniência do cliente, além de toda uma seção dedicada a tutoriais e educação sobre o mundo do cartão. Todas essas ferramentas agregam valor à loja, pois possui uma estrutura robusta, e permite que os clientes estejam mais seguros em suas compras.

Quanto aos produtos oferecidos, as diferenças de preços se devem a muitos aspectos, como segue: se o produto contém mais dados pessoais do cliente afetado, é mais caro; se for um cartão de platina sobre um de ouro, é mais caro; se a data de validade estiver longe da data atual, ela será mais cara; se for um cartão de crédito sobre um cartão de débito, ele é mais caro; e a lista continua. Como exemplo concreto: no caso do dump de US$ 269, o preço é justificado pelas seguintes razões: é um cartão de crédito, a data de validade está definida para 2023, tem dados track1, é ok para uso internacional, é um produto reembolsável, foi emitido por um conhecido banco do Reino Unido – todos os recursos que caracterizam um produto altamente valioso. Em contrapartida, o dump de US$ 3 tem preço baixo devido ao fato de ser um cartão de débito, com a data de validade definida para meados de 2022, é um produto não reembolsável, foi emitido por um banco desconhecido – todos os recursos que tornam um produto menos valioso.

Brian’s Club também implementa um sistema de reputação do cliente, chamado Crab Rating. Este sistema de classificação visa incentivar os clientes a concluir mais compras, para que eles possam obter melhores condições de compra na próxima compra. A posição de maior classificação, chamada de “super caranguejo”, concede ao cliente um desconto no valor de 15% nas compras, além de ganhar um status VIP na loja.

Para aumentar o público da loja, o Brian’s Club é um patrocinador do fórum dos seguintes fóruns especializados: Omerta, Club2CRD, CardVilla, Verified, BlackHatCarding, Carders[.] ws, Fóruns Darknet e BPC SQUAD.

underground-card-shop-picture 3

Figure 3. Brian’s Club paid advertisement on the BPC Forum.

 

Rescator

Rescator é um carrinho de venda automática de cartão ativo desde 2013. Rescator costumava ser uma das maiores lojas de cartões até 2019, depois ficou offline, e inesperadamente voltou em meados de 2021. O caso do Rescator demonstra como essa paisagem pode ser altamente volátil e que as lojas de cartões inativas nem sempre se foram permanentemente.

Em 2013 e 2014, blogs de mídia e segurança relataram violações de big data envolvendo roubo de cartões relatadas de varejistas populares que acabam sendo vendidas em Rescator, como no caso da Target, Home Depot e Sally Beauty, P.F. Chang’s e Harbor Freight. Por exemplo, a violação de dados de 2013 na rede de lojas de departamentos gigante norte-americana Target afetou 56 milhões de cartões de débito e crédito depois de ser comprometida com o malware BlackPOS.

A Rescator oferece cartões (também conhecidos como CVVs), dumps, atacado, bem como seu próprio verificador (uma ferramenta para verificar a taxa de validade de cartões comprometidos). Diferente do Brian’s Club, ele só aceita pagamento em Bitcoin, mas o registro também é gratuito. Eles fornecem atualizações diárias sobre os novos dumps e produtos CVV que oferecem à venda, indicando que eles provavelmente têm muitos provedores constantemente lidando com eles acesso a dados de cartões comprometidos.

image

Figura 4. Resumo das características do Rescator: métodos de pagamento, ferramentas adicionais e preços.

Uma característica distintiva da Rescator é que eles atribuem uma taxa de classificação ou motivação aos compradores, permitindo que os clientes com a classificação mais alta obtenham um desconto de 12% em alguma base e vejam novos produtos uma hora antes do resto dos clientes. Essa classificação é calculada a partir da soma dos depósitos menos a soma das compras reembolsadas; portanto, esse recurso incentiva os clientes a depositarem valores maiores sem pedir reembolsos.

image

Figura 5. Captura de tela da seção “Classificação” do Rescator.

Em termos de produtos: os lixões são vendidos por preços que variam entre US$ 6,07 e US$ 69,3; cartões por US$ 10 - US$ 36; atacado por US$ 3 por despejo. Como outras lojas de cartões analisadas, a Rescator oferece um número maior de cartões e dumps dos Estados Unidos do que de qualquer outro país, e os preços dos EUA tendem a ser mais baixos também, com muitos CVVs oferecidos por US$ 15 e lixões por cerca de US$ 12. Em contraste, dados de países menores com menos ofertas geralmente começam a um preço de US$ 24 no caso de CVVs e US$ 25 para dumps.

underground-card-shop-picture 6

Figura 6. Captura de tela dos itens da seção “Dumps”.

Analistas da Blueliv observaram banners de propaganda da Rescator em muitos fóruns, como Club2CRD e Black Bones. Patrocinar fóruns subterrâneos é uma forma popular de atrair novos clientes e recuperar os antigos após aproximadamente dois anos de inatividade. Junto com os banners, os operadores de lojas de cartões postam atualizações frequentes sobre produtos Rescator no subsolo cibercriminoso usando o apelido “LegendaryRescator”.

image

Figura 7. Thread vendedor aberto pela LegendaryRescator no fórum de cartões Black Bones.

Em relação ao feedback nos threads LegendaryRescator, os analistas da Blueliv encontraram um número significativo de posts reclamando dos preços, onde os supostos compradores afirmam que estes não são competitivos e devem ser reduzidos, especialmente no caso de “bases antigas” - referindo-se a lixões de 2019.

 

Investigação de fraude de cartão de crédito: lojas de cartões inativas

As lojas de cartões podem ficar offline por 3 razões principais:

image

Figura 8. Possíveis explicações para uma loja de cartões ficar inativa.

  • Fechamentos organizados: os administradores da loja dão avisos antecipados e podem ou não justificar o fechamento da loja. Os clientes da loja têm tempo para sacar fundos e fazer compras finais.
  • Apreensão de loja pela polícia. No início deste ano, pelo menos 4 grandes lojas foram apreendidas pelas agências de aplicação da lei russas, e cada vez mais governos e organizações multilaterais estão envolvidos neste tipo de operação. Após as apreensões, observamos provedores de dados de cartões comprometidos tentando vender lixões e CVVs diretamente em fóruns subterrâneos, bem como membros do fórum pedindo recomendações em lojas de cartões alternativos depois que sua loja de cartões ficou offline.
  • Golpes de saída: ao coletar uma certa quantidade de fundos, um administrador de loja simplesmente desaparece e guarda o dinheiro. A primeira hipótese levantada quando uma loja fica offline é a possibilidade de um golpe de saída: os clientes começam a reclamar em fóruns, manifestando suas preocupações sobre seus fundos. No entanto, pode-se nunca saber o que realmente aconteceu, já que uma loja offline também pode ser uma consequência de uma ação policial não revelada.

 

FERum

A FERum foi uma das maiores lojas de cartões de pelo menos 2013 até que o Departamento “K” do Ministério dos Assuntos Internos da Rússia derrubou a loja em fevereiro passado. Curiosamente, a loja costumava incluir um anúncio de banner para o concorrente Trump’s Dumps, que foi apreendido na mesma ocasião pelas autoridades russas.

image

Figura 9. Resumo das características da FErum: métodos de pagamento, ferramentas adicionais e preços.

De acordo com as métricas fornecidas pela loja, a FERum tinha milhões de cartões comprometidos disponibilizados aos clientes - mas não tinha recursos avançados e o design era muito básico. A loja de cartões oferecia CVVs por preços que variavam entre US$ 6,90 e US$ 16,80 e permitia que clientes potenciais filtrassem por BINs, localização e tipo de cartão (Visa, Mastercard, etc.).

image

Figura 10. Captura de tela dos filtros e CVVs disponíveis listados na loja FERum.

image

Figura 11. Captura de tela do FERum (traduzido do russo original) após a apreensão pelo Departamento “K”, parte do Ministério dos Assuntos Internos russo.

Curiosamente, a agência de aplicação da lei deixou a seguinte mensagem no código-fonte da página “КТО ИЗ ВАС СЛЕДУЦИЙ?”, que se traduz em “Qual de vocês é o próximo?”.

 

All World Cards

A All World Cards foi criada em maio de 2021, mas ganhou destaque em agosto do mesmo ano, já que suas operadoras fizeram uma grande campanha de marketing para promover a loja: anunciaram o lançamento de 1 milhão de cartões gratuitos para seus clientes.

image

Figura 12. Resumo dos recursos de Todos os Cartões Mundiais: métodos de pagamento, ferramentas adicionais e preços.

Para aumentar a visibilidade da campanha, a All World Cards tornou-se patrocinadora de muitos fóruns especializados, como Black Bones, BlackHat Carding e Carders[.] Ws. Em agosto de 2021, a equipe do Blueliv Labs escreveu um blogpost do All World Cards sobre esta campanha, analisando os cartões de crédito publicados. Em suma, apesar de esses cartões terem sido comprometidos entre 2018 e 2019, os clientes ainda poderiam encontrar cartões ativos entre estes em 2021 – o que colocou a loja em evidência e forneceu-a com um certo nível de credibilidade.

image

Figura 13. Thread iniciado por todas as operadoras de cartões mundiais no XSS anunciando a ação de marketing (traduzido automaticamente do russo).

Em fevereiro de 2022, quando o Ministério da Administração Interna da Rússia anunciou a apreensão de 4 grandes lojas, outras lojas de cartões tentaram manter um perfil discreto, na tentativa de evitar ser alvo de operações policiais. Neste contexto, “devido aos acontecimentos recentes”, disseram eles, os operadores da All World Cards anunciaram que fariam uma pausa de duas semanas. A loja ficou offline em meados de fevereiro de 2022, mas até o início de maio de 2022, ela não voltou. Portanto, em fóruns especializados subterrâneos, o rumor é que os operadores de lojas de cartões usaram esse contexto como desculpa para fazer um golpe de saída. Por essa razão, os representantes da All World Cards (“AW_cards” e “AW_support”) foram banidos do fórum especializado Club2CRD e foram rotulados como estripadores. Em outros fóruns, os representantes foram vistos pela última vez em 09 de fevereiro de 2022.

image

Figura 14. AW_cards foi banido e foi rotulado como um estripador no fórum Club2CRD.  

Phishing Scam

No esforço constante para monitorar lojas de cartões, a equipe do Blueliv Labs encontrou recentemente uma loja de cartões que parecia suspeita. Após uma investigação mais aprofundada, identificamos centenas de milhares de domínios que imitavam (em nomes de domínio e muitas vezes no layout da página) lojas de cartões legítimas e distribuímos um arquivo contendo um malware de clipper. Entre essas mais de 600.000 páginas de phishing, a equipe foi capaz de identificar páginas que imitavam All World Cards, Brian’s Club, Trump’s Dumps, FERum e muitas outras lojas de cartões proeminentes. Um blogpost mais aprofundado e técnico detalhando as conclusões desta operação deve seguir em breve.

Os analistas da Blueliv acreditam que esta é uma grande operação dividida em diferentes campanhas ao longo do tempo, pois conseguimos identificar páginas criadas entre pelo menos 2015 e 2022. Esta operação destaca o fato de que o ecossistema de cartões não afeta apenas o setor varejista, instituições financeiras e clientes; em vez disso, também afeta os cibercriminosos envolvidos nessas atividades. Este golpe de phishing descoberto por nossa equipe enfatiza a dinâmica em que os cibercriminosos têm como alvo outros cibercriminosos. Assim, a análise do status atual do ecossistema de lojas de cartões envolve não apenas pesquisar lojas, concorrência de preços, operações de aplicação da lei e golpes de saída - igualmente importante é o golpe, pois impacta a confiabilidade das lojas legítimas e o funcionamento geral do ecossistema de lojas de cartões.

Conclusões

Desde nosso último blogpost sobre o ecossistema de lojas de cartões, muita coisa mudou. Algumas lojas de cartões permaneceram tão proeminentes como antes, como o Brian’s Club, enquanto algumas outras ficaram offline por razões não especificadas, como o caso de All World Cards. Curiosamente, outras lojas voltaram à paisagem, como a Rescator, provando mais uma vez que o ecossistema de lojas de cartões é altamente flutuante, e nada pode ser dado como certo. O ecossistema de lojas de cartões é profundamente impactado por diferentes atores, eventos, momentos históricos, a adoção de políticas de segurança e outros fatores. As agências de aplicação da lei têm um enorme impacto na paisagem, mas razões pessoais podem levar os criminosos a se retirarem da cena do cartão. O impulso político também desempenha um papel importante na flutuação das atividades das lojas. Além disso, as políticas de segurança podem impactar a disponibilidade de produtos para as lojas, o que também impacta o cenário.

Portanto, é fundamental monitorar continuamente fontes como fóruns especializados, canais e grupos do Telegram e lojas de cartões para estar em dia com os desenvolvimentos. Esse esforço sem parar pode nos levar à descoberta de novas tendências para o futuro, como o aumento da importância dos CVVs sobre lixões à medida que mais e mais países adotam chips de segurança em vez de listras magnéticas em seus sistemas de pagamento, e fraudes não presentes se tornam mais frequentes do que fraudes presentes em cartões. Além disso, varejistas online e emissores de cartões podem usar soluções de inteligência de ameaças, como o módulo blueliv de cartão de crédito Blueliv do Outpost24, para detectar cartões comprometidos em tempo real para evitar fraudes e mitigar danos potenciais, enquanto o módulo Threat Context fornece inteligência aprofundada para uma compreensão abrangente do cenário de ameaças.

Finalmente, como ilustrado pelo exemplo das páginas de phishing imitando lojas de cartões, o scamming também é uma parte iminente do ecossistema de lojas de cartões. O cartão impacta não apenas os usuários de cartão, mas também os cibercriminosos envolvidos nele. Assim, é importante que a comunidade de segurança considere o golpe como parte inerente ao ecossistema, para compreender melhor a lógica funcional por trás dele.


Artigo Original