Carding reinventato: l’evoluzione del crimine informatico
Carding — il business sotterraneo del furto, vendita e utilizzo di dati di carte di pagamento rubate — è stato a lungo dominio degli hacker con base in Russia. Tuttavia, la diffusione di carte di pagamento più sicure con chip negli Stati Uniti ha indebolito il mercato del carding. Ma un’ondata di innovazione da parte di gruppi di criminalità informatica in Cina sta dando nuova vita all’industria del carding, trasformando i dati delle carte ottenuti tramite phishing in portafogli mobili utilizzabili online e nei negozi fisici.
Phishing e smishing: la nuova frontiera del crimine informatico
Se possiedi un telefono cellulare, è molto probabile che negli ultimi due anni tu abbia ricevuto almeno un messaggio di phishing che imita il Servizio Postale degli Stati Uniti per riscuotere una presunta tassa di consegna, o un SMS che finge di essere un operatore di pedaggio locale che avverte di una tassa di pedaggio non pagata. Questi messaggi vengono inviati tramite kit di phishing sofisticati venduti da diversi criminali informatici con base in Cina. Non si tratta di tradizionali messaggi di phishing via SMS o “smishing”, poiché bypassano completamente le reti mobili. Invece, i messaggi vengono inviati tramite il servizio Apple iMessage e la tecnologia equivalente sui telefoni Google.
Il processo di collegamento ai portafogli mobili
Le persone che inseriscono i dati della loro carta di pagamento su uno di questi siti verranno informate che la loro istituzione finanziaria deve verificare la piccola transazione inviando un codice di accesso unico al dispositivo mobile del cliente. In realtà, quel codice verrà inviato dall’istituzione finanziaria della vittima per verificare che l’utente desideri effettivamente collegare le informazioni della carta a un portafoglio mobile. Se la vittima fornisce quel codice unico, i phisher collegheranno i dati della carta a un nuovo portafoglio mobile di Apple o Google, caricando il portafoglio su un telefono mobile controllato dai truffatori.
Il mercato dei telefoni con portafogli digitali rubati
Ford Merrill, che lavora nella ricerca sulla sicurezza presso un’azienda, ha studiato l’evoluzione di diversi gruppi di smishing con base in Cina e ha scoperto che la maggior parte di essi offre video tutorial utili e informativi nei loro account di vendita su Telegram. Questi video mostrano i ladri che caricano più portafogli digitali rubati su un singolo dispositivo mobile, vendendo poi quei telefoni in blocco per centinaia di dollari ciascuno. “Chi dice che il carding è morto?”, ha detto Merrill, che ha presentato le sue scoperte alla conferenza sulla sicurezza a Lisbona oggi. “Questo è il miglior dispositivo di clonazione di strisce magnetiche mai visto. Questo attore minaccioso dice che devi acquistare almeno 10 telefoni, e te li spediranno per via aerea.”
La vendita di telefoni con portafogli digitali
Un video promozionale mostra pile di cassette del latte piene di telefoni in vendita. Un’ispezione più attenta rivela che ogni telefono è contrassegnato con una notazione scritta a mano che di solito fa riferimento alla data in cui i portafogli mobili sono stati aggiunti, al numero di portafogli sul dispositivo e alle iniziali del venditore.
Fonte: Krebs on Security
Ricevi le ultime attualità sul mondo tech!
