Сотрудники управления "К" МВД России при содействии компании Group-IB, специализирующейся на предотвращении кибератак, задержали двух хакеров, подозреваемых во взломе и краже около 700 тысяч учетных записей участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний.
Согласно данным следствия, жертвами мошенников стали клиенты десятков компаний и сервисов, включая "Юлмарт", "Биглион", "Купикупон", PayPal и многие другие. Порядка двух тысяч скомпрометированных учетных записей хакеры выставили на продажу по цене от 5 долларов США за аккаунт. По словам задержанных еще в мае молодых людей 1997-го и 1998 годов рождения, на продаже аккаунтов они заработали как минимум полмиллиона рублей. При этом реальную сумму нанесенного ими ущерба еще предстоит выяснить.
"Расследование началось в ноябре 2015 года после того, как на одном из сайтов крупного онлайн-магазина был зафиксирована масштабная кибератака, направленная на получение доступа к личным кабинетам участников программы лояльности магазина, получавших бонусы за покупки. Всего за месяц было скомпрометировано около 120 тысяч учетных записей", - говорится в отчете, опубликованном на сайте Group-IB.
Затем эксперты выяснили, что злоумышленники собирали на хакерских форумах скомпрометированные учетные данные от различных интернет-сервисов и с помощью специальных программ проводили автоматический перебор паролей к аккаунтам на сайте неназванного магазина. В случае успешного подбора пароля хакеры получали доступ к личному кабинету пользователя и проверяли баланс накопленных бонусов. После этого они продавали взломанные аккаунты через форумы, а "покупатели" использовали накопленные бонусы для оплаты товаров.
"Единообразные и слабые пароли, используемые для доступа к аккаунтам в разных онлайн-сервисах, делают задачу злоумышленника максимально простой: единожды подобранная комбинация оказывается "ключом ко всем дверям". Защитой от таких мошенничеств могут быть прежде всего бдительность самих граждан и более строгие требования к паролям, технически ограничивающие ввод простейших комбинаций, со стороны онлайн-магазинов", - отметил руководитель отдела расследований Group-IB Сергей Лупанин.
В ходе расследования в Group-IB также выяснили, что хакеры не только торговали учетными записями, но и предлагали услугу по их "угону" - смене телефонного номера и электронной почты на аккаунтах интернет-магазина. После того как в начале 2016 года крупные ритейлеры стали тщательно проверять все заказы с оплатой бонусами, злоумышленники переключились на другие, менее известные интернет-магазины, а также начали работать по наводке: за сведения о новых интернет-магазинах с бонусными программами и купонных сервисах, где можно было получить доступ к чужим личным кабинетам, злоумышленники обещали выплатить до 50% от суммы, полученной от дальнейшей продажи взломанных аккаунтов.
"Чтобы запутать следы и затруднить противодействие со стороны службы безопасности компаний, хакеры проводили свои атаки с различных IP-адресов, используя анонимайзеры и изменяя цифровой "отпечаток" браузера (User-Agent). В целом запросы на авторизацию поступали более чем с 35 000 уникальных IP-адресов", - отметили в Group-IB.
Во время обыска у подозреваемых были изъяты доказательства их противоправной деятельности, а также наркотические вещества. Задержанным были предъявлены обвинения по ч. 2 ст. 272 УК РФ ("Несанкционированный доступ") и 228 УК РФ ("Незаконные приобретение, хранение, перевозка наркотиков"). В настоящее время подозреваемые дают признательные показания.