Предупреждение о нарушении в Южной Корее после того, как данные о 1м карточке были выставлены на продажу онлайн

Исследователи заявили, что источник этих данных платежной карты еще не определен. По причине того факта, что записи на карте содержали только данные CP (Card Present), это автоматически исключает сетевые скиммеры (скрипты Magecart), установленные в онлайн-магазинах.

Возможные источники того, где мошенники могли получить записи карт, включают: (1) вредоносное ПО, установленное в системах торговых точек (PoS) в магазинах иначе говоря ресторанах; (2) нарушение в банке, поставщике платежей или компании PoS; или (3) устройства скиммера карт, установленные в банкоматах как еще его называют терминалах PoS.

Однако, поскольку карты EMV широко распространены в Южной Корее, третий источник кажется маловероятным.

Карты из Южной Кореи и стран APAC пользуются большим спросом

Команда Gemini также отмечает, что до недавней свалки существовал высокий спрос на данные о картах Южной Кореи на форумах по киберпреступности, что могло привести к тому, что группы по киберпреступности преследуют цели в Южной Корее и косвенно вызывают текущее нарушение.

Предупреждение о нарушении в Южной Корее после того, как данные о 1м карточке были выставлены на продажу онлайн

Изображение: Gemini Advisory (прилагается)

В электронном письме ZDNet, Кристофер Томас, исследователь безопасности из Gemini Advisory, объяснил, почему киберпреступные группы в последнее время сосредоточили свое внимание на Южной Корее и Азиатско-Тихоокеанском регионе в целом в последние годы.

«Спрос на данные платежных карт, выдаваемых банками APAC, всегда был высоким». сказал Томас. ZDNet. «Поскольку многие из этих финансовых учреждений имеют менее совершенные системы противодействия мошенничеству, чем их западные коллеги, киберпреступники узнали, что возврат инвестиций для карт APAC намного выше по сравнению с картами Северной Америки».

«Достаточно тревожно, но похоже, что хакеры узнали, что южнокорейская платежная инфраструктура особенно уязвима для атак, что привело к массовому нарушению, которое в настоящее время разворачивается». добавил Томас.

Источник взлома не останется загадкой надолго

Весь этот случай похож на отчет за февраль этого года, когда исследователи в области безопасности из Group-IB нашли записи карт для 2,15 млн. Граждан США на подпольном форуме по картонированию.

Месяц спустя этот сброс карт был связан с нарушением в Earl Enterprises, американской компании, которая владеет несколькими сетями ресторанов, такими как Planet Hollywood и Earl of Sandwich, которые признались, что хакеры взломали свою ИТ-сеть и внедрили вредоносное ПО в различных ресторанах.

На данный момент, тайна происхождения этих южнокорейских карточных данных остается неясной. Однако это не останется загадкой надолго.

Когда группы клонирования карт начнут покупать и использовать карты, владельцы начнут сообщать о мошеннических действиях, и власти в конечном итоге будут отслеживать общий обработчик платежей во всех сообщениях жертв.