金融交易侧录的情况,近年来可说是日益严重,攻击者得手的数据,最终往往通过暗网里的市场兜售牟利。网络威胁情报企业Group-IB在10月28日,从老牌卡号交易黑市Joker’s Stash里,发现一组拥有超过130万笔银行卡数据库上架,每张卡片的数据标价为100美元,换言之,若是全部卖出,黑客能得到至少1.3亿美元。而这个规模,可说是有史以来,暗网出现印度银行卡数据库笔数最多的记录,同时每笔数据的标价,也创下新高。
这组上架的数据库名称,以INDIA-MIX-NEW-01为开头,黑客宣称,他们侧录的内容,大多是印度支付卡和信用卡,并含有银行卡的第一轨(Track 1)和第二轨(Track 2)内容,数据的有效性高达90%到95%。虽然经Group-IB验证后,发现其中其实只有第二轨的数据,然而,这些内容已经足以让歹徒用来复制银行卡,以供进一步滥用。市场上买家可以看到的银行卡信息,包含种类(信用卡或是支付卡),以及发卡单位、卡片等级、国别,以及安全码等内容。
经由Group-IB进一步分析,这组银行卡数据约有98%是来自印度,仅有1%来自哥伦比亚。不过,比较特别的是,超过五分之一(18%)的银行卡,是由同一间印度银行发行。
存在已久的Joker’s Stash银行卡数据库黑市,是FIN6与FIN7等黑客组织窃得数据后,销赃的主要渠道。而上架到这个黑市的大型银行卡数据库,研究人员今年已经发现多个,例如,在2月发生的达文西外泄(DaVinci Breach),以及8月的太阳能外泄(Solar Energy Breach),分别兜售了215万与530万张银行卡数据,而前述印度的外泄数据笔数,仅次于这两起事件。
相较于先前发生的两起大规模外泄,由Group-IB披露的事件有许多独特之处,首先,有别其他黑客的做法,兜售者或者是Joker’s Stash,他们并未在暗网里公告销售,再者,则是卖家一口气上架130万笔数据,而非像其他事件,采取分批拍卖的做法。
虽然这次由Group-IB披露的外泄数据里,尚未确定黑客窃取数据的来源,但该公司强调,黑市鲜少出现印度的银行卡数据,这是最近1年以来,唯一一起关于该国的外泄事件。另一个与许多的银行卡数据库不同之处,则是在于数据来源几乎是印度,而无论是达文西外泄还是太阳能外泄事件,虽然它们都是锁定美国企业,但是银行卡数据来源广泛PHP,分别涵盖超过70国和100个国家。
再者,这个印度银行卡数据库的标价,也是远远高过黑市行情──Group-IB指出,每张银行卡数据的价格,一般介于10到40美元之间,而印度银行卡数据库的总价为1.3亿,比起外泄数据笔数较多的达文西外泄350万美元还要多。这样的情况,可能会使得更多黑客投入,发动有关的数据窃取攻击,导致企业面临更为严峻的安全防护挑战。