Νέα έρευνα αποκαλύπτει 28 μοναδικές διευθύνσεις IP και 85 τομείς που φιλοξενούν αγορές καρτών

Μια πρόσφατη έρευνα αποκάλυψε τα τεχνικά θεμέλια των υπόγειων λειτουργιών καρτών, αποκαλύπτοντας 28 μοναδικές διευθύνσεις IP και 85 τομείς που φιλοξενούν ενεργά παράνομες αγορές όπου αγοράζονται και πωλούνται κλεμμένα δεδομένα πιστωτικών καρτών.

Αυτές οι πλατφόρμες λειτουργούν ως εξελιγμένοι ιστότοποι ηλεκτρονικού εμπορίου για οικονομική απάτη, επιτρέποντας στους εγκληματίες να ανταλλάσσουν κλεμμένες πληροφορίες πληρωμής που κυμαίνονται από 5 έως 150 $ ανά κάρτα, ανάλογα με τα πιστωτικά όρια και τα πρόσθετα στοιχεία ταυτότητας.

Η έρευνα που διεξήχθη από τον Ιούλιο έως τον Δεκέμβριο του 2025 χρησιμοποίησε τεχνικές σάρωσης σε όλο το Διαδίκτυο για τον εντοπισμό διακομιστών που φιλοξενούν υποδομή καρτών προτού μπορέσουν να κρυφτούν πίσω από προστατευτικά μέτρα.

Πραγματοποιώντας αναζητήσεις σε banner τίτλου HTTP και HTTPS στις θύρες 80 και 443, οι ερευνητές εντόπισαν διακομιστές που μεταδίδουν λέξεις-κλειδιά ειδικές για την κάρτα, όπως “CVV”, “Dumps”, “Carding” και “Shop”.

Αυτή η προσέγγιση σάρωσης επέτρεψε στους ερευνητές να καταγράψουν τις ταυτότητες διακομιστή κατά τις αρχικές φάσεις διαμόρφωσης, προτού τα Δίκτυα Παράδοσης Περιεχομένου όπως το Cloudflare κρύψουν τις πραγματικές τους τοποθεσίες.

Αναλυτές της ομάδας Cymru διάσημος ότι η ανάλυση της υποδομής αποκάλυψε σημαντικά μοτίβα στον τρόπο με τον οποίο αυτές οι εγκληματικές επιχειρήσεις εδραιώνουν την τεχνική τους παρουσία.

Οι διευθύνσεις IP που ανακαλύφθηκαν φιλοξενούσαν σελίδες σύνδεσης και σελίδες προορισμού φόρουμ για δικτυακούς τόπους, παρέχοντας κρίσιμα στοιχεία που μπορούν να υποστηρίξουν ενέργειες επιβολής του νόμου, συμπεριλαμβανομένων κλητεύσεων και καταργήσεων.

Οι πιο συνηθισμένοι τομείς ανώτατου επιπέδου που χρησιμοποιήθηκαν από αυτές τις λειτουργίες ήταν οι .su, .cc και .ru, οι οποίοι προσφέρουν πλεονεκτήματα δικαιοδοσίας και χαλαρές πολιτικές εγγραφής που οι εγκληματίες εκμεταλλεύονται για λειτουργική ασφάλεια.

Η κλοπή δεδομένων πιστωτικής κάρτας συμβαίνει σε πολλά σημεία συναλλαγής μέσω διαφόρων μεθόδων. Οι επιθέσεις web skimming εισάγουν κακόβουλο JavaScript στις σελίδες ολοκλήρωσης αγοράς, ενώ οι παραβιάσεις της βάσης δεδομένων στοχεύουν κεντρικούς διακομιστές λιανικών και χρηματοπιστωτικών οργανισμών.

Οι τεχνικές φυσικής κλοπής περιλαμβάνουν συσκευές skimming σε ATM και τερματικά σημείων πώλησης που καταγράφουν δεδομένα μαγνητικής λωρίδας και PIN.

Μόλις κλαπούν, αυτά τα δεδομένα εισέρχονται σε μια προηγμένη αλυσίδα εφοδιασμού όπου εξειδικευμένοι εγκληματίες χειρίζονται διαφορετικά στάδια από την κλοπή έως την πώληση έως τη μετατροπή σε μετρητά.

Η έρευνα εξέτασε επίσης τα πιστοποιητικά X.509 και ανέλυσε τα κοινά ονόματα θεμάτων για τη συστάδα υποδομής που σχετίζεται με τα χαρακτηριστικά πιστοποιητικών που επαναχρησιμοποιήθηκαν.

Αυτή η μεθοδολογία επιτρέπει την παρακολούθηση αλεξίσφαιρων περιβαλλόντων φιλοξενίας όπου βρίσκονται παράνομες αγορές, ακόμη και όταν οι χειριστές προσπαθούν να χρησιμοποιήσουν τεχνικές κλωνοποίησης ιστοτόπων για να αναπαράγουν νόμιμες αγορές λαναρίσματος για σκοπούς phishing.

Ανάλυση Υποδομής Φιλοξενίας

Η ανάλυση διανομής των Αριθμών Αυτόνομων Συστημάτων από τις 28 διευθύνσεις IP έδειξε ότι πολλοί πάροχοι φιλοξενίας λειτουργούν σε υπεράκτιες δικαιοδοσίες με περιορισμένη συνεργασία επιβολής του νόμου.

Το Privex αναδείχθηκε ως ο πιο συνηθισμένος πάροχος φιλοξενίας, διαφημίζοντας υποδομή με γνώμονα το απόρρητο με αποκλειστικές επιλογές VPS που αγοράζουν οι εγκληματίες χωρίς να παρέχουν ταυτότητα.

Αυτές οι υπηρεσίες φιλοξενίας συνήθως υποστηρίζουν πολλαπλές κακόβουλες δραστηριότητες πέρα ​​από το λανάρισμα, συμπεριλαμβανομένων επιθετικών εργαλείων ασφαλείας και εκστρατειών hacking.

Αυτή η παραπάνω υποδομή εμφανίζει τη διανομή ASN, ενώ άλλες παραπάνω δείχνουν τα παραδείγματα των σελίδων σύνδεσης της αγοράς και των διεπαφών φόρουμ που ανακαλύφθηκαν κατά την έρευνα.