BogusBazaar похитила данные 850 000 карт под видом фейковых магазинов

BogusBazaar похитила данные 850 000 карт под видом фейковых магазинов

О новой кампании сообщила SRLabs в своем отчете.

Фейковые магазины, используя просроченные домены с хорошей репутацией в Google, привлекали жертв под видом выгодных предложений на обувь и одежду, но в итоге похищали данные платежных карт.

Более 850 000 покупателей, в основном из Западной Европы, Австралии и США, уже пострадали от этой схемы, а в Китае, где предположительно находится основная база мошенников, жертв практически нет. Сеть включает в себя более 75 000 доменов, из которых около 22 500 были активны по состоянию на апрель 2024 года.

SRLabs отмечает, что, хотя каждый случай мошенничества имел относительно небольшой «объем», организованность и распространенность операции позволили злоумышленникам оставаться вне поля зрения правоохранительных органов.

Мошенники использовали два основных метода преступления: сбор данных кредитных карт на поддельных страницах оплаты и продажа несуществующего или контрафактного товара через фейковые платежные системы, имитирующие PayPal и Stripe. Клиенты, сделавшие покупку через поддельный сервис, не получали ничего или, в лучшем случае, контрафактные товары. Мошенники также использовали поддельные платежные страницы, которые можно было быстро заменять на новые при обнаружении мошенничества.

Товары в фейковых интернет-магазинах

Организационная структура BogusBazaar напоминает модель «инфраструктура как услуга» (Infrastructure-as-a-Service, IaaS), где главная команда отвечает за управление инфраструктурой, а децентрализованная сеть партнеров управляет мошенническими магазинами.

Процесс создания новых сайтов максимально автоматизирован. Большинство серверов BogusBazaar располагаются в США и используют защиту Cloudflare. Один сервер может обслуживать до 500 интернет-магазинов, работающих на WordPress с плагином WooCommerce.

Аналитики из SRLabs поделились своими выводами с правоохранительными органами и соответствующими интернет-провайдерами. Некоторые из поддельных магазинов уже отключены, но оценивается, что десятки тысяч сайтов все еще функционируют.