Il presente studio, redatto dal Team di Cyber Threat Intelligence di Lutech, ha lo scopo di presentare lo scenario attuale relativo alla compravendita illegale di carte di credito sui blackmarket.
Dai dati raccolti sono state identificate numerose risorse riconducibili a blackmarket presenti sia nel deepweb che nel darkweb. I blackmarket individuati sono stati analizzati e classificati allo scopo di individuare le caratteristiche distintive di ognuno di essi, quali:
Modalità di accesso
Presenza in rete (Darkweb, Deepweb)
Tipologia di market
Lingue supportate
Volume di vendita delle carte
Altro
2. 2 - Confidential
CONFIDENTIALITY NOTICE
This document is classified as Lutech Confidential. It cannot be disclosed to third parties without the prior permission
of Lutech S.p.A. – Cybersecurity Business Platform and Digital Communication Office.
Informations, data and drawings included in this document are Lutech reserved and any form of reuse is forbidden.
The recipient has the right to retain a copy exclusively for internal evaluation of Lutech Cybersecurity value proposition
here described. Any other usage is prohibited, unless with prior and written permission of Lutech S.p.A. –
Cybersecurity Business Platform and Digital Communication Office.
2017 Lutech S.p.A.
3. 3 - Confidential
IL FENOMENO DEI BLACKMARKET
La necessità di scambio di articoli illegali ha determinato negli anni l’affermazione di siti dedicati alla loro compravendita, i
blackmarket, in cui chiunque può comprare o vendere articoli quali:
> Introduzione
Droga
Armi
Dati confidenziali (PII)
Farmaci
Per via della tipologia di articoli trattati, la maggior parte dei blackmarket di successo utilizza:
Inizialmente la scena dei blackmarket era composta da pochi siti di grosse dimensioni, su cui era possibile trovare qualsiasi tipo di
articoli illegali, ma la chiusura di Silk Road ha determinato un punto di svolta nella scena dei market underground:
Pre-chiusura Silk Road
Pochi market
Grosse dimensioni
Lunga durata della vita
Principalmente nel darkweb
Post-chiusura Silk Road
Tanti market
Piccole dimensioni
Breve durata della vita
Deepweb & darkweb
Anonimato
Cripto monete
Sistemi di feedback/reputazione
4. 4 - Confidential
IL FENOMENO DEI BLACKMARKET
> Periodo di attività dei blackmarket
5. 5 - Confidential
INTRODUZIONE
I blackmarket individuati sono stati analizzati e classificati
identificandone le caratteristiche distintive quali:
Modalità di accesso
Presenza in rete (darkweb, deepweb)
Lingue supportate
Volumi di vendita
Tipologia di market
Altro
>900
Fonti analizzate
85
Carding market
5%
75%
20%
Presenza in rete
Darkweb
Deepweb
Darkweb and
Deepweb
98%
2%
Restrizioni all’accesso
Password
protected
Non
password
protected
Analizzando oltre 900 indirizzi relativi alla compravendita di beni illegali, sono stati identificati 85 blackmarket attivi specializzati
nel carding, presenti sia nel deepweb che nel darkweb.
6. 6 - Confidential
ANALISI DEI MARKET
15% 95%
5%
85%
Funzionalità di ricerca dei market e filtro per Paese
Funzionalità di ricerca
presente
Funzionalità di ricerca
assente
Ricerca per Paese presente
Ricerca per Paese assente
93%
Filtro sui BIN presente
Aggiornati regolarmente
60%
56%
Filtro per banca presente
> Filtri di ricerca
7. 7 - Confidential
ANALISI DEI MARKET
Solo inglese 81%
7
4
4
1
1
1
Multilingua 19%
Distribuzione linguistica
Russian
Chinese
Spanish
Italian
French
German
48%
52%
Presenza dei sistemi di Checker
Checker presente
Checker assente
I servizi di checker permettono agli utenti di verificare in maniera real time la
validità delle carte acquistate sui market, spesso ricevendo un rimborso in caso
in cui risultino non utilizzabili.
Questi sistemi generalmente effettuando micro transazioni e ne verificano lo
stato: se il pagamento viene accettato allora la carta è considerata valida.
> Lingue e sistemi di checker
8. 8 - Confidential
ANALISI DEI DATI DELLE CARTE
il solo numero di carte totali non è sufficientemente indicativo
dell’effettivo volume di vendita di quel marketplace, infatti può essere
riferito alle sole carte non scadute oppure può essere un conteggio di
tutte le carte messe in vendita dall’apertura del market stesso
35%
29%
24%
12%
Quantità di carte per market
0 - 10 mila carte
10 mila - 100 mila carte
Oltre 100 mila carte
Solo conteggio parziale
disponibile
85%
15%
Distribuzione vendita di carte
Dati osservabili
Dati non osservabili
Alcuni market
necessitano di un
deposito iniziale per
poter visualizzare i dati
messi in vendita,
generalmente dai 30 ai
50 dollari.
83%
17%
Distribuzione vendita di carte italiane
Carte italiane presenti
Carte italiane non
presenti
> Dati sulle carte di pagamento
9. 9 - Confidential
ANALISI DEI DATI DELLE CARTE
2127
516
85164
220
25
2390
582
362
403
2
1
4
114
2263
126
241
2
20
4
4
2609
335
2263
2449
12
579
1496
480
317
85
111
9104
4
50
3
3
2185
2
3
500
1
8942
523
599
5
3
2347
73637
2
1
10
100
1000
10000
100000 market
Totale di carte italiane in vendita sui singoli market
> Dati relativi a carte italiane
10. 10 - Confidential
ANALISI DEI DATI DELLE CARTE
I dati delle carte di pagamento sono venduti sui market a prezzi variabili a seconda di diversi fattori, in particolare dal
plafond (dipendente dal circuito e dal livello della carta) e completezza dei dati associati a quella carta, quali:
Solo dati della carta (numero, scadenza e CVV)
Nome dell’intestatario
Indirizzo
Numero di telefono
PIN
Email
Altro
Nella maggior parte dei market, i dati di una carta di pagamento vengono venduti ad un prezzo variabile fra gli 8 e i
15 dollari.
Questo prezzo apparentemente basso deriva dal fatto che la compravendita di dati di carte di pagamento è un
mercato florido e consolidato, ci sono numerosi venditori con disponibilità elevata di tali dati.
> Prezzo
11. 11 - Confidential
ANALISI DEI DATI DELLE CARTE
1
10
100
1000
1 1 1 1 1 2 2 3 3 3 3 4 5 5 8 9 13
Prezzo($)
Numero di market
Distribuzione prezzo per numero di market
> Prezzo medio
Prezzo
medio 19$
12. 12 - Confidential
ANALISI DI UN MARKET DI CARDING
Di seguito viene presentato in dettaglio il blackmarket Centralshop, scelto come esempio in quanto è stato possibile
verificare l’effettiva validità dei dei dati delle carte in vendita.
Inoltre è uno dei market che supporta più funzionalità, fra cui:
Accesso protetto da password (OTP generata on-the-fly)
Presente sia nel deepweb che nel darkweb, con diversi mirror
Filtri di ricerca (Paese, banca, tipo carta, livello, indirizzo, cap, data di scadenza, ecc..
Multi lingua: inglese, russo, cinese, spagnolo
Servizio di customer care tramite ticketing
Aggiornamento costante dei dati in vendita
Statistiche su venditori e dati caricati
Il sito si basa su tecnologia javascript ed è molto curato dal punto di vista grafico, a riprova di quanto questi blackmarket di
carding siano ben sviluppati e vicini ai siti di ecommerce legittimi.
> Blackmarket Centralshop
16. 16 - Confidential
ANALISI DI UN MARKET DI CARDING
Il sito presenta anche una sezione dedicata alle FAQ e al supporto per gli utenti, a dimostrazione della maturità raggiunta dai mercati
di compravendita illegali che sono sempre più spesso paragonabili (o addirittura migliori) a shop di ecommerce legittimi.
> FAQ
17. 17 - Confidential
CONCLUSIONI
Vista la natura illecita delle attività di compravendita analizzate in questo report, nella maggior parte dei casi
non è possibile ricavare ulteriori indicatori utili a stabilire la veridicità o l’affidabilità dei dati delle carte stesse.
Inoltre, la maggior parte dei blackmarket mostra (per ovvi motivi) solo una visualizzazione parziale od
offuscata dei dati delle carte di credito messe in vendita.
Molto spesso tali dati sono troppo generici e non permettono una segnalazione puntuale in quanto non sono
sufficienti ad identificare univocamente una carta.
Dall’analisi qui presentata si evince quindi che il mercato di compravendita illegale di carte di credito è
florido e conta numerosi marketplace ad esso dedicati, indicando che c’è un interesse costante da parte
dei criminali nella compravendita di tali dati che hanno, come mostrato, anche impatti diretti sul
business di istituti italiani.