悪名高いB1ack’s Stashダークウェブ不正カードマーケットプレイスが、450万件の盗まれたクレジットカード記録の無料ダウンロードを発表しました。
同マーケットプレイスによれば、売り手がB1ack’s Stashから購入したカードデータを競合プラットフォームで転売しているのが発見されたため、データが流出したとのことです。これはマーケットプレイスのポリシー違反です。
B1ack’s Stashは売り手の不正行為に対応して800万件の盗まれたCVV2記録を一時停止し、在庫から削除する代わりにカードデータを無料で公開することを決めたと言われています。
SOCRadarによると、公開されたデータにはカード番号全体、有効期限、CVV2コード、カード名義人、請求先住所、メールアドレス、電話番号、IPアドレスが含まれています。
完全なカード情報と決済データの入手可能性に基づいて、SOCRadarはこの情報がeスキミング詐欺またはフィッシング詐欺の一部として盗まれた可能性が高いと述べています。
サイバーセキュリティ企業は、一部のレコードの真正性を検証したと述べています。データの分析により、カードの一部は有効期限切れまたは重複エントリであることが判明しました。
SOCRadarによると、全体として430万件のレコードが新規で、違法活動に使用される可能性が高いとのことです。
盗まれたクレジットカードは世界中から入手されていますが、そのうちの約70%は米国からです。カナダ、英国、フランス、マレーシアが上位5つを完成させています。
「香港、シンガポール、タイ、マレーシアなどのアジアの金融ハブが上位15に含まれていることは、このデータセットが単一の地域操作の産物ではなく、英語を話す世界的な高購買力市場を対象とした複数のスキミング詐欺またはフィッシング詐欺キャンペーンから得られたものであることを示唆しています」とSOCRadarは指摘しています。
B1ack’s Stashは少なくとも2023年からダークウェブで運営されており、盗まれたクレジットカードデータの最も活動的なショップの1つになっています。
2024年4月、マーケットプレイスは登録した者に100万枚のクレジットカードを提供しました。2025年2月、より多くのユーザーを引き付けるためにおそらく400万件以上の盗まれたクレジットカードを無料で公開しました。
新しく流出したカードは、違法なオンライン購入などのカード非提示(CNP)詐欺活動を促進すると予想されています。付随する情報により、サイバー犯罪者は不正な口座を開設したり、クレジットを申請したり、説得力のあるフィッシング攻撃を仕掛けることができます。
「流出したレコードの豊富さ。1つのエントリに完全なPAN、CVV2、有効期限、請求先住所、フルネーム、メール、電話、IPアドレスが含まれています。これにより、単純なカード詐欺をはるかに超えた複合的なリスクが生じています」とSOCRadarは述べています。
翻訳元: https://www.securityweek.com/b1acks-stash-marketplace-gives-away-4-6-million-stolen-credit-cards/
