Team Cymruのサイバーセキュリティ研究者は、カードング市場やフォーラムをホスティングする28の固有IPアドレスと85のドメインを特定し、世界中のクレジットカード詐欺 の運用を可能にする技術的インフラに光を当てました。
2025年7月から12月にかけて実施されたこの調査では、高度な技術的フィンガープリンティング手法を用いて、犯罪者がこれらの違法プラットフォームを完全に隠蔽する前に追跡しました。
Team Cymruの調査は、インターネット全体を対象としたスキャン能力を活用し、カードングサーバーが作成または変更されるタイミングで特定し、運営者がコンテンツ配信ネットワークなどの保護サービスの背後に隠す前に重要なデータを取得しました。
この先回りしたアプローチにより、法執行機関、金融機関、詐欺防止チームは、テイクダウン、召喚状、証拠収集に役立つ実行可能なインテリジェンスを得られます。
調査では、多くのIPアドレスが、国際的な法執行協力が限定的な司法管轄で運営されるオフショア・インフラ提供事業者によってホストされていることが明らかになりました。
「プライバシー重視のインフラ」提供事業者であるPrivexが最も一般的なホスティングサービスとして浮上し、犯罪者が身元確認を提示せずに匿名で購入できる専用VPSサーバーを宣伝していました。
85のドメインの分析により、サイバー犯罪者の嗜好に関する興味深いパターンが明らかになりました。最も一般的なトップレベルドメインは.su(ソビエト連邦)、.cc、.ruで、司法管轄による遮蔽と緩い監督の組み合わせを理由に選ばれていました。
.suドメインは、すでに消滅したソビエト連邦に属し、歴史的に緩い登録ポリシーを維持してきました。一方、.ccは「credit card(クレジットカード)」を表し得ること、そして安価に大量登録できることからカードャーに好まれています。
カードングは高度に洗練されたサプライチェーンとして機能しており、犯罪者はデータ窃取、販売、換金(キャッシュアウト)などに特化します。盗まれたクレジットカードデータは、与信枠、新しさ、発行国、完全な身元情報の有無に応じて、1枚あたり5ドルから150ドルで取引されます。
データの収集は、ウェブスキミング(Magecart攻撃)、フィッシングキャンペーン、データベース侵害、ATMやPOS端末に設置される物理的スキミング装置など、複数の手法で行われます。
Team Cymruは、盗難金融データのEコマースサイトとして機能するカードング市場の取引プラットフォームと、脅威アクターが手口を共有し、サービスを宣伝し、サイバー犯罪コミュニティ内で評判を築く議論の場として機能するカードングフォーラムを区別しています。
調査手法は、インターネット全体を対象としたポートスキャン、パッシブDNS収集、NetFlowデータ分析を組み合わせ、正規表現検索を用いて、HTTPおよびHTTPSのバナー上で「CVV」「Dumps」「Shop」といったカードング特有のキーワードを発信しているサーバーを特定しました。
翻訳元: https://cyberpress.org/carding-markets-28-ips-85-domains/