Фабрика утечек: берёшь старый Facebook, добавляешь Eatigo, называешь банком — готово, можно продавать
NewsMakerТеневой рынок успешно парализует бизнес откровенной дезинформацией.
Group-IB предупредила о продавцах данных, которые создают шум вокруг якобы крупных утечек и заставляют компании тратить время на проверку сомнительных объявлений. В таких публикациях часто фигурируют сотни тысяч записей, громкие названия банков и сервисов, но признаки реального взлома обычно не подтверждаются.
В новом отчёте Group-IB описала китайскоязычные площадки и Telegram-каналы, где массово продают массивы данных, похожие на похищенные базы. Среди таких источников названы Exchange Market, также известный как Deepmix, и Chang’An Sleepless Night, а также каналы Aiqianjin, Yiqun Data и Phoenix Overseas Resources.
По данным Group-IB, продавцы публикуют объявления в высоком темпе. Отдельные каналы размещали от 500 до 1000 сообщений в месяц, что выглядело бы как беспрецедентная серия взломов, если бы заявления соответствовали действительности. Проверка образцов показала другую картину: записи часто собирались из старых утечек, дополнялись случайными полями и выдавались за свежие базы конкретных организаций.
В одном случае на Exchange Market продавец заявлял о 600 000 записей по кредитным картам крупного банка из региона Персидского залива. Group-IB нашла признаки подделки уже в образце: имена были смешаны на английском и арабском, а переведённые поля выглядели неестественно для рабочей банковской базы. Дальнейшая проверка показала, что имена и телефоны совпадали с утечкой Facebook* 2021 года, а хеши паролей брались из утечки Eatigo 2020 года и относились к другим людям.
Похожую схему Group-IB увидела у Yiqun Data и Phoenix Overseas Resources. Первый канал рекламировал 700 000 записей о банковских продуктах, второй предлагал 760 000 записей инвестиционного сервиса. В образцах снова находились данные из старых утечек Facebook*, Eatigo и Truecaller, причём отдельные поля не совпадали между собой. Aiqianjin также использовал похожий подход: в заявленной базе банковских карт встречались странные переводы, включая ошибочный перевод IP как «интеллектуальная собственность» на арабском языке.
Group-IB считает такие объявления опасными не из-за доказанной компрометации компаний, а из-за хаоса, который они создают. Внутри сомнительных наборов могут встречаться реальные имена, телефоны и адреса электронной почты, поэтому поверхностная проверка легко вводит в заблуждение. Group-IB предлагает организациям оценивать записи целиком, сверять структуру полей с внутренними системами и не считать совпадение одного идентификатора доказательством взлома.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Group-IB предупредила о продавцах данных, которые создают шум вокруг якобы крупных утечек и заставляют компании тратить время на проверку сомнительных объявлений. В таких публикациях часто фигурируют сотни тысяч записей, громкие названия банков и сервисов, но признаки реального взлома обычно не подтверждаются.
В новом отчёте Group-IB описала китайскоязычные площадки и Telegram-каналы, где массово продают массивы данных, похожие на похищенные базы. Среди таких источников названы Exchange Market, также известный как Deepmix, и Chang’An Sleepless Night, а также каналы Aiqianjin, Yiqun Data и Phoenix Overseas Resources.
По данным Group-IB, продавцы публикуют объявления в высоком темпе. Отдельные каналы размещали от 500 до 1000 сообщений в месяц, что выглядело бы как беспрецедентная серия взломов, если бы заявления соответствовали действительности. Проверка образцов показала другую картину: записи часто собирались из старых утечек, дополнялись случайными полями и выдавались за свежие базы конкретных организаций.
В одном случае на Exchange Market продавец заявлял о 600 000 записей по кредитным картам крупного банка из региона Персидского залива. Group-IB нашла признаки подделки уже в образце: имена были смешаны на английском и арабском, а переведённые поля выглядели неестественно для рабочей банковской базы. Дальнейшая проверка показала, что имена и телефоны совпадали с утечкой Facebook* 2021 года, а хеши паролей брались из утечки Eatigo 2020 года и относились к другим людям.
Похожую схему Group-IB увидела у Yiqun Data и Phoenix Overseas Resources. Первый канал рекламировал 700 000 записей о банковских продуктах, второй предлагал 760 000 записей инвестиционного сервиса. В образцах снова находились данные из старых утечек Facebook*, Eatigo и Truecaller, причём отдельные поля не совпадали между собой. Aiqianjin также использовал похожий подход: в заявленной базе банковских карт встречались странные переводы, включая ошибочный перевод IP как «интеллектуальная собственность» на арабском языке.
Group-IB считает такие объявления опасными не из-за доказанной компрометации компаний, а из-за хаоса, который они создают. Внутри сомнительных наборов могут встречаться реальные имена, телефоны и адреса электронной почты, поэтому поверхностная проверка легко вводит в заблуждение. Group-IB предлагает организациям оценивать записи целиком, сверять структуру полей с внутренними системами и не считать совпадение одного идентификатора доказательством взлома.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.