Projects‎ > ‎Information Security‎ > ‎Honeypot‎ > ‎Whitepapers‎ > ‎

profile

Know Your Enemy - A Profile
Profile: Automated Credit Card Fraud

Honeynet Project 
http://project.honeynet.org
Translated by Tetsuji TAKADA(National Institute of Advanced Industrial Science and Technology)

Executive Summary

Automation of Credit Card Fraud

クレジットカード詐欺の自動化ここ数年に渡りハニーネットプロジェクトとその協力メンバーはインターネットを使って盗んだクレジットカード情報を取り引きしたり,売買するしている輩を監視してきた.過去において,これらの輩(一般に"Carders"と呼んでいる)は,組織化したり不法行為を自動化することなく,個々人でそういった行為を行っていた.しかし最近では,Carderらは特定のIRCチャンネルやWebサイトを通じて組織化され,世界中の多数のCarderが盗んだクレジットカード情報を交換しあっていることを我々は確認した.このネットワークは,クレジットカード詐欺やID窃盗に関する多くの処理: 商用サイトの脆弱性攻撃,盗んだクレジットカード情報の有効性確認,そして盗んだ情報の販売や交換...などの自動化を可能にしている.このような不法行為の自動化と普及は,今後こういった行為の爆発的増加につながるであろうことを暗示している.

What is happening

何が起きているのか?盗んだクレジットカード情報とそれに関連する個人情報(名前,住所,電話番号など)は犯罪者やBlackhatの間では,悪い意味での"通貨"として以前から一般的である.しかしながら,クレジットカード情報をオンライン上で盗み,そしてそれを販売したり,交換したりできる人は,そういった行為に関する幅広い技術を持ったごく少数の人達だけに限られていた.しかし最近では,そういった行為を支援する国際的なIRCチャンネルや関連するWebサイトが出現し,それらによってクレジットカード詐欺やID窃盗そして支払い詐欺等が容易にできるようになりつつある.共同研究者らは,ゾンビとして乗っ取られた計算機上で動作するIRC proxyを経由してやりとりを行っていたIRCチャンネルのトラフィックを2003年4月2日から2003年5月13日までの間,観察した.IRCチャンネルや隠しWebサイトの利用は別に新しいことではない.しかしながら,この観察例ではいくつかの独特な特徴があった.

Automation of carding activities:

攻撃や脆弱性サイト発見のための一連の処理を可能およびそれを容易に行えるようにするIRCボットが多数動作していた.対象としている処理には,攻撃対象とする標的(商用サイト)の識別と脆弱性検査,カードの認証(検証)と有効化(照合)そして,自分達の悪事を隠すためのオープンプロキシーサーバへの アクセスが含まれていた. これらの機能は,一連のカード情報/個人情報の不正収集に重要な役割を 果たしている.そして(不正)ユーザがこれらを利用するのに必要なのは 達人/先生(master)のみという状況なのである. - Distribution of carding information: 上記のボットにより提供される多数の機能は,アプリケーションレベルでの 攻撃を実行可能にする膨大な量の情報を彼らが持っていることを示している. それらの情報には,クレジットカード詐欺の標的となっている商用サイト (このようなサイトは"cardable"と言われる)やカード情報(カード番号, 有効期限,そしてカード検証番号(CVV - Card Verification Valueとして 知られている))そしてそれに関連する個人情報などが含まれていた. また,ボットの特定または複数の機能から,ボットは他の情報源から リアルタイムにデータを収集できる機能があることも明らかになった. その情報とは,カードの有効性と利用制限額を知ることができる情報であった. - Active participation of channel moderators: ボットを利用する人には,新規ユーザとポリシーチャンネル(?)活動を 手助けするという義務が課されているが,その他にも何人かのチャンネル 仲裁者(moderator)が頻繁にチャンネルを監視しており,不法行為への参加と その活動の支援を行っていることがわかった. これらの調査結果から,世界中にひろがるこのようなIRCチャンネルに参加する ことで,大規模なオンライン上での個人情報収集とクレジットカード詐欺に 関する技術的かつ情報的な障害は取り除かれたといえる.

Tools and Tactics

不法行為者ら(carders)によって使われているIRCチャンネルは,洗練された 自動応答生成機能と"ボット"としての機能を提供している.それらには, 商用サイトへの攻撃を支援し,購入履歴からカードの認証と照合情報を収集し, そして不法行為者の行為を隠すためにオープンプロキシーへアクセスする機能を 提供している. またこのボットは単純なスクリプトとして実装されており,それにはいくつかの データベースファイルが含まれている.そのデータベースには,Webブラウザから 商用サイトを悪用することのできるURIのリスト,盗んだ個人情報,そして カード詐欺を行うことができると知られている業界別の商用サイトのリストが 含まれている. これらのツールはIRCクライアントと組み合わせて使用する.IRCチャンネルでの やりとりはツールによって監視されており,正規のコマンドと認識されたならば, それはチャンネルに送出される. 例えば不法行為者(carder)が遠隔からボットのデータベースにアクセスしたいと した場合,!cardableというコマンドで標的とする商用サイト情報を取得し, !exploitというコマンドでその商用サイトを悪用するためのURIを取得する. 不正者(carders)は実際に不正行為のできる標的に興味があり, いくつかの脆弱な商用サイトは明らかに繰り返し悪用されている. そして最も頻繁に使われる!ccコマンドは,盗まれたクレジットカード情報と 個人情報をデータベースからランダムに返すコマンドである. これを使ってクレジットカード詐欺をするのである. IRCチャンネルの参加者は自分の行為をほとんど隠そうとはしていない. 彼らの通信トラフィックは通常のIRCチャンネル内をクリアテキストで流れている. それは,自分の身元を隠すために不正利用されている計算機上の IRC proxyからわかったことである.!proxyコマンドはボットにボット内の データベースから不正利用可能なプロキシのホスト名を要求する. !proxychkコマンドは,そのプロキシの存在確認と,それが正しく動作して いるかを確認するコマンドである. 典型的に,盗んだIDを売ろうとする売人は,盗んだ情報(個人情報,支払方法, カード番号,有効期限,さらには暗証番号やCVV番号まで!)のサンプルをその IRCチャンネルに掲示する.この広告/交渉行為はオンラインでの活動における 大原則である.またIRCでなんらかの合意が得られたら,個々の間での メッセージやりとりや,ハニーポットなどの監視を警戒してネット以外の方法で その後の処理をする.不法行為者(Carder)と購入者(Buyer)はよく似た種々の コマンドを使用して,そのカード情報が有効なものかを確認する.例えば, !chkはカード番号が正しいかどうかを確認し,!bankはそのカードを発行している 銀行を識別する.また興味深いのは!cvv2コマンドで,これはカード情報と そのCVV2番号が正しいものかを確認するためのコマンドであり,また!cclimit コマンドは,そのカードの利用限度額を得るためのコマンドである.これらの コマンドの存在は,相当量の情報を彼らが保持しているのか,またはクレジット カードネットワークが不正利用されているかを暗示するものである.

WHO'S INVOLVED

これらの活動に使用されているIRCチャンネルには,以下のような名称が ドメイン名に含まれていることが多い
#cc
#ccards
#ccinfo
#ccpower
#ccs
#masterccs
#thacc
#thecc
#virgincc
そのようなWebサイトの例としては以下のようなものがある.
www.ccpower.info
www.ccpowerforms.org
www.ccpowerforums.net
www.ccsquad.org
www.ccworldz.net
www.forum-gs.net
チャンネルやWebサイトの移動は頻繁にある.それはもちろん自身による 不法活動の監視を困難にするためである. 初期の解析から,国際的に見たクレジットカード詐欺活動の大部分は 南アジアと太平洋岸に集まっていることがわかった. そしてそこにはいくつかの区別可能なユーザグループがあるようである. 1つは"lurkers"というユーザグループである.ユーザの大多数はこのグループだが, 彼らは不定期間にチャンネルにアクセスし活動するが,おおっぴらかつ活発に 参加しているというユーザではない. "active participants"というユーザグループは,その名の通り,チャンネル内で メッセージを頻繁にやりとりし,他のユーザにツールの使い方を教えたり, 盗んできた情報を提供したり,そして他から盗んできた情報を販売したり 取引したりしているユーザである. "moderators"というユーザグループはIRCチャンネルを監視し, ユーザのサポートをする.特筆すべきmoderatorの活動は,moderator自身が 悪事を働くためにそのチャンネルを使っていることである.そしてmoderatorが 許可された役割として,門番としての役割(つまり望ましくない奴を排除する)と そのチャンネルにおける規則を守らせる役割を果たしている.また新人による 悪事の手助けをしたり,主要なユーザのための検証作業や請負作業をしたり, オフラインでの取り引きを仲介したりもする. 彼らはそのチャンネルの商取引についても興味があるのかもしれない. なんらかの支払いや物々交換を受け取ることで,そのチャンネルへのアクセスを 許可するといったことである. 最後に多数のボットやデータベースの存在は少数の技術レベルの高い "Power users"の存在を示しており,彼らがツールの開発をしていると 考えられる.ツール作成者やmoderatorでもありながら"power user"である という人は少ないように見える.多分,その数は世界中でも10人以下であろう. しかしこれらのボットの実装における画一性から考えると,もしかすると ボットの開発者が唯一1人であることを暗示しているのかもしれない. しかしいくつかの機能は類似していても,いくつかの区分可能なボットが 観測されているのも事実であり,それは複数の開発者を暗示しているともいえる. IRCチャンネルがcardingのために開設されている一方で,実際にはあらゆる種の 盗んだ情報や不法行為に関する情報を交換するためのフォーラムも開設されている. そこで交換されている情報にはオフラインで盗み出された個人情報なども 含まれている(ホテルのフロントマンが不正に帳簿などをコピーしたものや 盗まれた計算機内の情報など). オンラインでの取り引きされている情報のほとんどが密売品である一方で, 参加者はまた他の商品やサービスもそこに提供している. このコミュニティの参加者の主たる動機は金が欲しいためであろう. 典型的に売り手は盗み出した個人情報やカード情報に関する一般的な情報を チャンネルに投稿する.その中には盗んだ情報の一部である取り引き情報の サンプルが含まれていたりする.また買い手は欲している特定商品に関する リクエストをチャンネルに投稿する.多くの売り手は自分の盗んできた情報の 換金を手助けしてくれる人を求めており,Paypalや他のオンライン支払い システムへのアクセスをそそのかし,換金できたらその一部(50-60%)を 受け取るというシステムととっている.また他の人は,密売品を他のこの種の 悪事と直接関連する処理やチャンネル(盗んだATM PINや口座番号を取得できる チャンネル),やそういった情報に詳しい人(CCV番号付きのCredit Card番号) または金銭とは直接関係ないもの(悪用可能な計算機のroot shellのアカウント)と 交換することを希望していたりする. 我々が観測したほとんどの取り引きは,out of band,つまりIRCチャンネル外で 完了していた.多分,プライベートIRC messageやE-mailまたはもっと単純な 方法で最終的な取り引きが行われているようである. またこれらのチャンネルやWebサイトには重要な文化的要素もあるようである. "Lurkers"や"Newbie"は,活発なユーザやmoderatorによって頻繁に勧誘されている. また関連するWebサイトで見つけられた"情報"の換金への支援は"carding"行為を 不法行為というよりもむしろ"もう一つのライフスタイル"という形で 助長しているといえるだろう.

CONCLUSIONS

Credit Cardや個人情報収集に関するWebサイト攻撃とその悪用を 自動化するツールが実現されており,それらが広範囲にわたって 稼働しているという事実は以下のことを可能にした. 1. 悪事を働くときの自身のIDの隠蔽 2. 収集した情報やその悪用を支援するサービスの提供や交換 3. 新規ユーザがこういった(詐欺)グループに参加するための障壁を下げる 4. コミュニティメンバーによる悪事の促進 (自分が手を下さなくても誰かがやる...) IRCチャンネル管理者による違法行為や悪事の追放の努力にもかかわらず, こういった行為による被害額は相当量であり,その額はますます増加していくと 見られている.また違法行為というよりもライフスタイルの1つとして彼らの 活動を表すことで,Cardingコミュニティのメンバーは,より多くのユーザを 彼らのグループに誘い込んでいる. こういった彼らの行動は,金融機関,電子商取引そして個々のカード所有者に とってますます大きな脅威となりつつある.

IRC Commands in Reference To Credit Card Exchange

* !cardable classification
IRCチャンネルを通じてアクセスできるデータブエースからクレジットカード詐欺ができる脆弱性のあると知られているWebページのURLを取得する.classification引数は特定のWebサイトを得るのに使用される.例えば,electronicsならばelectronicsベンダーのWebサイトを返してくる
* !cc
IRCチャンネルを通じてアクセスできるデータベースからクレジットカード番号を取得する
* !cclimit card_number
特定のクレジットカードのために利用限度額(available credit)を決定する
* !chk card_number
クレジットカード番号が有効かどうかを確認する
* !cvv2 card_number expiry_date
特定のクレジットカードのために有効なCVV2番号を返す
* !exploit 
既知のアプリケーションレベルのWebサーバ攻撃手法のデータベースから,
攻撃用URIを得る
* !order.log 
脆弱なWebサイトの取り引きの詳細を与える
* !proxychk
IRC proxyが稼働しているかどうかを確認する 

NTERNET RELAY CHATS, DEMONSTRATING TACTICS & MOTIVES

● A non-online source of credit card information:
-- 内部漏洩の実態
#masterccs 02:13:38 Pedro: Hi all, i work in the LaTourista hotel here inPeru and i have access to all ccs with full info, im looking for paypal,
anyone interested ??? msg me !!! i verify first!
● Carders advertise their trading capacity:
-- 情報あるよという旨の広告!
#MasterCcs 12:01:41 BigDealer: ACTION have a drop thrue WU if u guys want to cash out cc on any name u send I'll cash it out 50/50 msg me I can cash out up to 20 K a week
#MasterCcs 08:43:33 BiggerDealer: ACTION has a drop in a bank if u want to cash out stuff up to 100 000K a week msg me
● Trading CCs for exploits and tools:
-- CreditCard情報と攻撃ツールとの取り引き
#MasterCcs 12:40:28 Spiner: ACTION wants 0day exploits or Redhat 7.2,7.3 rootkit. msg me for trade... i have root
● Solicitation for channel advertisers:
-- IRCチャンネルの広告/勧誘
#masterccs 08:00:34 Card-InFo: ACTION Good news For Shell Holder: If u have Shell/hosting and wanna Advertise then msg
Op1 and Op2 and Op3 We will adv urs shell/hosting wid Auto msg
● Channel ops discuss a difficult newbie:
-- やっかいな新人に関する議論
#masterccs 14:18:40 TheOp: yeah i know AsstOp^- :P
#masterccs 14:19:07 AsstOp^-: hehehe
#masterccs 14:19:27 AsstOp^-: that bastard is killing me i tried to help him but he wont tell me whats happening on the command i told him
#masterccs 14:19:29 AsstOp^-: how can i help him them stupid as
#masterccs 14:19:31 AsstOp^-: ass
● Solicitation for a bot author or owner:
-- Bot作者や所有者への勧誘
#MasterCcs 06:58:06 BoogieMan: I need a Chk BOT ! i'll give to the Owner Sop access to the channel
● Carder asks operator to banish a ripper, who cheated the carder:
-- カーダーをだました奴を追放して欲しいという依頼
#aimtech 18:23:22 ^Alky^: Vietkey ripped me cc akick him now
#aimtech 18:23:32 ^Alky^: ACTION thank TheOp
● A newbie receives instruction and gets his first CC:
-- 新人さんに対する導入教育し,そして始めてCredit Card情報を取得した
#MasterCcs 10:00:49 newbie: what i have to type to get cc info ?
#MasterCcs 10:01:15 helper: type !cc
#MasterCcs 10:04:04 newbie: !cc
#MasterCcs 10:05:33 Ccs`: newbie!cc Name: Yukio XXXXXXXX |Address: X-X-X-XXX |City: Koduru-shi |State: Tokyo |Zip: XXX-XXXX |Phone: N¥A
|Country: Japan |CardType: American Express |Card Number: XXXXXXXXXXXXXXX XXXX
● A newbie expresses anxiety:
-- 新人が不安をあらわしている
#Masterccs 17:32:23 newbie: wont i get caught if i use these???
#masterccs 17:32:38 helper: mabe
#masterccs 17:32:40 helper: mabey
#masterccs 17:32:48 helper: if your smart you wont get caught
#Masterccs 17:32:59 newbie: how can i not get caught baby
#masterccs 17:33:00 helper: i boaught at least 20,000$ worth of stuff
#masterccs 17:33:10 helper: i donno figure it out :P
#Masterccs 17:33:18 newbie: awww :-(
● Another non-online source of CCs:
- 別のオンラインではない情報源
#MasterCcs 10:43:23 traderx: i work at a credit card collection agancy and we get there banking information i need someone to drop money in and send me half we split 50/50 pls don't ripping ... loosers , i know when someone 's a ripper so don't waste my ... time
● A non-online use of CCs:
-- オンライン以外でのCredit Card情報の悪用
#CaRd-WorLD 12:24:45 QBar: ACTION looks for someone that can create fake plastic cards with the name & card serial I provide (I have pin code for XX cards!!!)
● A newbie expresses anxiety:
-- 新人さんが不安を表明...
#card-world 21:17:27 newbie1: what is this site about
#CaRd-wOrLd 21:17:47 newbie2: why does all this look like BS to me?
#card-world 21:18:13 Helper: !chk XXXXXXXXXXXXXXXX XXXX
#card-world 21:18:20 CcVeR: Helper [X XXXXXXXXXXXXXXXX XXXXXX ] This transaction has been Declined.
#card-world 21:18:27 newbie1: i dunno
#card-world 21:18:30 newbie1: looks the same to me
#card-world 21:18:34 newbie1: or illegal
#card-world 21:18:46 Helper: it is ILLEGAL
#card-world 21:18:49 Helper: so what if its illegal?
#card-world 21:19:00 newbie1: then what do i do with it
#card-world 21:19:07 newbie1: i like illegal
#card-world 21:19:13 Helper: lol
#card-world 21:19:23 Helper: search a valid cc
#card-world 21:19:25 Helper: and use it
#card-world 21:19:25 Helper: lol
#card-world 21:19:29 Helper: :|
#card-world 21:19:32 newbie1: no way
#CaRd-wOrLd 21:20:00 newbie2: how the hell do you confirm these cc's?
#CaRd-wOrLd 21:20:05 newbie2: especially the cvv2?
#card-world 21:20:15 newbie1: anyone know where i can get up to date direct tv files
#CaRd-wOrLd 21:20:19 newbie2: these bots have merchant accounts or what?
#card-world 21:20:22 newbie1: i cant find ... except pay sites
#card-world 21:21:53 newbie1: anyone know of a channel or server that has a lot of good direct tv hu card files and info
● A bot owner solicits a channel op:
-- Botのオーナがチャンネルを宣伝
#card-world 05:09:19 RelaxedCC: ACTION Need a CC bot in your channel? /msg RelaxedCC and i will be in your channel!

■ Card Verification Value (CVV)
カード照合値(Card Verification Value or CVV)は3または4桁の数字で, 詐称防止のためにクレジットカードに印刷されている(情報は磁気としても 記録されている).これは,浮き彫りになっている情報の暗号による情報確認 機能を提供している.オンライン取引におけるCVVの利用は,取引元にカードが 存在することを示すものという意図がある.したがってオンラインの顧客に 対して,実際にカードがないのにカード詐欺を働こうとする行為を減らすことが できるはずだった.しかし,今となってはこのCVVの値も収集され,そして商用 サイトのデータベースに記録されている.したがって,情報漏洩が起きた場合には この情報も一緒に漏洩してしまっており,詐欺防止としての価値はなくなりつつある. 詳細は
http://usa.visa.com/personal/security/visa_security_program/3_digit_code.html
http://usa.visa.com/business/accepting_visa/ops_risk_management/card_not_present.html



The Honeynet Project

Comments