Злоумышленники покупали внутриигровые ценности при помощи украденных банковских карт, а потом продавали аккаунты.
Немецкие ИБ-эксперты обнаружили схему по отмыванию денег через мобильные игры. Преступники использовали скомпрометированные банковские карты для создания аккаунтов и покупки виртуальных ресурсов в приложениях, а потом перепродавали учетные записи. Как выяснили исследователи, злоумышленники применяли специальные программы для автоматического создания и развития профилей.
Мошенническая кампания вскрылась в процессе поиска скомпрометированных баз данных MongoDB. На одном из серверов исследователи нашли незащищенное паролем хранилище, которое показалось им необычным. Оно содержало более 150 тыс. реквизитов банковских карт, а также сведения о десятках тысяч аккаунтов AppleID и адресов электронной почты.
Как полагают исследователи, база данных использовалась мошенниками для автоматизации процесса отмывания денег. При помощи специальных программ киберпреступники создавали аккаунты AppleID и привязывали к ним скомпрометированные банковские карты. Для регистрации новых профилей злоумышленники регистрировали почтовые ящики на бесплатных площадках, не требующих аутентификации по телефонному номеру.
Эксперты отметили слабую проверку платежных реквизитов. Несмотря на то что мошенники указывали неправильное имя владельца карты, она проходила верификацию в системе и привязывалась к профилю. С помощью похищенных банковских карт преступники покупали внутриигровые ценности.
Созданные аккаунты злоумышленники использовали для регистрации в мобильных играх Clash of Clans, Clash Royale и Marvel: Contest of Champions. Как заявили исследователи, эти приложения были выбраны не случайно. Вокруг них создан широкий вторичный рынок, на котором продаются как целые аккаунты, так и отдельные виды ресурсов. Стоимость набора виртуальных предметов на таких площадках может составлять десятки и даже сотни долларов.
Эксперты считают, что мошенники прибегали к помощи специальных программ-ботов для развития аккаунтов и увеличения их стоимости. Применять подобные утилиты запрещено Пользовательским соглашением, но несмотря на это они продвигаются на неофициальных форумах. В дальнейшем злоумышленники продавали развитые профили новым владельцем.
Отследить проведенные с помощью краденных банковских карт транзакции крайне сложно, поэтому преступники могли использовать полученные деньги, не опасаясь преследования. В процессе передачи аккаунта мошенники узнавали все данные профиля нового владельца. Эксперты полагают, что из-за этого и AppleID покупателя может быть скомпрометирован в будущем.
Clash of Clans и Clash Royale уже попадали в поле зрения специалистов по информационной безопасности. В 2016 году разработчик игр — компания Supercell — допустила утечку регистрационных данных своих клиентов. По оценкам специалистов, скомпрометированными оказались 1,1 млн аккаунтов.