Раскрыта схема отмывания денег через мобильные игры

Специалисты компании Kromtech Security раскрыли мошенническую схему отмывания средств с банковских карт, данные которых были похищены киберпреступниками. В середине июня исследователи обнаружили в сети базу данных MongoDB, доступ к которой не был защищен логином и паролем. Изначально сотрудники Kromtech Security предполагали, что база данных принадлежит одной из компаний, забывших настроить защищенный доступ к информации своих клиентов – случай, к сожалению, совсем не редкий. Но дальнейший анализ выявил совершенно иную картину.

База данных содержала информацию более чем 150 тысяч банковских карт, включая их номера, имена владельцев, сроки окончания действия и CVV-коды. Предположительно, владельцы базы приобретали информацию непосредственно у похитителей данных банковских карт, а затем использовали созданный ими механизм отмывания денег. Они регистрировали фальшивые аккаунты в iOS, привязывали к ним данные карт и загружали на прошедшие процедуру jailbreak Apple-устройства мобильные игры. Далее киберпреступники приобретали различные игровые бонусы, расплачиваясь средствами с похищенных карт – и перепродавали эти бонусы другим игрокам, пополняя уже собственные счета. Эксперты обнаружили как минимум три популярные игры, использовавшиеся для реализации этой схемы - Clash of Clans, Supercell's Clash Royale, и Marvel Contest of Champions.

Представители Kromtech Security уже уведомили Министерство юстиции США об обнаруженной мошеннической схеме. Они также раскритиковали разработчиков мобильных игр, которые не принимают меры против игроков, вся активность которых сводится к покупке и последующей перепродаже бонусов. Досталось и корпорации Apple: по мнению исследователей, ей необходимо ужесточить правила верификации аккаунтов, не позволяя привязывать к учетным записям банковские карты, данные которых ранее могли быть похищены.