Министерството на правосъдието на САЩ разкри днес, че 18-годишен мъж на име Джоузеф Гарисън от Уисконсин е обвинен в хакване на акаунтите на около 60 000 потребители на уебсайта за спортни залагания DraftKings през ноември 2022 г.
Според жалбата заподозреният е използвал обширен списък с идентификационни данни от други пробиви, за да хакне акаунтите. След това той е продал отвлечените акаунти, а купувачите са откраднали около 600 000 USD от около 1 600 компрометирани акаунта.
Гарисън и неговите съучастници разработили метод, позволяващ на купувачите на откраднатите сметки да изтеглят всички средства, като ги инструктирали да добавят нов метод за плащане към хакнатите сметки, да депозират номинална сума от 5 долара чрез новодобавения метод за плащане, за да потвърдят валидността му, и впоследствие да изтеглят всички съществуващи средства от сметките на жертвите в отделна финансова сметка под контрола на нападателите.
При претърсването на жилището на Гарисън през февруари 2023 г. правоприлагащите органи откриват инструменти, които обикновено се използват при атаките с подправяне на удостоверения (включително OpenBullet и SilverBullet) и които изискват персонализирани „конфигурационни“ файлове за всеки целеви уебсайт.
На компютъра на заподозрения са открити около 700 конфигурационни файла за десетки корпоративни уебсайтове, включително 11 отделни файла за уебсайта за залагания, атакуван през ноември.
Освен това претърсването довело и до откриването на поне 69 файла (известни като списъци с думи), съдържащи приблизително 38 484 088 комбинации от потребителски имена и пароли, които също се използват при атаките за попълване на данни.
Докато анализирали телефона на Гарисън, агентите на правоприлагащите органи открили допълнителни доказателства, уличаващи обвиняемия в атаката с пълнене на удостоверения срещу платформата за залагания през ноември 2022 г., включително дискусии със съучастници относно хакването на уебсайта.
В един такъв разговор Гарисън дори изразил убеждението си, че правоприлагащите органи няма да могат да го задържат или преследват, заявявайки: „измамата е забавна . Пристрастен съм да виждам пари в сметката си… като че ли съм обсебен от заобикалянето на глупости“.
Макар че Министерството на правосъдието не назова сайта за залагания, който е бил обект на атаката, в пространството се знае за схема, насочена към DraftKings и FanDuel през ноември 2022 г.
„Безопасността и сигурността на личната и платежната информация на нашите клиенти е от първостепенно значение за DraftKings. Работихме с правоприлагащите органи при залавянето на предполагаемия(те) лош(и) типове и искаме да благодарим на Министерството на правосъдието, включително на ФБР и на прокурора на САЩ, Южен окръг Ню Йорк, за бързите и ефективни действия“, заявиха днес от DraftKings в изявление.
„Както заявихме по-рано, недобросъвестният(ите) участник(и) е(са) успял(и) да използва(и) идентификационни данни за вход, получени от източник от трета страна, за да получи(т) достъп до определени потребителски акаунти. Когато идентифицираният инцидент с пълнене на идентификационни данни се случи през ноември 2022 г., DraftKings предостави уведомление на клиентите в съответните юрисдикции и възстанови сумите за ограничен брой потребители, които може да са имали неправомерно изтеглени средства от сметките си.“
На 21 ноември DraftKings за първи път разкри, че от сметките, нарушени при атаката, са били откраднати до 300 000 долара.
През ноември, след като стана известно за медиите, че са били откраднати значително повече от 300 000 USD, DraftKings заяви: „Вашият източник не е коректен както по отношение на цифрата в долари, така и по отношение на броя на засегнатите клиенти.“
Месец по-късно компанията за спортни залагания заяви, че е възстановила стотици хиляди откраднати долари, след като при инцидента са били хакнати акаунтите на 67 995 клиенти (което съвпада с броя на акаунтите, споменати в жалбата и прессъобщението на Министерството на правосъдието).
През същия период на ноември клиенти на FanDuel съобщиха за компрометиране на акаунти след атаки с подправяне на удостоверения, като хакнатите акаунти са били продадени на пазари за киберпрестъпления за едва 2 долара.
Известно е, че след двете атаки Гарисън е управлявал уебсайта „Goat Shop“, в който се продават хакнати акаунти на DraftKings и FanDuel.
„На телефона на Гарисън правоприлагащите органи откриха снимка без дата, която показва, че „Goat Shop“ е продал 225 247 продукта с общ приход от продажби в размер на 2 135 150,09 долара“, се казва в жалбата.
Същите подробни инструкции за това как да се изпразнят нарушените сметки на DraftKings са били предоставени в друг онлайн магазин, които съвпадат с инструкциите, видени на уебсайта на Goat Shop на Гарисън в жалбата.
Съучастниците също така проследяват реакцията на DraftKings при инцидента и в един момент предупреждават, че всички нарушени акаунти вече са заключени, след като компанията е възстановила паролите на засегнатите потребители.
След ноемврийската атака DraftKings посъветва клиентите си никога да не използват една и съща парола за няколко услуги, незабавно да включат 2FA на сметките си и да премахнат връзката с банковите си карти, за да блокират измамни искания за теглене.
През март Chick-fil-A също така потвърди (след разследване, започнало през януари), че акаунтите на 71 473 клиенти са били нарушени при продължила няколко месеца „автоматизирана“ атака с попълване на идентификационни данни между 18 декември 2022 г. и 12 февруари 2023 г.
Откраднатите акаунти също така се оказаха за продажба на уебсайта Goat Shop за сума до 200 USD, в зависимост от баланса по сметката, свързания метод на плащане или количеството точки за награди Chick-fil-A One.
Както ФБР предупреди неотдавна, атаките, свързани с попълване на идентификационни данни, се увеличават по обем и честота поради леснодостъпните автоматизирани инструменти и лесните за получаване обобщени списъци с откраднати идентификационни данни.
„Както се твърди, Гарисън е получил неоторизиран достъп до сметките на жертвите, използвайки сложна атака за киберпробив, за да открадне стотици хиляди долари“, заяви днес Майкъл Дрискол, заместник-директор на ФБР.
„Кибератаките, целящи кражба на средства на частни лица, представляват сериозен риск за икономическата ни сигурност. Борбата с кибератаките и търсенето на отговорност от отговорните за заплахите лица в системата на наказателното правораздаване остава основен приоритет за ФБР.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.