ผู้ชายถูกตั้งข้อหาในแผนการฉ้อโกง FanDuel ที่ขับเคลื่อนด้วยข้อมูลประจำตัวที่ถูกขโมยไปหลายพันรายการ

ชายชาวคอนเนตทิคัตสองคนถูกตั้งข้อหาของรัฐบาลกลางฐานฉ้อโกง FanDuel และเว็บไซต์การพนันออนไลน์อื่น ๆ เป็นเงิน 3 ล้านดอลลาร์ตลอดหลายปีที่ผ่านมา โดยใช้ข้อมูลประจำตัวที่ถูกขโมยไปประมาณ 3,000 รายการ Amitoj Kapoor และ Siddharth Lillaney วัย 29 ปี ทั้งสองจาก Glastonbury รัฐคอนเนตทิคัต ถูกจับกุมในวันพฤหัสบดีตามคำฟ้อง 45 กระทง โดยพวกเขาได้ซื้อข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ที่ถูกขโมยมาหลายพันรายการจากตลาด Darknet และแพลตฟอร์ม Telegram และใช้ข้อมูลดังกล่าวเพื่อสร้างบัญชีปลอมหลายพันบัญชีบนเว็บไซต์การพนัน โดยมีเป้าหมายที่โบนัสส่งเสริมการขายสำหรับผู้ใช้ใหม่

Severity: สูง

System Impact:

• FanDuel (แพลตฟอร์มการพนันออนไลน์)
• DraftKings (แพลตฟอร์มการพนันออนไลน์)
• BetMGM (แพลตฟอร์มการพนันออนไลน์)
• ตลาด Darknet (แหล่งข้อมูล PII)
• แพลตฟอร์มส่งข้อความ Telegram (แหล่งข้อมูล PII)
• TruthFinder (บริการตรวจสอบประวัติ)
• BeenVerified (บริการตรวจสอบประวัติ)
• บัตรมูลค่าเสมือน (Virtual Stored-Value Cards)
• บัญชีธนาคารและการลงทุน (ของผู้กระทำความผิด)
• ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ของเหยื่อประมาณ 3,000 ราย

Technical Attack Steps:

1. 1. ผู้กระทำความผิดได้รับข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ที่ถูกขโมยมาหลายพันรายการจากตลาด Darknet และแพลตฟอร์ม Telegram.
2. 2. พวกเขาใช้บริการตรวจสอบประวัติ เช่น TruthFinder และ BeenVerified เพื่อยืนยันและรวบรวมข้อมูลเพิ่มเติมของเหยื่อ.
3. 3. สร้างบัญชีการพนันออนไลน์ปลอมหลายพันบัญชีบนแพลตฟอร์มต่างๆ เช่น FanDuel, DraftKings และ BetMGM โดยใช้ข้อมูลประจำตัวที่ขโมยมา.
4. 4. ใช้ประโยชน์จากโบนัสส่งเสริมการขายที่เสนอให้กับผู้ใช้ใหม่บนแพลตฟอร์มการพนัน เพื่อทำการฝากเงินหรือวางเดิมพันครั้งแรก.
5. 5. เมื่อการเดิมพันที่ใช้เครดิตโปรโมชั่นชนะ ผู้กระทำความผิดจะโอนเงินรางวัลไปยังบัตรมูลค่าเสมือน (virtual stored-value cards).
6. 6. จากนั้น เงินที่ได้จากการฉ้อโกงจะถูกย้ายไปยังบัญชีธนาคารและการลงทุนภายใต้การควบคุมของพวกเขาเอง.

Recommendations:

Short Term:

• ตรวจสอบบัญชีทางการเงินและรายงานกิจกรรมที่น่าสงสัยทันทีที่ตรวจพบ.
• เปลี่ยนรหัสผ่านสำหรับบัญชีออนไลน์ทั้งหมด โดยเฉพาะบัญชีที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือการเงิน.
• ตรวจสอบรายงานเครดิตเพื่อหาการเปิดบัญชีที่ไม่ได้รับอนุญาต หรือกิจกรรมที่ผิดปกติอื่นๆ.

Long Term:

• ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับแต่ละบริการออนไลน์.
• เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีทั้งหมดที่มีตัวเลือกนี้.
• ระมัดระวังในการเปิดเผยข้อมูลส่วนบุคคลออนไลน์ และพิจารณาความน่าเชื่อถือของแหล่งที่มาเสมอ.
• สมัครใช้บริการตรวจสอบข้อมูลประจำตัว หรือตรวจสอบประวัติเครดิตและรายงานการเงินเป็นประจำ เพื่อเฝ้าระวังการใช้งานข้อมูลโดยไม่ได้รับอนุญาต.

Source: https://www.bleepingcomputer.com/news/security/men-charged-in-massive-fanduel-fraud-scheme-fueled-by-thousands-of-stolen-identities/