ผลการวิจัยใหม่เผย 28 ที่อยู่ IP และ 85 โดเมนโฮสต์ตลาดค้าข้อมูลบัตรเครดิต (Carding Markets)

การสืบสวนล่าสุดได้เปิดโปงโครงสร้างพื้นฐานทางเทคนิคของการดำเนินการค้าข้อมูลบัตรเครดิตใต้ดิน (carding operations) โดยพบที่อยู่ IP ที่ไม่ซ้ำกัน 28 แห่ง และ 85 โดเมนที่ใช้เป็นตลาดมืดสำหรับการซื้อขายข้อมูลบัตรเครดิตที่ถูกขโมยมา แพลตฟอร์มเหล่านี้ทำงานเหมือนเว็บไซต์อีคอมเมิร์ซที่ซับซ้อนสำหรับอาชญากรรมทางการเงิน ซึ่งช่วยให้ผู้ร้ายสามารถแลกเปลี่ยนข้อมูลการชำระเงินที่ถูกขโมยได้ในราคาตั้งแต่ 5 ถึง 150 ดอลลาร์ต่อบัตร ขึ้นอยู่กับวงเงินเครดิตและรายละเอียดระบุตัวตนเพิ่มเติม

Severity: สูง

System Impact:

• แพลตฟอร์มอีคอมเมิร์ซ (เป้าหมายของการโจมตีแบบ web skimming และเป็นที่ตั้งของตลาดมืด)
• องค์กรค้าปลีก (เป้าหมายของการละเมิดฐานข้อมูลและการติดตั้งอุปกรณ์ skimming ทางกายภาพ)
• องค์กรการเงิน (เป้าหมายของการละเมิดฐานข้อมูลและตู้ ATM สำหรับอุปกรณ์ skimming ทางกายภาพ)
• ระบบประมวลผลการชำระเงิน (ช่องทางที่ข้อมูลถูกขโมยไป)

Technical Attack Steps:

1. **การขโมยข้อมูล:** ข้อมูลบัตรเครดิตถูกขโมยผ่านวิธีการต่างๆ ได้แก่ การโจมตีแบบ web skimming, การละเมิดฐานข้อมูลขององค์กรค้าปลีกและการเงิน และการติดตั้งอุปกรณ์ skimming ทางกายภาพที่ตู้ ATM และเครื่อง POS
2. **การจัดตั้งโครงสร้างพื้นฐานตลาด:** อาชญากรจัดตั้ง ‘ตลาดค้าข้อมูลบัตรเครดิต’ (carding markets) ซึ่งเป็นแพลตฟอร์มสไตล์อีคอมเมิร์ซเพื่อขายข้อมูลที่ขโมยมา
3. **การโฮสต์ตลาด:** ตลาดเหล่านี้ถูกโฮสต์บนที่อยู่ IP ที่ไม่ซ้ำกัน 28 แห่ง และ 85 โดเมน มักจะใช้สภาพแวดล้อมการโฮสต์แบบ ‘bulletproof’ ในเขตอำนาจศาลนอกชายฝั่งที่มีความร่วมมือด้านการบังคับใช้กฎหมายจำกัด (เช่น Privex) โดยมี TLDs ที่พบบ่อยคือ .su, .cc และ .ru
4. **การค้นพบตลาด (โดยนักวิจัย):** การวิจัยระหว่างเดือนกรกฎาคมถึงธันวาคม 2025 ใช้เทคนิคการสแกนทั่วอินเทอร์เน็ตเพื่อระบุเซิร์ฟเวอร์ที่กำลังออกอากาศคำสำคัญที่เกี่ยวข้องกับการค้าข้อมูลบัตรเครดิต (เช่น ‘CVV’, ‘Dumps’, ‘Carding’, ‘Shop’) บน HTTP และ HTTPS title banners บนพอร์ต 80 และ 443 ซึ่งช่วยให้สามารถตรวจจับตัวตนของเซิร์ฟเวอร์ในช่วงเริ่มต้นการตั้งค่า ก่อนที่จะถูกซ่อนโดย Content Delivery Networks (CDNs) เช่น Cloudflare
5. **การซื้อขายข้อมูล:** ข้อมูลการชำระเงินที่ถูกขโมยจะถูกซื้อและขายในตลาดเหล่านี้ โดยมีราคาตั้งแต่ 5 ถึง 150 ดอลลาร์ต่อบัตร
6. **การวิเคราะห์โครงสร้างพื้นฐาน:** วิเคราะห์ใบรับรอง X.509 และ Subject Common Names เพื่อจัดกลุ่มโครงสร้างพื้นฐานที่เกี่ยวข้องและติดตามสภาพแวดล้อมการโฮสต์ที่ผิดกฎหมาย รวมถึงการระบุการใช้เทคนิคการโคลนเว็บไซต์เพื่อวัตถุประสงค์ในการฟิชชิง

Recommendations:

Short Term:

• ใช้มาตรการรักษาความปลอดภัยบนเว็บที่แข็งแกร่งเพื่อป้องกันการโจมตีแบบ web skimming
• ตรวจสอบและตรวจสอบแพลตฟอร์มอีคอมเมิร์ซอย่างสม่ำเสมอเพื่อหาสคริปต์ที่เป็นอันตราย
• เสริมสร้างความปลอดภัยของฐานข้อมูลเพื่อป้องกันการละเมิดข้อมูลการชำระเงิน
• ตรวจสอบเครื่อง POS และตู้ ATM ทางกายภาพอย่างสม่ำเสมอเพื่อหาอุปกรณ์ skimming

Long Term:

• ร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อแบ่งปันข้อมูลข่าวกรองเกี่ยวกับโครงสร้างพื้นฐานการค้าข้อมูลบัตรเครดิต
• ใช้การวิเคราะห์ภัยคุกคามขั้นสูงและการสแกนทั่วอินเทอร์เน็ตเพื่อระบุและขัดขวางการโฮสต์ที่ผิดกฎหมาย
• เสริมสร้างความร่วมมือระหว่างเขตอำนาจศาลเพื่ออำนวยความสะดวกในการถอดถอนโครงสร้างพื้นฐานอาชญากรรม
• ลงทุนในระบบตรวจจับและป้องกันการฉ้อโกงที่มีประสิทธิภาพ
• ให้ความรู้แก่ผู้ใช้ในการระบุการโจมตีแบบฟิชชิงและการรักษาความปลอดภัยข้อมูลการชำระเงิน

Source: https://cybersecuritynews.com/new-research-uncovers-28-unique-ip-addresses/