地下指南教威胁行为者审核被盗信用卡商店

执行摘要

在网络犯罪论坛中活动的威胁行为者依赖于详细的、众包指南，系统地评估出售被盗信用卡数据的地下“信用卡商店”的合法性。根据威胁情报公司Flare的报告，这些指南指导买家基于数据质量、供应商声誉、运营安全和生存能力来评估商店，以避免诈骗和执法部门的打击。这一过程突出了一个复杂的、规避风险的地下经济，其中信任是程序性的，而不是假定的。

技术分析

Flare分析的地下指南将审查过程分解为离散的、可重复的步骤。一个主要焦点是评估“转储”的质量——被盗的信用卡数据。指南指导买家检查“检查率”，即仍然有效且未被注销的卡片的百分比。指南建议首先购买一小批测试批次。他们还强调检查数据的“新鲜度”，因为新被盗的卡片在受害者或银行检测到欺诈之前有更高的可能性成功。

技术评估扩展到商店的基础设施。指南建议检查商店是否使用防弹托管提供商或内容分发网络（CDNs）以抵抗打击。拥有Telegram频道或其他外部通信支持被视为商店寿命的积极指标。相反，只接受通过自动化系统进行的加密货币支付且没有人工支持的商店被标记为更高风险，可能是设计为收取钱财然后消失的“退出骗局”。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

这些指南中记录的TTPs主要与资源开发和犯罪生态系统内的尽职调查有关，而不是直接受害者的妥协。

• T1583.001: 获取基础设施 – 域名：行为者被教导评估信用卡商店的域名和托管的声誉和弹性。
• T1588.002: 获取能力 – 流量复制：一些指南提到可以生成假流量或销售以夸大商店感知信誉的工具或服务，行为者必须学会检测。
• TA0042: 资源开发：整个审查过程是一种资源开发形式，其中威胁行为者识别和验证其欺诈活动所需的工具（被盗数据）和基础设施（商店）。
• 犯罪社区内的社交工程：行为者使用论坛声誉、评论和托管服务来减轻被其他罪犯欺诈的风险。

威胁行为者背景

这种活动在网络犯罪地下的信用卡和金融欺诈领域是普遍存在的，包括从低技能的“脚本小子”到有组织的犯罪集团的行为者。没有单一归因的威胁行为者；这些指南代表了这些社区之间的共享知识。主要动机是通过信用卡欺诈获得经济利益，这通常资助其他犯罪活动。如此详细的程序性指南的存在表明了一个成熟的、自我监管的地下市场，其中降低运营风险是参与者之间的共同关注。

缓解措施与建议

对于金融机构和商家来说，这些审查指南的持续存在强调了需要超越静态卡号检查的强大欺诈检测的必要性。

• 实施行为分析：超越简单的BIN检查，实施分析购买速度、地理不可能性和设备指纹识别的系统，以检测即使是新被盗的“干净”卡片的欺诈行为。
• 采用多因素认证（MFA）：强制执行MFA，特别是对于无卡交易，使用3-D Secure（3DS2）等标准。
• 共享欺诈情报：参与行业信息共享和分析中心（ISACs），以快速传播受损卡数据和商家违规的指标。
• 教育消费者：鼓励客户在线购买时使用虚拟卡号，并启用金融机构的实时交易提醒。
• 监控地下论坛：安全团队应监控这些地下来源，如讨论的指南可以提供哪些数据泄露被武器化用于欺诈的早期警告。