Злоумышленники собирали на хакерских форумах скомпрометированные учетные данные от различных интернет-сервисов и с помощью специальных программ проводили автоматический поиск паролей к ним. Киберпреступники воспользовались тем, что многие посетители сайтов используют одну и ту же связку логин\пароль на нескольких ресурсах, рассказали в Group-IB. Если логины и пароли подходили на сайте атакуемого магазина, происходил взлом личного кабинета. Злоумышленники проверяли сумму накопленных бонусов и продавали учетные записи на хакерских форумах. «Покупатели» использовали их для оплаты товара бонусами.
Расследование началось в 2015 году после того масштабной кибератаки на одном из сайтов. После того как в 2016 году крупные ретейлеры стали тщательно проверять все заказы с оплатои? бонусами, злоумышленники переключились на другие менее известные интернет-магазины. Кроме того, хакеры стали платить за информацию о новых интернет-магазинах с бонусными программами и купонных сервисах, где можно было получить доступ к личным кабинетам.
Масштаб компрометации учетных записей являются следствием недостаточно серьезного отношения пользователей онлайн-сервисов к защите своих аккаунтов, считают в Group-IB. Защитой от таких мошенничеств могут быть бдительность самих граждан и более строгие требования к паролям.