Банки Азербайджана, давно замеченные в поддержке торговли нелегальными лекарствами, теперь оказались ведущими операторами на рынке обработки платежей по кредитным картам за фальшивое антивирусное ПО.
В июне сайт KrebsOnSecurity освещал исследование, проведенное Университетом Калифорнии (Сан-Диего) из которого становилось ясным, что Azerigazbank, финансовое учреждение в Азербайджане, стало основным каналом обналичивания платежей в пользу «партнерских» программ по продвижению нелегальных онлайновых аптек. К моменту опубликования этого исследования, упомянутые программы перевели обработку своих платежей в другой банк, но тоже в Азербайджане — в банк JSCB Bank Standard.
Ранее в этом месяце, исследователи из Университета Калифорнии (Санта-Барбара) сообщили, что три из наиболее активных «партнерских» программ по продвижению фальшивых антивирусов провели платежи на десятки миллионов долларов через банк «Bank Standard» и «International Bank of Azerbaijan» (Международный банк Азербайджана).
Университетский исследователь Деймон Мак-Кой (DamonMcCoy) совершал «покупки» на нескольких дюжинах сайтов с фальшивым антивирусным ПО, стараясь выявить сотрудничающие с ними банки. Операции по оплате фальшивых антивирусов, которые проследил Мак-Кой, оказались отличными от операций, которым было посвящено исследование университета; команда университетских исследователей попросила не публиковать названия программ по распространению фальшивых антивирусов, ссылаясь на продолжающиеся расследования, проводимые правоохранительными органами.
В конце 2010 года Мак-Кой начал покупать фальшивые антивирусы у BestAVи Gagarincash — последний сайт был назван в честь Yuri Gagarin (Юрий Гагарин), русского космонавта, который впервые совершил полет в космос. Мак-Кой сказал, что операции по оплате фальшивых антивирусов ранее проводились через Bank Standard, но в последние месяцы они переключились на Международный банк Азербайджана.
Мак-Кой также обнаружил еще одну, более скрытную программу по распространению фальшивых антивирусов, которую он называет Win7Security — на след его навело название наиболее доходного фальшивого антивируса. По словам Мак-Коя, за последние месяцы он потерял след Win7Security, и не находил сайтов, которые направляли бы посетителей на этот фальшивый антивирус (речь идет о вредоносных баннерах и ссылках на “заминированные” сайты).
Недавно я получил сообщение от источника, имеющего некоторый доступ к базе данных клиентов по обработке платежей компании idpay.com. Не вполне ясно, где работает эта компания — по ее утверждениям, она располагает офисами в России, в Нью-Йорке и в Соединенном Королевстве, однако ни в Нью-Йорке, ни в Соединенном Королевстве следов регистрации такой компании не обнаруживается, а на просьбы о комментариях компания не откликается. База данных idpay.com показывает, что большое число сайтов, занимающихся распространением фальшивого антивирусного ПО, для обработки платежей пользуются услугами idpay.com (часть списка доступна здесь).
Мак-Кой сразу же опознал названия фальшивых антивирусов и страницы оформления платежей на idpay.com, как принадлежащие к программе Win7Security. Сделав пробную покупку на одном из рекламируемых сайтов, он подтвердил, что является клиентомМеждународного банка Азербайджана.
«Эти азербайджанские банки практически монополизировали рынок таких операций», сказал Мак-Кой. «Единственная программа [по распространению фальшивых антивирусов], которая не опиралась на них, была та, что фигурировала в атаках “Liza Moon” ранее в этом году, при этом для проведения платежей использовался украинский банк.
База данных idpay.com раскрывает и более крупные секреты: среди прочих компаний, платежи которых здесь обрабатывались, фигурирует сайт rx-partners.com, поддерживающий крупную «партнерскую» программу, которая платит хакерам и спамерам за продвижение нелегальных фармацевтических сайтов.
Еще одним интересным клиентом idpay.com оказалась компания HzMedia Limited. Эта организация принадлежит Игорю Гусеву (Igor Gusev), создателю GlavMed, одной из самых крупных «партнерских» программ по спамовому продвижению нелегальной онлайновой фармацевтики, если верить документам (файл PDF), где он обвиняется в ведении незаконного бизнеса. Гусеву пришлось бежать из России, когда против него были выдвинуты уголовные обвинения. В интервью по телефону Гусев заявил, что его фирма просто обрабатывала платежи в пользу HzMedia на тот момент, когда были выдвинуты обвинения, и что партнерских отношений с HzMedia он не имеет. Президент Азербайджана на прошлой неделе встретился с представителями NATO для обсуждения проблем кибер-безопасности, но лично я сомневаюсь, что защита кошельков рядовых американцев всерьез стоит на повестке дня. Согласно Книге фактов ЦРУ, Азербайджан является богатой ресурсами, но, в целом, бедной страной (с крупными экологическими проблемами). Коррупция в Азербайджане вездесуща, и она играет роль основного канала для организации нелегального трафика (речь идет и о людях тоже). Зная объемы онлайновых платежей, проходящих через азербайджанские банки, остается лишь поражаться, почему Visa и MasterCard позволяли им проводить расчеты между учреждениями в Соединенных Штатах и в Европе.
musavat.com
