El premio a la "Oferta de ciberdelincuencia más importante" de este año es Accountz Club, una nueva tienda de ciberdelincuencia que vende acceso a cuentas robadas en servicios creados para los ciberdelincuentes, entre los que se incluyen tiendas que venden tarjetas de pago e identidades robadas, herramientas de spam, servicios de bombardeo telefónico y de correo electrónico, y aquellas que venden cookies de autenticación para una serie de sitios web populares.
Los delincuentes que estafan a otros delincuentes es un tema constante en el submundo de la ciberdelincuencia; el eslogan de Accountz Club - "la mejor tienda de autoservicio para las cuentas de tus tiendas favoritas"- no hace más que normalizar esta actividad al poner a la venta los inicios de sesión robados a los usuarios de varias tiendas de ciberdelincuencia a una fracción de los saldos de sus cuentas.
El sitio dice que vende cuentas "crackeadas", o aquellas que utilizaron contraseñas que podrían ser fácilmente adivinadas o enumeradas por herramientas automatizadas. Todas las credenciales que vende Accountz dan acceso a servicios que, a su vez, venden el acceso a información robada o a bienes secuestrados, como en el caso de las "tiendas de bots" que revenden el acceso a ordenadores infectados.
Un ejemplo es Genesis Market, donde los clientes pueden buscar credenciales robadas y cookies de autenticación de una amplia gama de destinos populares en línea. Genesis ofrece incluso un navegador web personalizado en el que se pueden cargar las cookies de autenticación de los ordenadores bots y acceder directamente a la cuenta sin tener que introducir un nombre de usuario o una contraseña ni complicarse con la autenticación multifactor.
Accountz está vendiendo actualmente cuatro inicios de sesión diferentes de Genesis por alrededor del 40-50 por ciento de sus saldos no utilizados. Genesis obtiene su inventario de ordenadores bots y logins robados principalmente de revendedores especializados en el despliegue de malware de robo de información a través de correo electrónico y sitios web con trampas. Del mismo modo, parece que Accountz también obtiene gran parte de sus existencias de un puñado de revendedores, que presumiblemente son los mismos que se dedican a la ciberdelincuencia de cuentas de servicio.
En esencia, los clientes de Accountz están pagando por un acceso ilícito a servicios de ciberdelincuencia que venden acceso a recursos comprometidos de los que se puede abusar para cometer ciberdelitos.
Es más, relativamente pocas tiendas de ciberdelincuencia en línea ofrecen a sus usuarios algún tipo de autenticación multifactor. Esto se debe probablemente a que muy pocos clientes proporcionan su información de contacto real cuando se registran. Como resultado, a menudo es mucho más fácil para los clientes crear simplemente una nueva cuenta que recuperar el control de una cuenta hackeada, o cambiar una contraseña olvidada. Además, la mayoría de las tiendas sólo disponen de herramientas rudimentarias para bloquear los intentos automáticos de inicio de sesión y la actividad de cracking de contraseñas.
Será interesante ver si alguna de las tiendas de cibercrimen más representadas en los inicios de sesión a la venta en Accountz comienza a contraatacar. Después de todo, vaciar los saldos de las cuentas de los clientes y bloquear a los usuarios es probable que aumente los costes de asistencia al cliente para estas tiendas, disminuya la satisfacción de los clientes y quizás incluso dañe su reputación en los foros de delincuencia donde venden sus productos.