セキュリティ企業のRSAセキュリティは2010年8月31日、フィッシング詐欺などで盗んだ情報を売買する「闇市場」サイト(オンラインフォーラム)の現状を報告した。闇市場サイトでは、ユーザーの信頼を確保するために、さまざまなルールやサービスを導入しているという。
同社では、盗んだ個人情報や犯罪用のツールなどを売買する闇市場サイトに“潜入”し、その実態を調査している。闇市場サイトの特徴の一つは、「正会員による紹介制度」を導入していること。闇市場サイトのほとんどは会員制であり、会員にならないと売買情報などにアクセスできない。そして、会員の紹介がなければ、会員になれないようにしている。
会員間の取引を円滑に進めるために、エスクロー(預託)サービスも導入している。情報(商品)を購入したいユーザーは代金を、情報を販売したいユーザーはその情報を闇市場に預ける。そして、取引が成立したら、サイト運営者は代金と情報をそれぞれ渡す。これにより、代金や情報がだまし取られることを防げる。
偽情報の販売などが行われないように、情報提供者(販売者)を評価する制度もある。闇市場の中心メンバーが情報提供者をレビューし、信用に足ると判断した場合には、お墨付きを与えるという。
闇市場で売買される情報の相場は次の通り。まずクレジットカード情報については、1件当たり1.5ドルから3ドル(図)。この情報には、クレジットカード番号だけではなく、有効期限や請求先住所やカードの名義人情報、カード裏面に記載されたセキュリティコードなども含まれる。このためこの情報を購入すれば、カードがなくても、不正にオンラインショッピングすることができるという。
クレジットカードを偽造するために必要なデータ(「トラック2データ」あるいは「DUMPS」などと呼ばれる)は、通常のカードなら15ドルから20ドル。ゴールドカードやプラチナカードになると、ロシア語の闇市場サイトでは20ドルから80ドル、英語やドイツ語の闇市場サイトでは80ドルから100ドルだという。
オンラインバンクのログイン情報は、ロシア語の闇市場サイトでは50ドルから1000ドル、英語やドイツ語の闇市場サイトでは50ドルから300ドル。価格は、口座の種類や残高によって変わるという。
