RSAセキュリティは2010年8月31日、オンライン犯罪の最新動向を紹介する月例会を開催し、犯罪者市場で取引される情報の相場を報告した。Web会議室を介して、クレジット・カード情報が1.5ドル、オンライン・バンキングのログイン情報が50ドル程度から取引されている。
犯罪者向けに会員制のWebフォーラム(会議室)があり、クレジット・カード情報やオンライン・バンキング情報が取引されている。これらのフォーラムは、情報の売り手と買い手をつなぎ、エスクロー機能(代金と商品の仲介機能)や出品者の評価機能などを提供する。米RSA Securityでは、いくつかの英語、ドイツ語、ロシア語のサイトを発見している。
取引される情報の形態は、クレジット・カード関連商品の場合、大きく2つ。(1)1つは、CVV2データ・セットと呼ぶ、オンラインでクレジット・カードを利用するために必要な情報一式(16桁の番号、CVV2コード、有効期限、カード名義、請求先住所)。(2)もう1つは、DUMPSと呼ぶ、偽造クレジット・カードを作るための、磁気ストライプ情報に含まれるデータである。これらに加えて、母方の旧姓など、本人確認のためのデータがオプション商品化されている。
クレジット・カード情報1.5ドル、オンライン・バンクのログイン情報50ドル
これらのデータの相場は、以下の通り。全般に、英語やドイツ語のサイトよりも、ロシア語のサイトの方が若干安価である。ロシア語サイトにおける情報1件あたりの相場は、CVV2データ・セットが1.5ドル、DUMPSは、基本カードが15~20ドル、ゴールド/プラチナ・カードが20~80ドル、法人用カードが30~40ドル。本人確認用のデータは、社会保障番号が1~3ドル、母方の旧姓が5~6ドル、生年月日が1~3ドル、など。
クレジット・カード情報に加えて、オンライン・バンキングのログイン情報も商品化されている。ロシア語サイトにおける情報1件あたりの相場は、ログインに必要な情報一式(ユーザー名、パスワード、秘密の質問に対する答えなど)が、50~1000ドル。口座保有者に関する詳細情報(ログイン情報に加えて、メール・アドレスやクレジット・カード情報、各種個人情報など)は、5~20ドル。
なお、上記のデータは、米RSA Securityがイスラエルで運営するAFCC(Anti-Fraud Command Center、オンライン不正対策指令センター)が報告したレポートをベースに、RSAセキュリティが月例会を通じて報告したもの。RSAセキュリティは、毎月1回、オンライン犯罪に関するトピックを報告している。