Serveur d'impression

La cachette du Real Joker va-t-elle se révéler? – Bien choisir son serveur d impression

Par Titanfall , le 5 janvier 2020 - 17 minutes de lecture

Depuis aussi longtemps que les escrocs existent, les voleurs opportunistes se spécialisent également dans l'arnaque d'autres escrocs. C'est l'histoire d'un groupe de concepteurs de sites Web pakistanais qui ont apparemment gagné leur vie de manière impressionnante en se faisant passer pour certains des marchés de «cardage» les plus populaires et les plus connus, ou des magasins en ligne qui vendent des cartes de crédit volées.

Une publicité pour les nouvelles cartes volées sur Joker’s Stash.

Un site de cardage très populaire qui a été présenté en profondeur à KrebsOnSecurity – Joker’s Stash – se vante que les millions de comptes de cartes de crédit et de débit à vendre via leur service ont été volés directement aux marchands.

Autrement dit, les personnes qui dirigent Joker’s Stash disent qu’elles piratent des marchands et vendent directement des données de cartes volées à ces marchands. Joker’s Stash a été lié à plusieurs infractions récentes au commerce de détail, notamment celles de Saks Fifth Avenue, Lord and Taylor, Bebe Stores, Hilton Hotels, Jason’s Deli, Whole Foods, Chipotle et Sonic. En effet, avec la plupart de ces violations, les premiers signes que l'une des entreprises a été piratée ont été lorsque les cartes de crédit de leurs clients ont commencé à être mises en vente sur Joker’s Stash.

Joker’s Stash est présent sur plusieurs forums de cybercriminalité et ses propriétaires utilisent ces comptes de forum pour rappeler aux clients potentiels que son site Web – jokerstash[dot]bazar – est le seul moyen d'accéder au marché.

Les administrateurs avertissent constamment les acheteurs de savoir qu'il existe de nombreux magasins de sosies mis en place pour voler les connexions à la vraie Joker’s Stash ou pour décoller avec les fonds déposés auprès de la boutique de cardage imposteur comme condition préalable à l'achat.

Mais cela n'a pas empêché un éminent chercheur en sécurité (et non cet auteur) de plonger récemment 100 $ en bitcoins sur un site qui, selon lui, était géré par Joker’s Stash (jokersstash[dot]su). Au lieu de cela, les propriétaires du site imposteur ont déclaré que le dépôt minimum pour afficher les données des cartes volées sur le marché était passé à 200 $ en bitcoins.

Le chercheur, qui a demandé à ne pas être nommé, a déclaré qu'il avait obligé, avec un dépôt supplémentaire de 100 $ en bitcoins, de constater que son nom d'utilisateur et son mot de passe pour la boutique de cartes ne fonctionnaient plus. Il avait été dupé par des escrocs qui escroquent des escrocs.

En fait, avant d’entendre ce chercheur, j’avais reçu une montagne de recherches de Jett Chapman, un autre chercheur en sécurité qui a juré avoir démasqué l'identité réelle des personnes derrière l'empire de cardage Joker’s Stash.

La recherche de Chapman, détaillée dans un rapport de 57 pages partagé avec KrebsOnSecurity, a pivoté à partir d'informations publiques provenant du même jokersstash[dot]su qui a arraché mon ami chercheur.

"Je suis allé sur quelques forums de cybercriminalité où les gens qui ont utilisé jokersstash[dot]su qui étaient confus quant à qui ils étaient vraiment », a déclaré Chapman. "Beaucoup d'entre eux ont laissé des commentaires disant qu'ils sont des escrocs qui demanderont simplement de l'argent à déposer sur le site, et vous ne les entendrez plus jamais."

Mais la conclusion du rapport de Chapman – que jokersstash en quelque sorte[dot]su était lié aux vrais criminels qui dirigeaient Joker’s Stash – n’était pas tout à fait exact, bien qu’il ait été documenté par des experts et étudié de manière approfondie. Donc, avec la bénédiction de Chapman, j'ai partagé son rapport avec le chercheur qui avait été victime d'une arnaque et une source d'application de la loi qui suivait Joker’s Stash.

Les deux ont confirmé mes soupçons: Chapman avait déniché un vaste réseau de sites enregistrés et mis en place depuis plusieurs années pour usurper l'identité des plus grands et des plus anciens syndicats criminels de vol de cartes de crédit sur Internet.

LA VÉRITABLE STOCK DE JOKER

Le véritable Joker's Stash ne peut être atteint qu'après l'installation d'une extension de navigateur connue sous le nom de «blockchain DNS». Ce composant est nécessaire pour accéder à tous les sites se terminant par les noms de domaine de premier niveau .bazar, .bit (Namecoin), .coin,. lib et .emc (Emercoin).

La plupart des sites Web utilisent le système mondial de noms de domaine (DNS), qui sert de sorte d'annuaire téléphonique pour Internet en traduisant les noms de sites Web conviviaux (exemple.com) en adresses Internet numériques plus faciles à gérer pour les ordinateurs.

Le DNS standard mappe les adresses Internet aux domaines en s'appuyant sur une série de recherches hiérarchiques distribuées. Si un serveur ne sait pas comment trouver un domaine, ce serveur demande simplement les informations à un autre serveur.

Les systèmes DNS basés sur la blockchain diffusent également ces informations de mappage de manière distribuée, bien que via une méthode peer-to-peer. Les entités qui exploitent des domaines de premier niveau basés sur la blockchain (par exemple, .bazar) ne répondent à aucune autorité centrale, comme Internet Corporation for Assigned Names and Numbers (ICANN), qui supervise le DNS mondial et l'espace des noms de domaine. Cela rend potentiellement ces domaines beaucoup plus difficiles à supprimer pour les services répressifs.

Ce lot de quelque cinq millions de cartes mises en vente le 26 septembre 2017 sur le (vrai) site de cardage Joker’s Stash a été lié à une brèche à Sonic Drive-In

Lecture sombre explique plus en détail: «Lorsqu'une personne enregistre un .bit – ou un autre domaine basé sur la blockchain – elle peut le faire en quelques étapes en ligne seulement, et le processus ne coûte que quelques sous. L'enregistrement de domaine n'est pas associé au nom ou à l'adresse d'un individu, mais à un hachage chiffré unique de chaque utilisateur. Cela crée essentiellement le même système anonyme que Bitcoin pour l'infrastructure Internet, dans lequel les utilisateurs ne sont connus que par leur identité cryptographique. »

Et les cybercriminels en ont pris note. Selon l'entreprise de sécurité FireEye, au cours de l'année dernière, le nombre d'acteurs de menaces a commencé à augmenter la prise en charge des domaines blockchain dans leurs outils malveillants.

LA FAUSSE JOKER'S STASH

En revanche, la fausse version de Joker’s Stash – jokersstash[dot]su – existe sur le Web clair et affiche une liste des domaines Joker de Stash «fiables» qui peuvent être utilisés pour accéder au marché des imposteurs. Ces listes sont courantes sur les pages de connexion des sites de cardage et autres sites de cybercriminalité qui ont tendance à perdre fréquemment leur domaine lorsque des personnes faisant du bien sur Internet les signalent aux autorités. Le rappel quotidien aide les voleurs de cartes de crédit à trouver facilement le nouveau domaine si le domaine principal est saisi par les forces de l'ordre ou le registraire de domaine du site.

Jokersstash[dot]su répertorie les sites miroirs au cas où le domaine générique deviendrait inaccessible.

La plupart des domaines de l'image ci-dessus sont hébergés sur la même adresse Internet: 190.14.38.6 (Offshore Racks S.A. au Panama). Mais Chapman a constaté que la plupart de ces domaines correspondent à une poignée d'adresses e-mail, y compris domain@paysafehost.com, fkaboot@gmail.com, et zanebilly30@gmail.com.

Chapman a constaté que l'ajout de cartes de crédit à son panier dans le faux site Joker's Stash avait fait apparaître ces mêmes cartes dans son panier lorsqu'il avait accédé à son compte dans l'un des domaines alternatifs répertoriés dans la capture d'écran ci-dessus, suggérant que les sites étaient tous connectés à la même base de données principale.

L'adresse e-mail fkaboot@gmail.com est liée au nom ou à l'alias "John Kelly», Ainsi que 35 domaines, selon DomainTools (La liste complète est ici). La plupart des sites de ces domaines empruntent des noms et des logos à des sites établis de fraude par carte de crédit, y compris VaultMarket, T12Shop, BriansClub (qui utilise la tête de la vôtre vraiment sur un crabe en mouvement pour annoncer ses cartes volées); et le forum sur la cybercriminalité, désormais disparu, Infraud.

Domaintools indique que l'adresse domain@paysafehost.com est également mappée à 35 domaines, y compris des domaines similaires pour les principaux sites de cardage Bulba, GoldenDumps, ValidShop, McDucks, M. Bin, Popeye et le forum sur la cybercriminalité Omerta.

L'adresse zanebilly30@gmail.com est connectée à 36 domaines qui présentent bon nombre des mêmes marques criminelles usurpées d'identité que les deux premières listes.

Le domaine «paysafehost.com» ne répond pas pour le moment, mais jusqu'à très récemment, il a redirigé vers un site qui a tenté d'escroquer ou de phishing des clients cherchant à acheter des données de carte de crédit volées à VaultMarket. Cela ressemble plus ou moins à la vraie page de connexion de VaultMarket, mais Chapman a remarqué que dans le coin inférieur droit de l'écran se trouvait un service de chat Zendesk sollicitant des questions des clients.

La création d'un compte sur paysafehost.com (le faux site VaultMarket) a révélé un site qui ressemblait à VaultMarket mais qui affichait par ailleurs massivement des annonces pour un autre service de cardage – isellz[dot]cc (l'un des domaines enregistrés auprès de domain@paysafehost.com).

Ce même service de chat Zendesk a également été intégré à la page d'accueil de jokersstash[dot]su.

Et sur isellz[dot]cc:

Remarquez le même client de chat Zendesk dans le coin inférieur droit de la page d'accueil d'Isellz.

Selon Farsight Security, une entreprise qui mappe les connexions historiques entre les adresses Internet et les noms de domaine, plusieurs autres domaines intéressants ont utilisé paysafehost[dot]com que leurs serveurs DNS, y compris cvv[dot]kz (CVV signifie la valeur de vérification de la carte et se réfère aux numéros de carte de crédit volés, aux noms et à l'adresse du titulaire de carte qui peuvent être utilisés pour mener une fraude sur le commerce électronique).

Les trois domaines – CVV[dot]kz et isellz[dot]cc et paysafehost[dot]La liste com dans leur inscription sur le site Web enregistre l'adresse e-mail xperiasolution@gmail.com, le site xperiasol.comet le nom "Bashir Ahmad. "

SOLUTIONS XPERIA

La recherche en ligne de l'adresse xperiasolution@gmail.com révèle une annonce d'aide recherchée sur le Qatar Living Jobs site à partir d'octobre 2017 pour un administrateur système indépendant. L'annonce a été placée par l'internaute "junaidky", Et donne l'adresse e-mail xperiasolution@gmail.com aux candidats intéressés à contacter.

Chapman dit qu'à ce stade de ses recherches, il a remarqué que xperiasolution@gmail.com était également utilisé pour enregistrer le domaine xperiasol.info, qui pendant plusieurs années a été hébergé sur le même serveur qu'une poignée d'autres sites, tels que xperiasol.com – le site Web officiel Xperia Solution (ce site propose également un client de chat de bureau Zen dans la partie inférieure droite de la page d'accueil).

Le site Web de Xperiasol.com indique que la société est une société de développement de sites Web et un registraire de domaine à Islamabad, au Pakistan. La page «Rencontrez notre équipe» du site indique que le fondateur et PDG de la société est un gars nommé Muhammad Junaid. Un autre homme représenté comme Yasir Ali est le chef de projet de l'entreprise.

Les meilleurs chiens de Xperia Sol.

Nous reviendrons sur ces deux individus dans un instant. Xperiasol.info ne répond plus, mais il n'y a pas longtemps, la page d'accueil a montré plusieurs répertoires de fichiers ouverts:

En cliquant dans le répertoire des projets et en explorant un projet daté du 8 février 2018, une sorte d'application de chat est en cours de développement. Rappelons que des dizaines de faux domaines de cardage mentionnés ci-dessus ont été enregistrés auprès d'un "John Kelly" à fkaboot@gmail.com. Jetez un œil au nom à côté du site Web de l'application chatroom qui a été archivé sur xperiasol.info:

Yasir Ali, le chef de projet de Xperiasol, pourrait-il être la même personne qui a enregistré autant de faux domaines de cardage? Que savons-nous d'autre sur M. Ali? Il semble qu'il dirige une autre entreprise appelée Agile: Institut des technologies de l'information. Domaine Agile – aiit.com.pk – a été enregistré auprès de Xperia Sol Technologies en 2016 et hébergé sur le même serveur.

Qui d'autre que nous connaissons en plus de M. Ali est répertorié sur la page Agile «Rencontrez l'équipe»? Pourquoi M. Muhammad Junaid, bien sûr, le PDG et fondateur de Xperia Sol.

Remarquez le contenu de l'espace réservé «lorem ipsum». Cela peut être vu sur les sites Web des «clients» de Xperia Sol.

Chapman a partagé des pages de documentation montrant que la plupart des «témoignages de clients» prétendument des clients de conception Web de Xperia Sol semblent être des sites à moitié finis avec beaucoup de liens brisés et du contenu d'espace réservé «lorem ipsum» (comme c'est le cas avec aiit.com Site Web .pk illustré ci-dessus).

Un autre «client précieux» répertorié sur la page d'accueil de Xperia Sol est Softlottery[dot]com (auparavant softlogin[dot]com). Ce site semble être une entreprise qui vend des modèles de conception de sites Web, mais il répertorie son adresse comme Chambre Suite Marin V124, DB 91, Someplace 71745 Earth.

Softlottery / Softlogin propose un modèle de site Web «entreprise» qui comprend un slogan provenant d'un forum majeur sur les brevets.

Parmi les modèles de conception d'entreprise «impressionnants» que Softlottery a à vendre, l'un est vaguement basé sur une devise qui est apparue sur plusieurs sites de cardage: «Nous sommes ceux qui nous sommes: forum vérifié, personnes vérifiées, offres sérieuses». le forum de cybercriminalité le plus connu utilisant cette devise est Omerta (rappelons ci-dessus que le forum Omerta est une autre marque usurpée par ce groupe).

Terre de fleurs, avec l'adresse Web flowerlandllc.com est également répertorié comme un client Xperia Sol heureux et est hébergé par Xperia Sol. Mais la plupart des liens sur ce site sont morts. Plus important encore, le contenu du site semble avoir été retiré du site Web d'une véritable entreprise de soins des fleurs dans le Michigan appelée myflowerland.com.

Zalmi-TV (zalmi.tv) est censé être un partenaire médiatique de Xperia Sol, mais encore une fois, le site hébergé par Xperia est à moitié terminé et plein de contenu générique «lorem ipsum».

LE CERVEAU?

Mais qu'en est-il du fondateur de Xperia Sol, Muhammad Junaid, demandez-vous? M. Junaid est connu sous plusieurs alias, y compris son nom de scène, "Masoom Parinda," alias. "Master Mind). Alors que Chapman a mis au jour ses recherches, Junaid a joué dans certains films d'action de films B au Pakistan, et Masoom Parinda est le nom de son personnage.

La page fan de Masoon Parinda, le personnage joué par Muhammad Junaid Ahmed.

M. Junaid porte également le nom de Junaid Ahmad Khan, et Muhammad Junaid Ahmed. Ce dernier est celui inclus dans un itinéraire de vol que Junaid a publié sur sa page Facebook en 2014.

Il y a aussi quelques photos intéressantes de ses différentes voitures – qui ont toutes le surnom de Masoom Parinda "Master Mind" écrit sur la fenêtre arrière. Il y a aussi autre chose sur la lunette arrière de chaque voiture: une photo d'un scorpion noir et rouge.

Rappelez-vous le logo qui a été utilisé en haut d'Isellz[dot]cc, le principal site de fraude par carte de crédit lié à xperiasolutions@gmail.com. Il comprend un scorpion géant noir et rouge:

Le site Web isellz présente un scorpion sous forme de logo.

J'ai contacté M. Junaid / Khan via sa page Facebook. Peu de temps après, son profil Facebook a disparu. Mais pas avant que KrebsOnSecurity ait réussi à obtenir une copie de la page remontant à plusieurs années. M. Junaid / Khan est apparemment ami avec un homme du coin nommé Bashar Ahmad. Rappelons qu'un «Bashar Ahmad» était le nom lié aux enregistrements de domaine – CVV[dot]kz et isellz[dot]cc et paysafehost[dot]com – et à l'adresse e-mail xperiasolution@gmail.com.

M. Ahmed a également une page Facebook datant de plus de sept ans. Dans l'un de ces articles, il publie une photo d'un scorpion très similaire à celui d'Isellz[dot]cc et sur les automobiles de M. Khan.

Capture d'écran des publications de Bashir Ahmad sur Facebook.

À la fin de ses recherches, Chapman a déclaré avoir découvert une connexion finale et discordante entre Xperia Sol et le site de cardage isellz[dot]cc: Lorsque les clients isellz ont du mal à utiliser le site, ils peuvent soumettre un ticket d'assistance. Où va ce ticket d'assistance? Croiriez-vous à xperiasol@gmail.com? Cliquez sur l'image ci-dessous pour agrandir.

La page d'assistance du site de cardage isellz[dot]cc pointe vers Xperia Sol. Cliquez pour agrandir.

Il se pourrait que toutes ces preuves renvoyant à Xperia Sol ne soient qu'une coïncidence ou un plan d'assassinat de personnages élaboré élaboré par l'un des concurrents de la société. Ou peut-être que M. Junaind / Khan recherche simplement un nouveau rôle de pirate dans un thriller cinématographique pakistanais à venir:

M. Junaid / Khan, dans une promotion en ligne pour un film sur la criminalité.

À bien des égards, la création d'un réseau de faux sites de cardage est la cybercriminalité parfaite. Après tout, personne ne va appeler les flics sur les gens qui gagnent leur vie en arnaquant les cybercriminels. Personne ne va non plus aider le pauvre meunier qui se fait snooker par l'un de ces faux sites de cardage. Caveat Emptor!

*** Ceci est un blog syndiqué de Security Bloggers Network de Krebs sur la sécurité rédigé par BrianKrebs. Lisez le message d'origine sur: https://krebsonsecurity.com/2018/05/will-the-real-jokers-stash-come-forward/

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.