[ad_1]

Un flux constant de violations de cartes chez les détaillants, les restaurants et les hôtels a inondé les marchés souterrains d’une surabondance historique de données de cartes de débit et de crédit volées. Aujourd’hui, il existe au moins des centaines de sites en ligne vendant des données de compte volées, mais seule une poignée d’entre eux courtisent activement les acheteurs en gros et les réseaux du crime organisé. Face à un marché d’acheteurs, ces boutiques d’élite se distinguent en mettant l’accent sur les programmes de fidélité, les remises pour les acheteurs fréquents, les garanties de remboursement et tout simplement un bon service client.

Une publicité pour de nouvelles cartes volées sur Joker's Stash.

Une publicité pour de nouvelles cartes volées sur Joker’s Stash.

L’article d’aujourd’hui examine l’appareil complexe de mise en réseau et de marketing derrière « Cachette du Joker», un centre virtuel tentaculaire de données de cartes volées qui a servi de point de distribution pour les comptes compromis dans de nombreuses violations de cartes de détail divulguées pour la première fois par BreachTrace au cours des deux dernières années, y compris Hilton Hotels et Bebe Stores.

Depuis son ouverture au début d’octobre 2014, Joker’s Stash a attiré des dizaines de clients qui ont dépensé cinq et six chiffres au magasin de cartes. Tous les clients achètent des données de carte qui seront transformées en cartes contrefaites et utilisées pour acheter frauduleusement des cartes-cadeaux, des appareils électroniques et d’autres biens chez des détaillants à grande surface comme Cible et Wal-Mart.

Contrairement à tant de sites de cardage qui revendent principalement des cartes volées par d’autres pirates, Joker’s Stash affirme que toutes ses cartes sont des « dépotoirs exclusifs et auto-piratés ».

« Cela signifie – dans notre boutique, vous ne pouvez acheter que nos propres affaires, et nos affaires, vous ne pouvez les acheter que dans notre boutique – nulle part ailleurs », a expliqué Joker’s Stash dans un message d’introduction sur un forum de cardage en octobre 2014.

« Je ne veux pas donner le nom de la victime ici, et mon frère, ce n’est que le début[ning], nous avons déjà fait plusieurs autres grosses brèches – beaucoup de choses arrivent, restez à l’écoute, consultez les nouvelles ! » le Joker a continué, en réponse aux membres établis du forum qui bizutaient le nouveau gars. Il a continué:

« Je vous promets – dans quelques jours, vous changerez complètement d’avis et n’achèterez que chez moi. J’ajouterai une autre nouvelle base de données zéro jour vierge absolue avec un taux valide de 100 % + 1. Lisez les dernières nouvelles sur http://breachtrace.com/ – cette nouvelle base énorme sera disponible dans quelques jours seulement chez Joker’s Stash.

En tant qu’entreprise, Joker’s Stash a tenu sa promesse. C’est maintenant l’un des magasins de cartes les plus animés sur Internet, ajoutant souvent des centaines de milliers de cartes fraîchement volées à la vente chaque semaine.

Véritable paradis des pirates offshore, son port d’attache est un nom de domaine se terminant par « .sh » Point-sh est le domaine de premier niveau de code de pays (ccTLD) attribué à la petite île volcanique et tropicale de Sainte-Hélène, mais n’importe qui peut enregistrer un domaine se terminant par point-sh. Sainte-Hélène est sur l’heure de Greenwich (GMT) – le même fuseau horaire utilisé par ce site Web de cardage. Cependant, il est hautement improbable qu’une partie de cette opération de fraude se déroule à Sainte-Hélène, un territoire britannique éloigné de l’océan Atlantique Sud qui compte une population d’un peu plus de 4 000 habitants.

Ce magasin de fraude comprend un système de remise intégré pour les commandes plus importantes : 5 % pour les clients qui dépensent entre 300 $ et 500 $ ; 15 % de réduction pour les fraudeurs dépensant entre 1 000 $ et 2 500 $ ; et 30% de réduction pour les clients qui rechargent leurs soldes de bitcoins à l’équivalent de 10 000 $ ou plus.

Pour ses clients « partenaires » dépensiers, Joker’s Stash attribue trois noms de domaine personnalisés à chaque partenaire. Une fois ces partenaires connectés, les différents domaines de 3 mots sont affichés en haut du tableau de bord de leur site, et l’utilisateur est encouragé à n’utiliser que ces trois domaines personnalisés pour accéder à la boutique de cartes à l’avenir (voir capture d’écran ci-dessous). Plus d’informations sur ces trois domaines dans un instant.

Le tableau de bord d'un client de Joker's Stash qui a dépensé plus de 10 000 $ pour acheter des cartes de crédit volées sur le site.

Le tableau de bord d’un client de Joker’s Stash qui a dépensé plus de 10 000 $ pour acheter des cartes de crédit volées sur le site. Cliquez sur l’image pour l’agrandir.

REMBOURSEMENTS ET BONUS DE FIDÉLISATION

Les clients paient les cartes volées en utilisant Bitcoin, une monnaie virtuelle. Toutes les ventes sont définitives, bien que certains lots de cartes volées en vente chez Joker’s Stash soient assortis d’une politique de remplacement – une courte période allant de quelques minutes à quelques heures, généralement – dans laquelle les acheteurs peuvent demander des cartes de remplacement pour celles qui reviennent comme refusées. pendant cette période de remplacement.

Comme de nombreux autres magasins de cartes, Joker’s Stash propose également une option de vérification de carte à la carte permettant aux clients d’utiliser une police d’assurance lors de l’achat de cartes volées. Ces services de vérification reposent généralement sur plusieurs comptes marchands de cartes de crédit légitimes et compromis qui peuvent être utilisés pour traiter de façon circulaire une petite charge sur chaque carte que le client souhaite acheter pour tester si la carte est toujours valide. Les clients reçoivent un crédit automatique sur le solde de leur panier pour toutes les cartes achetées qui reviennent comme refusées lorsqu’elles sont exécutées par le service de vérification du site.

Ce site de cardage utilise également un système de notation unique pour les clients, soi-disant pour empêcher les abus du service et pour fournir ce que les propriétaires de ce magasin appellent « un programme de fidélité pour les partenaires honnêtes avec un dossier de partenaire éprouvé ».

Selon les administrateurs de Joker’s Stash, les clients avec des notes plus élevées sont informés à l’avance des nouveaux lots de cartes volées mis en vente, des demandes d’assistance prioritaires, ainsi que du temps supplémentaire pour obtenir des remboursements sur les cartes qui sont revenues comme « refusées » ou fermé par la banque émettrice peu de temps après l’achat.

Pour déterminer le taux de fidélité d’un client, le système calcule la somme de tous les acomptes des clients moins le total des remboursements demandés par le client.

« Donc, si vous avez déposé 10 000 USD et remboursé des articles pour 3 000 USD, votre note est : 10 000 – 3 000 = 7 000 = 7 000 [Gold rating – you are the king]», explique Joker’s Stash. « Si tel est le cas, de nouvelles bases seront disponibles pour votre achat plus tôt que pour les autres grâce à votre note élevée. Cela vous donne la possibilité de voir et d’acheter de nouvelles mises à jour avant que d’autres personnes ne puissent le faire, ainsi que d’autres privilèges comme le support prioritaire.

Cet utilisateur a une cote stellaire de plus de 16 000, car il a déposé plus de 20 000 $ et n'a demandé des remboursements que pour 3 500 $ de cartes volées.

Cet utilisateur a une cote stellaire de plus de 16 000, car il a déposé plus de 20 000 $ et n’a demandé des remboursements que pour 3 500 $ de cartes volées. Cliquez sur l’image pour l’agrandir.

HAUTS ROULEURS

Il semblerait que Joker’s Stash ait attiré un grand nombre de clients fortunés, et bon nombre d’entre eux se qualifient pour la catégorie élite « full stash » réservée aux clients qui ont déposé plus de 10 000 $ et n’en ont pas demandé plus. qu’environ 30 % de ces cartes doivent être remboursées ou remplacées. BreachTrace a identifié des centaines de ces domaines de trois mots que le site de la carte a attribués aux clients. Ils étaient pour la plupart tous enregistrés auprès d’un éventail de bureaux d’enregistrement de domaines au cours de l’année écoulée, et presque tous utilisent (ab) les services d’une société d’hébergement cloud basée dans le New Jersey appelée Vultr Holdings.

Tous les clients – qu’il s’agisse de partenaires de haut niveau ou de voyous de rue une carte à la fois – reçoivent des instructions sur la façon de se connecter au site avec un logiciel qui relie les utilisateurs au Réseau Tor. Tor est un réseau d’anonymat gratuit qui achemine le trafic crypté de ses utilisateurs entre plusieurs sauts à travers le monde pour masquer leur emplacement réel en ligne.

Les administrateurs du site souhaitent sans aucun doute que tous les clients utilisent la version Tor du site, par opposition aux domaines accessibles sur Internet ouvert. Les noms de domaine des sites de cardage sont tout le temps saisis, mais il est beaucoup plus difficile de découvrir et de saisir un site ou un lien hébergé sur Tor.

De plus, changer de nom de domaine tout le temps place les clients des magasins de cartes dans la ligne de mire des hameçonneurs et autres escrocs. Alors que les clients recherchent frénétiquement le nom de domaine mis à jour de la boutique, les fraudeurs interviennent pour profiter de la confusion et promouvoir des versions contrefaites du site qui hameçonnent les identifiants de compte de criminels imprudents.

Nicolas Tisserandchercheur senior en réseaux et sécurité pour le Institut international d’informatique (ICSI), a déclaré qu’il semble que le trafic des domaines à trois mots que Joker’s Stash attribue à chaque utilisateur soit acheminé via les mêmes serveurs cachés de Tor.

« Ce qu’il semble faire, c’est lancer un proxy Nginx sur chaque adresse Internet qu’il utilise pour héberger les ensembles de domaines donnés aux utilisateurs », a déclaré Weaver. « Cela communique avec son serveur principal, qui est également accessible en tant que l’un des deux services cachés de Tor. Et les deux sont le même serveur : si vous ajoutez à votre panier dans Tor, il apparaît instantanément dans la version clearnet du site, et il en va de même avec la suppression des cartes. Ma conclusion est donc que clearnet et Tornet sont le même serveur en arrière-plan.

En acheminant tous les domaines partenaires de trois mots via un serveur caché sur Tor, l’administration de Joker’s Stash semble comprendre que de nombreux clients ne peuvent pas être dérangés pour exécuter Tor et s’ils sont obligés de le faire, ils se rendront simplement sur un site concurrent qui permet un accès direct via un lien régulier. , connexion Internet non basée sur Tor.

« Ma conjecture est [Joker’s Stash] aimeraient que tout le monde aille sur Tor, mais ils savent que Tor est pénible, alors ils utilisent le clearnet parce que c’est ce que les clients demandent », a déclaré Weaver.

Fait intéressant, cette configuration suggère plusieurs graves défaillances de sécurité opérationnelle de la part du personnel de Joker’s Stash. Par exemple, alors que Tor crypte les données à chaque étape du réseau, aucun trafic partenaire provenant de l’un des domaines personnalisés à trois mots n’est crypté par défaut lors de son acheminement vers la version Tor du site. À leur crédit, les administrateurs du site exhortent les utilisateurs à modifier ce paramètre par défaut en remplaçant http:// par https:// devant leurs domaines privés.

Une page web répertorie les différentes manières d'accéder au forum carding sur le clearnet ou via Tor.  Les liens ont été supprimés.

Une page web répertorie les différentes manières d’accéder au forum carding sur le clearnet ou via Tor. Les liens ont été supprimés.

J’en aurai plus sur Joker’s Stash dans un prochain article. En attendant, si vous avez apprécié cette histoire, jetez un coup d’œil à une plongée approfondie que j’ai faite l’année dernière dans « McDumpals », un autre bazar de fraude par carte de crédit qui s’adresse aux acheteurs en gros et se concentre fortement sur le service client.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *