Articles

Krebs on Security

Ein stetiger Strom von Kartenverstößen bei Einzelhändlern, Restaurants und Hotels hat die Untergrundmärkte mit einer historischen Flut gestohlener Debit- und Kreditkartendaten überflutet. Heute gibt es mindestens Hunderte von Websites, die gestohlene Kontodaten online verkaufen, aber nur eine Handvoll von ihnen hofiert aktiv Großabnehmer und organisierte Kriminalitätsringe. Angesichts des Käufermarktes zeichnen sich diese Elite-Shops durch Treueprogramme, Vielkäuferrabatte, Geld-zurück-Garantien und einen einfach guten Kundenservice aus.

Eine Anzeige für neue gestohlene Karten auf Joker's Stash.'s Stash.

Eine Anzeige für neue gestohlene Karten auf Joker’s Stash.

Der heutige Beitrag untersucht den komplexen Netzwerk- und Marketingapparat hinter „Joker’s Stash“, einem weitläufigen virtuellen Hub gestohlener Kartendaten, der als Verteilungspunkt für Konten diente, die bei vielen der von KrebsOnSecurity in den letzten zwei Jahren erstmals offenbarten Verstöße gegen Einzelhandelskarten kompromittiert wurden, darunter Hilton Hotels und Bebe Stores.

Seit der Eröffnung Anfang Oktober 2014 hat Joker’s Stash Dutzende von Kunden angezogen, die fünf- und sechsstellige Beträge im Carding Store ausgegeben haben. Alle Kunden kaufen Kartendaten, die in gefälschte Karten umgewandelt und zum betrügerischen Kauf von Geschenkkarten, Elektronik und anderen Waren bei großen Einzelhändlern wie Target und Wal-Mart verwendet werden.

Im Gegensatz zu so vielen Kartenseiten, die hauptsächlich von anderen Hackern gestohlene Karten weiterverkaufen, behauptet Joker’s Stash, dass alle seine Karten „exklusive, selbst gehackte Dumps“ sind.“

„Das bedeutet – in unserem Shop können Sie nur unsere eigenen Sachen kaufen, und unsere Sachen können Sie nur in unserem Shop kaufen – nirgendwo sonst“, erklärte Jokers Stash in einem einleitenden Beitrag in einem Kardierforum im Oktober 2014.

„Ich möchte hier nur nicht den Namen des Opfers angeben, und Bruder, dies ist nur der Anfang, wir haben bereits einige andere große Verstöße begangen – eine Menge Sachen kommen, bleiben Sie dran, überprüfen Sie die Nachrichten!“ der Joker ging weiter, als Reaktion auf etablierte Forumsmitglieder, die den neuen Mann schikanierten. Er fuhr fort:

„Ich verspreche dir – in wenigen Tagen wirst du deine Meinung komplett ändern und nur bei mir kaufen. Ich werde eine weitere absolute Jungfrau frische neue Zero-Day-DB mit 100% + 1 gültiger Rate hinzufügen. Lesen Sie die neuesten Nachrichten auf http://krebsonsecurity.com/ – diese neue riesige Basis wird in wenigen Tagen nur bei Joker’s Stash verfügbar sein.“

Als Unternehmen hat Joker’s Stash sein Versprechen eingelöst. Es ist jetzt eines der geschäftigsten Kardiergeschäfte im Internet, Oft werden jede Woche Hunderttausende frisch gestohlener Karten zum Verkauf angeboten.

Ein wahrer Offshore-Piratenhafen, seine Heimatbasis ist ein Domain-Name mit der Endung „.sh“ Dot-sh ist die Ländercode-Top-Level-Domain (ccTLD), die der winzigen vulkanischen, tropischen Insel Saint Helena zugewiesen ist, aber jeder kann eine Domain mit der Endung „dot-sh“ registrieren. St. Helena ist auf Greenwich Mean Time (GMT) — die gleiche Zeitzone von dieser Kardieren Website verwendet. Es ist jedoch höchst unwahrscheinlich, dass sich ein Teil dieser Betrugsoperation in St. Helena befindet, einem abgelegenen britischen Gebiet im Südatlantik mit einer Bevölkerung von etwas mehr als 4.000 Einwohnern.Dieser Betrugsladen enthält ein integriertes Rabattsystem für größere Bestellungen: 5 Prozent für Kunden, die zwischen $ 300- $ 500 ausgeben; 15 Prozent Rabatt für Betrüger, die zwischen $ 1,000 und $ 2,500 ausgeben; und 30 Prozent Rabatt für Kunden, die ihr Bitcoin-Guthaben auf das Äquivalent von $ 10,000 oder mehr aufladen.

Für seine Big-Spender „Partner“ -Kunden weist Joker’s Stash jedem Partner drei benutzerdefinierte Domainnamen zu. Nachdem sich diese Partner angemeldet haben, werden die verschiedenen 3-Wort-Domains oben auf ihrem Site-Dashboard angezeigt, und der Benutzer wird aufgefordert, in Zukunft nur diese drei benutzerdefinierten Domains für den Zugriff auf den Carding Shop zu verwenden (siehe Abbildung unten). Mehr zu diesen drei Domains gleich.

Das Dashboard für einen Joker's Stash-Kunden, der über 10.000 US-Dollar für den Kauf gestohlener Kreditkarten von der Website ausgegeben hat.'s Stash customer that has spent over $10,000 buying stolen credit cards from the site.

Das Dashboard für einen Joker’s Stash-Kunden, der über 10.000 US-Dollar für den Kauf gestohlener Kreditkarten auf der Website ausgegeben hat. Klicken Sie auf das Bild, um es zu vergrößern.

RÜCKERSTATTUNGEN UND KUNDENBINDUNGSBONI

Kunden bezahlen gestohlene Karten mit Bitcoin, einer virtuellen Währung. Alle Verkäufe sind endgültig, obwohl einige Chargen gestohlener Karten, die bei Joker’s Stash zum Verkauf stehen, eine Ersatzrichtlinie enthalten — ein kurzes Zeitfenster von Minuten bis zu einigen Stunden, im Allgemeinen — in dem Käufer Ersatzkarten für alle anfordern können, die während dieses Ersatzzeitrahmens als abgelehnt zurückkommen.

Wie viele andere Kardiergeschäfte bietet Joker’s Stash auch eine A-la-carte-Kartenprüfungsoption, mit der Kunden beim Kauf gestohlener Karten eine Versicherungspolice verwenden können. Solche Überprüfungsdienste verlassen sich normalerweise auf mehrere legitime, kompromittierte Kreditkartenhändlerkonten, die verwendet werden können, um eine kleine Gebühr für jede Karte, die der Kunde kaufen möchte, zu verarbeiten, um zu testen, ob die Karte noch gültig ist. Kunden erhalten eine automatische Gutschrift auf ihre Warenkorbguthaben für alle gekauften Karten, die als abgelehnt zurückkommen, wenn sie den Überprüfungsdienst der Website durchlaufen.

Diese Kardierseite verwendet auch ein einzigartiges Bewertungssystem für Kunden, angeblich um Missbrauch des Dienstes zu verhindern und das zu bieten, was die Inhaber dieses Geschäfts „ein Treueprogramm für ehrliche Partner mit nachgewiesener Partnerbilanz“ nennen.“ Weiterlesen →