Un flujo constante de infracciones de tarjetas en minoristas, restaurantes y hoteles ha inundado los mercados subterráneos con un exceso histórico de datos robados de tarjetas de débito y crédito. Hoy en día hay al menos cientos de sitios en línea que venden datos de cuentas robadas, pero solo unos pocos de ellos cortejan activamente a compradores masivos y bandas del crimen organizado. Frente a un mercado de compradores, estas tiendas de élite se distinguen por centrarse en programas de fidelización, descuentos para compradores frecuentes, garantías de devolución de dinero y un servicio al cliente simplemente bueno.

Un anuncio de nuevas tarjetas robadas en el alijo de Joker.

La publicación de hoy examina el complejo aparato de redes y marketing detrás de «Joker’s Stash», un extenso centro virtual de datos de tarjetas robadas que ha servido como punto de distribución para cuentas comprometidas en muchas de las brechas de tarjetas minoristas reveladas por primera vez por KrebsOnSecurity en los últimos dos años, incluidos los hoteles Hilton y las tiendas Bebe.

Desde su apertura comercial a principios de octubre de 2014, Joker’s Stash ha atraído a docenas de clientes que han gastado cinco y seis cifras en la tienda de cardado. Todos los clientes están comprando datos de tarjetas que se convertirán en tarjetas falsificadas y se utilizarán para comprar tarjetas de regalo, productos electrónicos y otros productos de forma fraudulenta en minoristas de cajas grandes como Target y Wal-Mart.

A diferencia de muchos sitios de cardado que principalmente revenden tarjetas robadas por otros hackers, Joker’s Stash afirma que todas sus tarjetas son «volcados exclusivos y auto hackeados.»

» Esto significa que en nuestra tienda solo puedes comprar nuestras propias cosas, y nuestras cosas solo puedes comprarlas en nuestra tienda, en ningún otro lugar», explicó Joker’s Stash en una publicación introductoria en un foro de cardado en octubre de 2014.

» Simplemente no quiero dar el nombre de la víctima aquí mismo, y bro, esto es solo el comienzo, ya hicimos varias otras grandes brechas-un montón de cosas están por llegar, estad atentos, ¡mirad las noticias!»el Guasón continuó, en respuesta a los miembros establecidos del foro que estaban haciendo novatadas al tipo nuevo. Él continuó:

» Te prometo que en pocos días cambiarás completamente de opinión y comprarás solo a mí. Agregaré otro db de día cero totalmente fresco y virgen con una tarifa válida de 100%+1. Lee las últimas noticias en http://krebsonsecurity.com/ div – – esta nueva y enorme base estará disponible en pocos días solo en Joker’s Stash.»

Como negocio, Joker’s Stash cumplió su promesa. Ahora es una de las tiendas de cardado más bulliciosas de Internet, que a menudo agrega cientos de miles de tarjetas recién robadas a la venta cada semana.

Un verdadero refugio de piratas en alta mar, su base de operaciones es un nombre de dominio que termina en «.sh» Punto-sh es el dominio de nivel superior de código de país (ccTLD) asignado a la pequeña isla volcánica tropical de Santa Elena, pero cualquiera puede registrar un dominio que termine en punto-sh. Santa Elena está en la Hora del Meridiano de Greenwich (GMT), la misma zona horaria utilizada por este sitio Web de carding. Sin embargo, es muy poco probable que alguna parte de esta operación de fraude se encuentre en Santa Elena, un remoto territorio británico en el Océano Atlántico Sur que tiene una población de poco más de 4.000 habitantes.

Esta tienda de fraude incluye un sistema de descuento incorporado para pedidos más grandes: 5 por ciento para clientes que gastan entre $300 y 5 500; 15 por ciento de descuento para estafadores que gastan entre 1 1,000 y 2 2,500; y 30 por ciento de descuento para clientes que recargan sus saldos de bitcoin al equivalente de 1 10,000 o más.

Para sus clientes «socios» de gran gasto, Joker’s Stash asigna tres nombres de dominio personalizados a cada socio. Después de que los socios inicien sesión, los diferentes dominios de 3 palabras se muestran en la parte superior del panel de control de su sitio, y se recomienda al usuario que use solo esos tres dominios personalizados para acceder a la tienda de cardado en el futuro (imagen siguiente). Más sobre estos tres dominios en un momento.

El panel de un cliente de Joker’s Stash que ha gastado más de 1 10,000 en comprar tarjetas de crédito robadas del sitio. Haga clic en la imagen para ampliarla.

REEMBOLSOS Y BONIFICACIONES DE LEALTAD DE LOS CLIENTES

Los clientes pagan por tarjetas robadas utilizando Bitcoin, una moneda virtual. Todas las ventas son finales, aunque algunos lotes de tarjetas robadas para la venta en Joker’s Stash vienen con una política de reemplazo, un corto período de tiempo de minutos a algunas horas, generalmente, en el que los compradores pueden solicitar tarjetas de reemplazo para cualquiera que regrese como rechazada durante ese período de reemplazo.

Al igual que muchas otras tiendas de cardado, Joker’s Stash también ofrece una opción de verificación de tarjetas a la carta que los clientes pueden usar con una póliza de seguro al comprar tarjetas robadas. Estos servicios de cheques generalmente se basan en múltiples cuentas comerciales de tarjetas de crédito legítimas y comprometidas que se pueden usar para procesar un pequeño cargo contra cada tarjeta que el cliente desea comprar para probar si la tarjeta sigue siendo válida. Los clientes reciben un crédito automático en el saldo de su carrito de compras por cualquier tarjeta comprada que regrese como rechazada cuando se ejecuta a través del servicio de cheques del sitio.

Este sitio de cardado también emplea un sistema de clasificación único para los clientes, supuestamente para evitar el abuso del servicio y para proporcionar lo que los propietarios de esta tienda llaman «un programa de lealtad para socios honestos con antecedentes de socios probados».»Seguir leyendo →