>
Research (Insikt)

Joker’s Stash rüstet mit großem SSN-Angebot und Support-Infrastruktur auf

Veröffentlicht: 24. Oktober 2019
Von: Insikt Group

insikt-group-logo-aktualisiert-2.png

Dieser Bericht wurde in Zusammenarbeit mit den unabhängigen Forschern Rodrigo Bijou und Jared Wilson verfasst.

Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.

Dieser Bericht identifiziert und verbindet den ursprünglichen Joker's Stash-Marktplatz mit der Infrastruktur, die zur Unterstützung seiner Benutzerbasis verwendet wird. Dieser Bericht dürfte vor allem für jene von Interesse sein, die die Schattenwirtschaft verfolgen, für Unternehmen, die auf gestohlene Kreditkartendaten achten müssen, sowie für Analysten, die sich für die Neuausrichtung der Infrastruktur interessieren. Zu den Quellen gehören die Recorded Future ® Platform, DomainTools Iris, Shodan, BinaryEdge, Censys, SecurityTrails und FarsightDNS sowie Metadaten von Drittanbietern und gängige OSINT-Techniken.

Executive Summary

Der Joker's Stash-Marktplatz hat sowohl sein Angebot als auch seine Infrastruktur weiterentwickelt, um seine Kundschaft besser unterstützen zu können. Die Forumbetreiber sind über die bloße Erfassung von personenbezogenen Daten (PII) der Opfer hinausgegangen und erfassen nun auch Kontaktdaten und Sozialversicherungsnummern (SSNs). Dies stellt eine Steigerung der Art von Daten dar, die die Betreiber von Joker’s Stash verkaufen. Darüber hinaus stellen die Akteure ihren Käufern weiterhin dedizierte Domänen und Server zur Verfügung, haben die Infrastruktur jedoch von Tor weg verlagert, sodass die Infrastruktur erfasst und verfolgt werden kann.

Wichtige Urteile

  • Die Betreiber von Joker’s Stash haben ihr Angebot dahingehend geändert, dass mehr persönlich identifizierbare Informationen enthalten sind, auf die die Benutzer leicht zugreifen können. Das Volumen dieser Daten ist in den letzten Jahren gewachsen. Dies stellt eine sich entwickelnde und dauerhafte Bedrohung für Verbraucher und Einzelhändler dar, da Betrüger den Markt bevölkern.

  • Recorded Future geht mit hoher Wahrscheinlichkeit davon aus, dass die Infrastruktur von Joker’s Stash über das Hauptforum hinausgeht, das derzeit von Bedrohungsakteuren betrieben wird; über 500 Domänen und 54 Server waren mit Joker’s Stash verknüpft.

  • Recorded Future geht davon aus, dass die mit Joker's Stash verbundenen Domänen und Server hochgefahren und für Spitzen in der verfügbaren Datenmenge verwendet werden, um Kunden, die in großen Mengen kaufen, besseren Support zu bieten.

  • Recorded Future geht davon aus, dass Joker's Stash für Bedrohungsakteure weiterhin ein beliebter Marktplatz bleiben wird, auf dem sie kompromittierte Kreditkarten anbieten und verkaufen, da Spitzenwerte bei den Marktplatzaktivitäten mit größeren Sicherheitsverletzungen einhergingen.

Hintergrund

In den letzten fünf Jahren hat sich Joker's Stash durch die Veröffentlichung einer großen Anzahl gestohlener Kreditkarten aus Datenlecks bei Unternehmen wie Target, Walmart, Saks Fifth Avenue, Lord & Taylor und British Airways zu einem der führenden illegalen Kreditkartenshops entwickelt. Diese kompromittierten Zahlungskartenverkäufe werden in zahlreichen Darknet-Foren beworben, darunter Omerta, Club2Crd, Verified und andere. Am 22. August 2019 veröffentlichte das Geschäft die ersten gestohlenen Kreditkartendaten (Dumps) aus einem mutmaßlichen Point-of-Sale-Datenleck (POS) bei der Tankstellen- und Convenience-Store-Kette Hy-Vee. Schätzungsweise sind in Joker's Stash 5,3 Millionen Kreditkartennummern aufgelistet , die mit diesem Datenleck in Zusammenhang stehen.

Jokers-Stash-Infrastruktur-1-1.png

Nachrichtenbereich wie auf Joker's Stash aufgeführt, Stand 30. September 2019.

Obwohl das Unternehmen vor allem für kompromittierte Zahlungskarten bekannt ist, hat es seine Datenbank mit SSNs und angehängten PII-Daten erheblich erweitert. Die Daten umfassen Aufzeichnungen von Führungskräften der Fortune 500, Mitgliedern des Kabinetts des Weißen Hauses und Karteninhabern aus mindestens 35 US-Bundesstaaten. Recorded Future konnte die Echtheit dieser SSN-Einträge nicht bestätigen, konnte jedoch eine kleine Anzahl geprüfter Fälle verifizieren, in denen die PII korrekt waren. Seit August 2019 wirbt die Gruppe prominent auf Twitter für ihre SSN-Beteiligungen.

Jokers-Stash-Infrastruktur-2-1.png

Ergebnisse einer SSN-Suche vom Joker's Stash-Marktplatz.

Analyse der Inserate

Der Joker's Stash-Markt ist jetzt in drei Hauptabschnitte unterteilt: Dumps, Karten und SSNs. Sowohl „Dumps“ als auch „Cards“ beziehen sich auf gestohlene Zahlungskartendaten. „Dumps“ beziehen sich auf die „Spur 2“-Daten (in manchen Fällen auch auf die „Spur 1“-Daten) auf dem Magnetstreifen einer Zahlungskarte. Karten enthalten die vollständigen Daten, die mit einer Transaktion ohne Karte verknüpft sind, wie etwa die Zahlungskartennummer, das Ablaufdatum und die CVV-Nummer sowie weitere Informationen, die der Zahlungskarteninhaber typischerweise bei einem Online-Kauf angibt. Der SSN-Abschnitt stellte eine ernsthafte Neuerung für den Marktplatz dar und bot im Vergleich zu den relativ kurzlebigen Daten der Kreditkartendaten einen hartnäckigeren Betrugsvektor. Joker's Stash bietet eine umfassende Menge an persönlichen Daten für 5 US-Dollar pro Datensatz, durchsuchbar nach Vor- und Nachnamen und mindestens einem weiteren Identifikator wie „Geburtsdatum“ oder „Bundesstaat“. Wenn die Platte noch verfügbar und noch nicht gekauft ist, wird auf der Website eine Schaltfläche „Kaufen“ angezeigt. Datensätze, bei denen als „zu spät zum Kaufen“ gekennzeichnet ist, wurden bereits von einem anderen Bedrohungsakteur gekauft und werden wahrscheinlich bereits verwendet.

Jokers-Stash-Infrastruktur-3-1.png

Suchfunktion nach Sozialversicherungsnummern auf Joker's Stash, Stand 30. September 2019.

Die SSNs sind stapelweise durchsuchbar und können nach Standort gefiltert werden. Die zusätzlichen personenbezogenen Daten, einschließlich der aktuellen Adresse und Postleitzahl, können Betrügern ermöglichen, gezielt bestimmte Gebiete anzusprechen und so möglicherweise Betrug gegenüber regionalen Banken, Kreditgenossenschaften oder kleineren Einzelhandelsketten zu begehen. Besonders beunruhigend ist die Leichtigkeit, mit der auf diese Daten zugegriffen werden kann. Dies ist der Recorded Future bekannte bedeutendste Markt oder das bedeutendste Forum, auf dem SSNs in großen Mengen gehandelt werden. Darüber hinaus ist es das erste Forum, das derart umfangreiche Suchfunktionen für alle Datensätze bietet.

Jokers-Stash-Infrastruktur-4-1.png

Massensuche nach Sozialversicherungsnummern, Stand: 30. September 2019.

Die Einführung von SSNs, auf die ohne Überprüfung durch das Forum zugegriffen werden kann, senkt die Eintrittsbarriere für Identitätsdiebstahl erheblich. Während der Verkauf von Sozialversicherungsnummern auf Joker's Stash wahrscheinlich zu unentdecktem Identitätsdiebstahl und dem Diebstahl von Finanzdaten führt, wird er höchstwahrscheinlich auch zu betrügerischen Versuchen mit geringerer Reichweite führen. Dies führt zu Volumenproblemen für Banken und Finanzinstitute, die versuchen, Betrug festzustellen, wenn eine Anfrage mit vollständig korrekten PII gestellt wird.

Verfolgung der Stash-Infrastruktur von Joker

Die Betreiber von Joker’s Stash haben sich zusätzlich zu ihren Märkten, die verschleierte Zugriffsmethoden verwenden, auf die Infrastruktur im Clearnet verlassen. Joker’s Stash hat 2017 neben einem Tor-Marktplatz die Verwendung von Blockchain DNS über eine Browsererweiterung implementiert, um die Zugangsbarrieren für Neukunden zu senken. Die Verwendung von Blockchain DNS beinhaltet den Download einer Browsererweiterung, die alle DNS-Daten für verschiedene Top-Level-Domains (TLDs) lokal speichert. Die Hosting-Daten werden nicht von herkömmlichen DNS-Anbietern verwaltet oder mit diesen geteilt, sondern über ein Peer-to-Peer-Netzwerk. Die Peer-to-Peer-Natur des Dienstes macht den Joker's Stash-Marktplatz unempfindlicher gegen Takedowns oder Sinkholing durch DNS-Behörden.

Die Insikt Group konnte 49 Server und 543 Domänen identifizieren, die mit hoher Sicherheit mit Joker’s Stash verknüpft sind. Für den Zugriff auf jstash[.]bazar wird die Blockchain DNS Browsererweiterung benötigt. aber Blockchain DNS hat die IP-Adresse von jstash[.]bazar auf einer anderen Webseite veröffentlicht und so jede mögliche Verschleierung durch das dezentrale DNS umgangen.

Die Gruppe hat auf ihren angeblichen Social-Media-Konten auf Reddit, Twitter, PasteSites und anderen Carding-Foren für eine Reihe verschiedener Domains geworben. Es gibt drei Domänen, die insbesondere mit Joker's Stash in Verbindung stehen:

  • jstash[.]bazar, der Flaggschiff-Shop von Joker’s Stash, ist nur über die Blockchain-DNS-Browsererweiterung zugänglich. Es stellte sich jedoch heraus, dass die Domäne unter der IP-Adresse 185.61.137.166 gehostet wurde.

  • jstash[.]ch wurde in Carding-Foren unter dem Namen „Joker's Stash“ beworben, läuft aber im offenen Internet auf dem Server 188.209.52.24.

  • jstash[.]de wurde auf Reddit beworben, wird auf 185.61.138.182 gehostet und war zuvor auf demselben Server wie jstash[.]ch, auf 188.209.52.24, gehostet.

Jokers-Stash-Infrastruktur-5-1.png

Versuch, am 25. September 2019 über normales DNS auf den Joker's Stash-Server zuzugreifen.

Die Server 185.61.138.182 und 185.61.137.166 boten zwei ungewöhnliche Eigenschaften zum Pivotieren. Durch das Zertifikats -Pivoting wurden vier weitere IP-Adressen im gleichen CIDR-Bereich (185.61.137.0/24) identifiziert, die dieselben TLS-Zertifikatsseriennummern verwendeten wie die oben genannten Server. Darüber hinaus hatten alle IP-Adressen einen gemeinsamen HTTPS-Titel: „Joker's Favorite CAPTCHA“. Bei der Durchsicht der Daten von Shodan, Binary Edge und Censys wurden 54 Server ermittelt, die denselben HTTPS-Titel, dieselben Header und dieselbe Zielseite verwendeten. Diese IP-Adressen finden Sie in Anhang A, während Beispiel-Header in Anhang B zu finden sind.

Jokers-Stash-Infrastruktur-6-1.png

Beispiel für den Server-Header von Joker's Stash, über Shodan.

Mittels Reverse-IP Lookups und WHOIS-Pivots wurden insgesamt 543 Domänen identifiziert. Die Domänen verwendeten eine ähnliche Namenskonvention: [English-word1]-[English-word2]-[English-word3].[tld]. Es ist zu beachten, dass diese Domänen nicht bösartig sind und keine Malware verbreiten oder Besucher zum Phishing anstiften. Brian Krebs hat bereits über Domänen dieser Art berichtet. Die Domänen fungieren als Portale für die größten Kunden von Joker’s Stash, die über dedizierte Server zum Kaufen, Speichern und Abrufen interessanter Karten verfügen. Die Insikt Group überprüfte die Verbindung, indem sie Testtransaktionen auf den Domänen durchführte, die sich im Testkontostand des Flagship-Shops widerspiegelten. Die Mehrheit der Domänen wurde auf den folgenden IP-Adressen gehostet:

  • 179.43.169.17

  • 185.82.200.250

  • 185.178.211.162

  • 85.25.193.28

  • 85.25.192.57

Jokers-Stash-Infrastruktur-7-1.png

Beispielcluster von Domänen zu einer IP aus der Stash-Infrastruktur von Joker.

Es gibt sehr wahrscheinlich noch weitere mit dieser Aktivität in Zusammenhang stehende Domänen, die in dieser Untersuchung nicht identifiziert wurden. In Anhang C sind die Domänen aufgeführt, die Recorded Future mit hoher Zuverlässigkeit mit Joker's Stash verbunden hat.

Jokers-Stash-Infrastruktur-8-1.png

Maltego-Mapping der Stash-Infrastruktur von Joker.

Anders als beim Hauptshop von Joker’s Stash sind die Domänen und Server über normale Browser erreichbar. Dadurch können Betreiber ihren besten Kunden einen besseren Service bieten, ohne dass weitere betriebliche Sicherheitsmaßnahmen erforderlich sind. Diese Infrastruktur wurde ursprünglich erstellt, um bestätigten Kunden Zugriff zu gewähren und gleichzeitig die Ansammlung gefälschter Joker’s Stash-Domänen zu vermeiden, die zwischen 2015 und 2016 erstellt wurden. Insbesondere wird beim Herstellen einer Verbindung zu den Domänen oder Servern über Tor eine Begrüßungsseite geladen, die den Benutzern mit der Aufforderung erscheint, für den Zugriff auf die Seite über Clearnet einen normalen Browser zu verwenden. Dies dient wahrscheinlich dazu, bekannte Tor-Exit-Knoten zu blockieren, da Listen häufig verbreitet werden.

Jokers-Stash-Infrastruktur-9-1.png

Tor-Warnung vom Joker’s Stash-Server vom 25. September 2019.

464 der Domänen gaben denselben Fehlercode „511 Network Authentication Required“ zurück wie die oben genannten Server. Auf den Webseiten, die aufgelöst wurden, wurde dieselbe „Joker's Favorite CAPTCHA“-Seite angezeigt. Sie gewährten jedoch keinen Zugriff auf die normalen Joker's Stash-Anmeldeinformationen. Dies setzt voraus, dass sie für den jeweiligen Kundenkreis eingesetzt werden.

Historische Hosting-Daten dieser Domänen identifizierten 176 einzigartige Server; Recorded Future schätzt, dass bei einem großen Teil davon die Vertrauenswürdigkeit gering ist, was auf Registrare zurückzuführen ist, die die Domänen parken, bis hin zum Interim-Hosting. Diese Daten können für zukünftige Korrelationen von Wert sein, sind derzeit jedoch nicht Teil der Joker's Stash-Infrastruktur.

Ein weiteres Element der Infrastrukturanalyse ist die Betrachtung einer Zeitanalyse der Domänenregistrierungsdaten. Die Analysten haben sich alle mit dieser Methode identifizierten Domänen angesehen und das Domänenregistrierungsdatum im Zeitverlauf aufgezeichnet, wie unten im Diagramm „Domänenregistrierungen im Zeitverlauf“ (DROT) hervorgehoben. Unseren Erkenntnissen zufolge kam es in den Jahren 2015 und 2017 zu Aktivitätsspitzen, die mit den ungefähren Daten schwerwiegender Verstöße korrelieren. Viele dieser Domains wurden im Jahr 2019 zur weiteren Nutzung reaktiviert.

Jokers-Stash-Infrastruktur-10-1.png

DROT-Diagramm für mit Joker's Stash verbundene Domänen.

Die Wiederverwendung dieser Domänen zeigt, dass der Carding-Kundenstamm im Zuge großer Datenlecks schwankt. Viele dieser Domänen wurden beispielsweise im Jahr 2017 registriert, also vor der Bekanntgabe der Datenschutzverletzungen bei Sonic und Jason‘s Deli sowie anderer schwerwiegender Verstöße gegen Zahlungskartengesetze. Joker's Stash kündigt die Freigabe neuer Zahlungskarten nach einem aktuellen Datenleck in der Regel rechtzeitig an, und es ist ebenfalls davon auszugehen, dass das Unternehmen im Vorfeld dieser Freigaben seine Infrastruktur verbessert. Die Insikt Group ist davon überzeugt, dass im Jahr 2019 im Zusammenhang mit der Übernahme der Hy-Vee-Daten durch Joker’s Stash eine Reihe von Domänen reaktiviert wurden. Die Insikt Group geht davon aus, dass diese Infrastruktur im Vorfeld möglicher Kundeninteraktionen im Zusammenhang mit größeren Sicherheitsverletzungen aufgebaut wird. Beispiele für diese Domänen finden Sie weiter unten.

Kanu-Hügel-Fläche[.]com Sustain-Swim-Robot[.]in Beweise-Weg-sicher[.]org
ewiges-seek-banner[.]com Wunder-Missbrauch-sicher[.]org Krater-Wartegefahr[.]org
hope-two-upper[.]com tower-project-unusual[.]org Teppich-Eigenschaft-Slogan[.]net
spawn-mind-arrest[.]com taxi-van-rich[.]org profit-minor-dash[.]net
Schwarm-Upset-Voyage[.]com stick-inject-organ[.]org Nahpulsunschärfe[.]in
Kriegsführung-Firma-bewusst[.]info moon-joy-drum[.]org besseres-elektrisches-kaninchen[.]in
Zeit-Untergang-Picknick[.]pw Monat-Drei-Handbuch[.]org Hummer-Rivalen-Mix[.]info

 

Ausblick

Durch die Ausweitung der SSN-Datensätze von Joker’s Stash stellt das Unternehmen eine dauerhafte Bedrohung für Einzelhändler, Gastronomiebetriebe und Verbraucher dar und erschwert die Erkennung betrügerischer Transaktionen zusätzlich. Recorded Future geht davon aus, dass Joker’s Stash aufgrund der Benutzerfreundlichkeit und Monetarisierung gestohlener Zahlungskartendaten weiterhin ein erhebliches Risiko darstellen wird. Darüber hinaus deutet das Volumen der Infrastruktur, die für Kunden geschaffen wurde, die große Datenmengen von Joker’s Stash kaufen, auf eine große Kundenbasis hin. Darüber hinaus dürfte die Einbeziehung personenbezogener Daten die Ausweitung des Carding auf Kriminelle niedrigeren Ranges begünstigen, da es für weniger versierte Personen einfacher wird, Maßnahmen zur Betrugsbekämpfung zu umgehen.

Die schnelle und kostengünstige Verfügbarkeit scheinbar korrekter persönlicher Daten auf Joker's Stash kann für Einzelpersonen sogar noch schädlicher sein als der Verlust von Zahlungskartendaten. Sind die personenbezogenen Daten einer Person erst einmal bekannt, ist es viel schwieriger, den Betrug zu entschärfen, als einfach eine neue Karte auszustellen. Zudem kann das Opfer noch jahrelang von Betrug betroffen sein, da sich Informationen wie Sozialversicherungsnummer, Mädchenname der Mutter, Geburtsdatum, Geburtsort usw. als Verifizierungsmethoden viel schwerer ändern oder ersetzen lassen.

Empfehlungen

Sozialversicherungsdaten, Bankdaten und Zahlungskarten sollten sorgfältig auf betrügerische Aktivitäten überwacht werden. Obwohl die von großen Banken und Kreditkartenanbietern angebotenen Schutzmechanismen sehr gut dazu geeignet sind, Betrugsfälle zu erkennen, empfiehlt Recorded Future eine fortlaufende Überprüfung und Kontrolle der Zahlungskarten- und Banktransaktionen, beispielsweise die Einrichtung von Benachrichtigungen für alle Transaktionen ohne Karte. Die Insikt Group empfiehlt, die in den zugehörigen Anhängen aufgeführte Infrastruktur von Joker's Stash weiterhin auf neue IP-Adressen und Domänen zu überwachen, um die Schwankungen bei den Betreibern und Kunden des Stores zu verstehen.

Recorded Future ist der Ansicht, dass Netzwerkadministratoren die in den Anhängen A und C aufgeführten Domänen und IP-Adressen überwachen sollten, da diese darauf hinweisen könnten, dass ein Benutzer im Netzwerk in irgendeine Art von Betrug verwickelt ist.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.

Verwandt