Joker's Stash網站被警方攻陷
Joker's Stash原本是一個網絡犯罪分子用來出售支付卡的網站,在執(zhí)法部門查封了它的一個域名之后,使該網站受到了沉重的打擊。
Joker's Stash是一個非常受歡迎的網絡犯罪場所,它專門用來買賣支付卡的數據,向買家提供數百萬張被盜的信用卡和借記卡的信息。比如在10月份,一個位于達拉斯的熏肉專營店Dickey's Barbecue Pit的300萬張客戶的支付卡信息就出現在了該網站上。任何購買信息的客戶都可以創(chuàng)建克隆卡,以便在ATM機上進行使用;或者,他們僅僅簡單地使用這些信息在網上來購買東西。
根據Digital Shadows的研究人員的說法,Joker's Stash通過使用很多不同的域名來進行操作以躲避追查。研究人員表示,這些域名包括.bazaar、.lib、.emc和.coin等區(qū)塊鏈域名,以及兩個Tor(.onion)版本的域名。
但在上周晚些時候,該網站的.bazaar域名開始顯示為美國司法部和國際刑警組織已經查封了該網站。不久之后,.lib、.emc和.coin域名也開始顯示 "服務器未找到 "的橫幅。
據Digital Shadows在最近的一篇博客中稱,"俄語網絡犯罪論壇XSS上的一些早期聊天記錄表明整個網站現在已經被查封"。
Joker's Stash的官方賬號 "JokerStash "在俄語打卡論壇Club2CRD上創(chuàng)建了一個帖子,證實了.bazaar域名的外部代理服務器已經被關閉,但目前還不清楚DoJ和國際刑警是否真的是這一行動的幕后黑手。無論如何,該人士還在暗示稱,這次對網站的取締不會影響運營很長時間。
根據Digital Shadows.的說法:"該代表表示,服務器中不包含任何'商店數據',并且宣布他們正在創(chuàng)建新的服務器來轉移網站,這意味著所有區(qū)塊鏈版本的網站將在'幾天內恢復正常,最后,經該網站的官方賬號確認,網站的Tor版本并沒有受到影響,并鼓勵用戶在此期間繼續(xù)使用它們。"
然而截至周一,該網站的Tor版本仍然無法使用,但JokerStash聲稱區(qū)塊鏈網站已經恢復營業(yè)。Digital Shadows的網絡威脅情報分析師Austin Merritt在接受采訪時推測:"最初在.bazaar域名被查封后用來發(fā)布廣告的Tor服務器暫時還處于離線狀態(tài),這很可能被轉移到了新的服務器上。"
因此,研究人員表示,查封.bazaar域名很可能不會對Joker's Stash造成太大的影響。帖子的內容表明,"Joker's Stash在其他幾個網絡犯罪論壇上仍然存在,他利用這些論壇發(fā)布廣告提醒用戶,現在仍有數百萬信用卡和借記卡賬戶正在出售,甚至在.bazaar域名被查封后,Joker's Stash的官方賬號還在Club2CRD上更新了一個帖子,列出了一長串最近添加到網站上的新的支付卡的轉儲記錄。"
區(qū)塊鏈域名服務器(DNS)技術是一種去中心化的頂級域名系統,它不像傳統的DNS網站那樣受到中央權威機構的監(jiān)管。當網站想要將網站的IP地址與URL進行匹配時,會通過點對點網絡進行查找。研究人員表示,區(qū)塊鏈DNS網站通常通過Chrome瀏覽器進行訪問,只要使用一個特殊的區(qū)塊鏈瀏覽器擴展,就可以訪問具有某些URL后綴的網站。
Digital Shadows的研究人員指出,這些有利的特點使得它有點像一個狂野的西部牛仔,傳統的安全服務很難追查到該環(huán)境中的惡意活動。
研究人員寫道:"為了隱藏惡意的攻擊活動,其他用于交易賬戶信息的網站一直都在嘗試使用點對點的DNS技術。由于區(qū)塊鏈域名沒有中央權威機構,而且注冊時使用的是唯一的加密哈希值,而不是使用傳統的個人的姓名和地址,因此執(zhí)法部門更難攻陷網站。"
Merritt表示,Joker's Stash的其他非Tor類型的網站很可能是因為被管理員撤銷而下線的。
他告訴Threatpost : "由于該網站的官方賬號提到他們正在創(chuàng)建新的服務器并打算轉移網站,所以他們有可能還沒有完成過渡。導致這些網站無法使用的另一個原因可能是訪問.bazaar、.lib、.emc和.coin域名所需的瀏覽器插件失效;有時候安裝多個插件也會導致無法訪問網站這種情況的發(fā)生。"
梅里特說:”雖然這次執(zhí)法行動不太可能讓Joker's Stash停滯運營很久,但可能會對該網站在市場上的 "信譽 "產生影響,這也表明區(qū)塊鏈DNS服務并非是不可撼動的。同時這也可能會促使他們改變策略。“
他告訴Threatpost:"執(zhí)法機構打擊網絡犯罪的技術,以及他們追蹤犯罪者的能力,這些都會促使犯罪團伙采取更加安全的方法,例如實施PGP加密、雙因素認證(2FA),以及利用Monero(XMR)等手段來規(guī)避追查,針對Joker's Stash的執(zhí)法行動可能會在短期內起到威懾的作用。正如我們已經看到的那樣,網站管理員可以將其業(yè)務轉移到更為安全的服務器上來彌補被審查后對于網站運營的影響。"
他們補充道:"未來,為了打擊網絡犯罪分子,更多的網站都可能成為執(zhí)法部門進行打擊的對象。不幸的是,當一個網站或業(yè)務被關閉時,網絡犯罪團伙會通過其他平臺來尋找新的途徑"。
