美国司法部今天宣布查封RaidForums网站,该网站是网络犯罪分子买卖黑客数据的热门市场,并公布了对RaidForums创始人和首席管理员、21岁的葡萄牙人Diogo Santos Coelho的刑事指控。应美国的要求,Coelho1月31日在英国被捕,目前仍被关押,等待“他的引渡程序的解决”。
今天公开的法庭记录显示,美国最近获得了司法授权,扣押了RaidForums网站的三个域名,分别是“raidforums.com”、“Rf.ws”和“Raid.lol”。根据为支持这些扣押而提交的起诉书,从2016年前后到2022年2月,RaidForums充当了一个主要的明网在线市场,供个人购买和出售被黑或被盗的数据库,其中包含美国和其他地方受害者的敏感个人和财务信息,包括被盗的银行信息和账户号码、信用卡信息、登录凭证和社会安全号码。
司法部刑事司的助理司法部长Kenneth A. Polite,Jr.说:“这个用于转售被黑或被盗数据的在线市场的取缔,破坏了网络犯罪分子从大规模盗窃敏感的个人和财务信息中获利的主要方式之一。这是与我们的国际执法合作伙伴合作成功将犯罪市场关闭并逮捕其管理员的另一个例子。”
弗吉尼亚州东区的美国检察官Jessica D. Aber说:“我们的跨部门努力拆除了这个复杂的在线平台——它为各种犯罪活动提供了便利——应该让受其侵害的数百万人感到宽慰,并对那些参与此类邪恶活动的网络犯罪分子发出警告。网络匿名无法保护本案被告免受起诉,也无法保护其他网络犯罪分子。”
“对RaidForums网站的查封——该网站为出售全世界数百万人的被盗数据提供了便利——以及对该市场管理员的指控,证明了联邦调查局国际伙伴关系的实力。”联邦调查局华盛顿地区办事处主管助理局长Steven M. D’Antuono说,“网络犯罪超越国界,这就是为什么FBI致力于与我们的合作伙伴合作,将网络犯罪分子绳之以法——无论他们生活在世界的哪个地方,或者他们试图隐藏在什么设备后面。”
“这项全球调查表明美国特勤局的非凡奉献精神,并突出了我们与外国执法同行的合作伙伴关系,这对于破坏复杂的网络犯罪分子至关重要。”美国特勤局刑事调查部负责特别探员Jason D. Kane说,“这个案例体现了各级执法部门的团队合作,以阻止这些网络犯罪分子欺骗美国和我们伙伴国家的公民。”
在被查封之前,RaidForums成员利用该平台出售数百个被盗数据的数据库,其中包含居住在美国和国际上的个人的100多亿条独特记录。在2015年成立时,RaidForums还作为组织和支持各种形式的电子骚扰的在线场所运作,包括“突袭”——在受害者的在线通信媒体上发布或发送大量联系信息——或“拍打”–向公共安全机构虚假报告需要立即采取重大武装执法反应的情况。
政府没收这些域名将阻止RaidForums成员使用该平台继续贩卖从美国和其他地方的公司、大学和政府实体窃取的数据,包括包含全球数百万个人敏感私人数据的数据库。
此外,弗吉尼亚州东区对Coelho的六项起诉书已经解封,指控他在担任RaidForums首席管理员期间犯有共谋罪、访问设备欺诈和严重的身份盗窃罪。根据起诉书,在2015年1月1日至2022年1月31日前后,Coelho据称控制并担任RaidForums的首席管理员,他在其他网站管理员的帮助下运营该网站。作为管理员,Coelho和他的同谋者被指控设计和管理该平台的软件和计算机基础设施,为其用户制定和执行规则,并创建和管理网站中专门用于促进违禁品买卖的部分,包括一个名为“Leaks Market”的子论坛,该论坛将自己描述为“购买/出售/交易数据库和泄密的地方”。
为了从平台上的非法活动中获利,RaidForums对提供更多访问权和功能的会员等级收取越来越高的价格,包括最高级别的“上帝”会员身份。RaidForums还出售“信用额度”,使会员能够进入网站的特权区域,并使会员能够“解锁”和下载被盗的财务信息、身份识别方式和来自受损数据库的数据等。会员还可以通过其他方式获得积分,例如发布有关如何实施某些非法行为的说明。
根据起诉书,Coelho还亲自在平台上出售被盗数据,并通过运营收费的“官方中间人”服务直接促成非法交易。对于官方中间人服务,据称Coelho在寻求在平台上买卖违禁品(包括黑客数据)的RaidForums成员之间充当可信的中间人角色。值得注意的是,为了在交易方之间建立信任,官方中间人服务使买卖双方能够在执行交易之前验证付款方式和出售的违禁品文件。
调查人员描述了多个案例,其中卧底联邦特工或机密线人使用Omnipotent提供的托管服务从Coelho的一个备用用户身份购买大量数据——这意味着Coelho不仅出售了他个人窃取的数据,而且还通过坚持通过他自己的中间人服务促成交易进一步获利。
并非所有这些秘密购买都按计划进行。公开的一起案例似乎与出售去年从T-Mobile窃取的数千万条消费者记录有关,尽管政府仅将受害者称为美国的一家主要电信公司和无线网络运营商。
2021年8月11日,一个使用绰号“SubVirt”的个人在RaidForums上发布了一项出售美国超过1.2 亿人的社会安全号码、出生日期和其他记录的帖子(SubVirt后来将销售数据编辑为3000万条)。仅仅几天后,T-Mobile就承认发生了数据泄露事件,影响到4000万在该公司申请信贷的现有、以前或潜在的客户。
政府说,受害公司雇用了一个第三方来购买数据库,以防止它被卖给网络犯罪分子。该第三方最终向卖方支付了价值约20万美元的比特币,并约定数据在出售后将被销毁。"然而,在第三方购买后,同谋者似乎继续试图出售这些数据库。"
KrebsOnSecurity于3月23日首次报道了FBI查封了RaidForums ,此前一名联邦调查员证实了联邦调查局已经秘密运营RaidForums网站数周的传言。
Coelho于2018年6月在亚特兰大哈茨菲尔德-杰克逊国际机场试图进入美国时,引起了美国当局的注意。政府获得了搜查Coelho行李中的电子设备的搜查令,并发现了显示他是RaidForums管理员Omnipotent的短信、文件和电子邮件。
“为了取回他的物品,Coelho在2018年8月2日左右致电 FBI 案件的主要特工,并使用电子邮件地址[email protected]向特工发送电子邮件。”政府的起诉书称。调查人员发现这个地址也被用来注册rf.ws和raid.lol,Omnipotent在论坛上宣布这两个域名将作为RaidForums的替代域名,以防网站的主域名被查封。
查封RaidForums对寻求从数据泄露中获利的简单方法的骗子来说是一个打击。但分析师表示,被盗财务和个人数据的地下市场可能会继续蓬勃发展,因为还有许多其他在线市场包括暗网市场可以交易这些数据。
Recorded Future高级威胁情报分析师Allan Liska说:“由于进入门槛低,RaidForums让新的和成熟的威胁参与者非常容易活跃在数据泄露和泄露社区中。”
Digital Shadows的Photon研究团队说,RaidForums一直是世界各地黑客买卖数据的“一致和稳定的平台”,“基本上不用担心中断”,“备受追捧的数据库经常在RaidForums上共享,并在俄语网络犯罪论坛上重新使用,导致俄罗斯网络犯罪地下组织的成员专门为此目的频繁访问RaidForums”。
与“暗网”相关的网络犯罪论坛需要特殊软件才能访问,而普通互联网用户可以直接访问像RaidForums这样的“明网”网站。
针对RaidForums和Coelho的执法行动是FBI华盛顿外地办事处和美国特勤局正在进行的刑事调查的结果。该部门还感谢联合网络犯罪行动特别工作组(欧洲刑警组织)、国家犯罪署(英国)、瑞典警察总署(瑞典)、罗马尼亚国家警察局(罗马尼亚)、司法警察局(葡萄牙)、国税局刑事调查局、联邦刑事警察局(德国)和其他执法伙伴提供的支持。