圈小蛙

人肉搜索:谁是最大的网络犯罪被盗商品洗钱服务SWAT USA的幕后黑手?

根据KrebsOnSecurity的爆料,最大的网络犯罪被盗商品洗钱服务公司之一“SWAT USA Drops”最近遭到黑客攻击,暴露了其内部运作、财务和组织结构,“Fearlless”是“SWAT USA Drops”服务幕后经营者的昵称,KrebsOnSecurity也曝光了有关 “Fearlless”真实身份的线索。

“SWAT USA”总部设在俄罗斯,在美国招募人员转运用盗来的信用卡购买的价格昂贵的电子产品。“SWAT USA”目前雇佣了1200多名美国居民,他们在转运赃物的第一个月结束后都将被解雇,而且没有承诺的发薪日。

“SWAT USA”目前的共同所有人是一名网络罪犯,绰号“Fearlless”(无畏),主要在暗网网络犯罪论坛Verified上开展业务。这个俄语论坛有数万名会员,曾多次遭到黑客攻击,暴露了十多年的用户数据和直接信息。

2021年1月,Verified上的帖子显示,“Fearlless”和他的合伙人“Universalo ”从一个名叫“SWAT”的Verified会员手中购买了SWAT的转运业务,SWAT已经营该服务多年。SWAT同意转让业务,以换取随后六个月内30%的净利润。

网络情报公司Intel 471称,“Fearlless”于2013年2月首次在Verified论坛上注册。“Fearlless”在Verified论坛上使用的电子邮件地址没有任何线索,但查看“Fearlless”在Verified论坛上的直接信息后发现,该用户一年前曾以转运商的身份在Verified上注册,化名为”Apathyp“。

有两条线索支持”Apathyp“和”Fearlless“是同一个人的结论。首先,Verified论坛管理员警告”Apathyp“,他违反了论坛禁止同一人使用多个账户的规定,而且Verified论坛的自动系统检测到”Apathyp“和”Fearlless“从同一设备登录。 其次,”Fearlless“在 Verified上最早发布的私人信息中,让其他人用声称是他的即时通讯工具地址”Apathyp“与他联系。

Intel 471说,Apathyp在Verified网站上注册时使用的电子邮件地址是 triploo@mail.ru。在漏洞情报服务机构Constella Intelligence搜索该电子邮件地址时发现,与之相关的常用密码是”niceone“。但这个triploo@mail.ru账户除了在俄罗斯的Facebook对应网站Vkontakte上有一个现已删除的账户外,与其他有趣的账户并无关联。

不过,在2020年9月,”Apathyp“在 Verified论坛上向一家被盗信用卡商店的店主发送了一条私人信息,称他的认证信息已经失效。Apathyp告诉店主,他在该服务上选择的密码是”12Apathy“。

在Constella搜索该密码后发现,只有四个不同的电子邮件地址使用过该密码,其中两个特别有趣:gezze@yandex.ru和gezze@mail.ru。Constella发现,这两个地址以前都使用过与triploo@mail.ru相同的密码:”niceone“或其变体。

Constella发现,多年前 gezze@mail.ru曾被用于创建一个Vkontakte账户,用户名为Ivan Sherban(原密码为 "12niceone"),来自俄罗斯南部工业城市马格尼托哥尔斯克。同样的电子邮件地址现在与伊万-谢尔班的Vkontakte账户绑定在一起,他将自己的家列为俄罗斯圣彼得堡。谢尔班的个人资料照片显示,他身上有大量纹身,肌肉发达,刚结婚不久,他美丽的新婚妻子正准备驾驶一辆敞篷跑车离开。

身份情报公司myNetWatchman提供的一条关键线索证实了对 Apathyp/Fearlless 的研究,该公司发现gezze@mail.ru曾经使用过密码 ”геззи1991“(gezze1991)和 ”gezze18081991“。

Exit mobile version