Siber suç yeraltındaki en aktif Sosyal Güvenlik numaraları, geçmiş ve kredi raporları satıcılarından biri, ABD tüketici verileri komisyoncusunun hacklenmiş hesaplarından veri çekiyor ABDbilgi aramaKrebsOnSecurity bunu öğrendi.
En azından Şubat 2023’ten beri Telegram’da reklamı yapılan bir hizmet ABDiSLookup’lar herkesin neredeyse her Amerikalının SSN’sine veya arka plan raporuna bakmasına olanak tanıyan otomatik bir bot çalıştırdı. 8 ila 40 dolar arasında değişen ve sanal para birimiyle ödenebilen fiyatlar için bot, yalnızca birkaç dakika içinde otomatik olarak ayrıntılı tüketici geçmiş raporlarını döndürecek.
USiSLookups, takma adları kullanan bir siber suçlunun projesidir JackieChan/USInfoSearchve bu hizmetin Telegram kanalı, aşağıdakiler de dahil olmak üzere az sayıda örnek arka plan raporu içerir: Başkan Joe Bidenve podcast yayıncısı Joe Rogan. Bu raporlardaki veriler, kişinin doğum tarihini, adresini, önceki adreslerini, önceki telefon numaralarını ve işverenlerini, bilinen akrabalarını ve iş arkadaşlarını ve sürücü belgesi bilgilerini içeriyor.
JackieChan’ın hizmeti Columbus, OH merkezli veri komisyoncusunun adını ve ticari markalarını kötüye kullanıyor ABDbilgi aramaWeb sitesinde “risk yönetimi, dolandırıcılığın önlenmesi, kimlik ve yaş doğrulama, atlama takibi ve daha fazlasına yardımcı olacak kimlik ve arka plan bilgileri” sağlandığı belirtiliyor.
Şirketin web sitesinde şöyle açıklanıyor: “İhtiyacınız olan bilgiyi ihtiyaç duyduğunuz anda sunmak için çok sayıda özel kaynaktan gelen FCRA dışı veriler üzerinde uzmanız.” “Hizmetlerimiz, verileri ürünlerine veya uygulamalarına entegre edenler için API tabanlı erişimin yanı sıra, her müşteriye uyacak şekilde kayıtların toplu ve toplu işlenmesini de içeriyor.”
Şans eseri, bu kimlik dolandırıcılığı hizmetiyle ilgili raporum, muhtemelen potansiyel müşteriler için bir teaser olarak Telegram kanalında da listelendi. 19 Ekim 2023’te KrebsOnSecurity, verilerin kaynağı hakkında bilgi talebiyle birlikte bu dosyanın bir kopyasını gerçek USinfoSearch ile paylaştı.
USinfoSearch, 30 Haziran 2023 veya öncesinde alındığı anlaşılan raporu araştıracağını söyledi. 9 Kasım 2023’te, Scott HostettlerUSinfoSearch ana şirketinin genel müdürü Martin Veri LLC Kimlik hırsızlığı hizmetinin başka birinin tüketici verilerini USinfoSearch’ten geliyormuş gibi aktarmaya çalıştığını öne süren soruşturma hakkında yazılı bir açıklama paylaştı:
Telegram olayıyla ilgili olarak, hassas bilgileri korumanın ve kullanıcılarımızın güvenini sürdürmenin en büyük önceliğimiz olduğunun bilincindeyiz. Suçlulara veri sağladığımıza dair herhangi bir iddia, temel ilkelerimize ve oluşturduğumuz ve yetkisiz ifşayı önlemek için sürekli izlediğimiz koruyucu önlemlere doğrudan aykırıdır. Martin Data’nın yüksek kaliteli veriler konusunda bir itibarı olduğundan, hırsızlar diğer kaynaklardan veri çalabilir ve bunları bize aitmiş gibi gizleyebilir. Verilerimize yalnızca yasal olarak izin verilen kişiler tarafından erişilebileceğini garanti etmek için uygun önlemleri uygulamamıza rağmen, yetkisiz taraflar verilerimize erişmeye çalışmaya devam edecektir. Neyse ki, kimlik doğrulama sürecimizi geçmek için gereken gereksinimler köklü dürüst şirketler için bile zordur.
USinfoSearch’ün beyanı, müşteri hesapları için çok faktörlü kimlik doğrulamanın gerekli olup olmadığı veya raporumun gerçekten USinfoSearch sistemlerinden gelip gelmediği gibi şirkete yöneltilen herhangi bir soruyu ele almıyordu.
Uzun uğraşlardan sonra 21 Kasım’da Hostettler, Telegram’daki USinfoSearch kimlik dolandırıcılığı hizmetinin aslında incelenmiş bir USinfoSearch istemcisine ait bir hesaptan veri çektiğini kabul etti.
Hostettler, Telegram tabanlı kimlik sahtekarlığı hizmeti hakkında şunları söyledi: “Şirketimin botları oluşturan gruba erişim izni vermediğini ancak bir müşteriye erişim sağladıklarını %100 biliyorum.” “Bunun neden olduğu rahatsızlıktan dolayı özür dilerim.”
Hostettler, USinfoSearch’ün yeni potansiyel müşterileri yoğun bir şekilde incelediğini ve tüm kullanıcıların geçmiş kontrolünden geçmesi ve belirli belgeleri sağlaması gerektiğini söyledi. Öyle olsa bile, her ay birçok dolandırıcının, kimlik doğrulama sürecinde kendilerini güvenilir işletme sahipleri veya C düzeyindeki yöneticiler olarak tanıttığını, başvuruyu tamamladığını ve yeni bir hesap açmak için gerekli belgeleri sağladığını söyledi.
Hostettler, “Bu destekleyici belgelerin oluşturulmasında gösterilen beceri ve işçilik düzeyi inanılmaz” dedi. “Sağlanan çok sayıda lisans, orijinal belgenin tam kopyaları gibi görünüyor. Neyse ki dolandırıcıları yakalamak için yalnızca bu belgelere dayanmayan birkaç doğrulama yöntemi keşfettim.”
Hostettler, “Bu insanlar acımasız ve sonuçlarına bakmadan hareket ediyorlar” diye devam etti. “Erişimlerini reddettiğimde, aynı kimlik bilgilerini kullanarak bir hafta içinde bizimle tekrar iletişime geçecekler. Geçmişte hem kimliği sahtekarlıkla kullanılan kişiyi hem de yerel polisi bilgilendirmiştim. Her ikisi de harekete geçmekte tereddüt ediyor çünkü fail yakalanmadığı takdirde ona hiçbir şey yapılamaz. En çok dikkat edilmesi gereken yer burasıdır.”
SIM DEĞİŞTİRİCİNİN ZEVKİ
JackieChan en çok şu konulara odaklanan Telegram kanallarında aktif:SIM değiştirmeBu, cep telefonu şirketi çalışanlarına hedefin telefon numarasını saldırganların kontrol ettiği bir cihaza yönlendirmeleri için rüşvet vermeyi veya kandırmayı içerir. SIM değiştirme, dolandırıcıların hedefin kısa mesajlarını ve telefon çağrılarını (her türlü bağlantı veya kimlik doğrulama için SMS aracılığıyla iletilen tek seferlik kodlar dahil) geçici olarak ele geçirmesine olanak tanır.
Telegram’a ulaşan JackieChan, müşterilerinin çoğunun suç niteliğindeki SIM takas dünyasından geldiğini ve müşterilerinin büyük bir kısmının hizmetini, müşterilerin arama hizmetini diğer web tabanlı hizmetlerle entegre etmesine olanak tanıyan bir uygulama programlama arayüzü (API) aracılığıyla kullandığını söyledi. , veritabanları veya uygulamalar.
JackieChan, KrebsOnSecurity’ye “Sim kanalları müşterimin çoğunu bulduğum yer” dedi. “Günde ortalama 100 arama yapıyorum. [Telegram] bot ve API’de günde yaklaşık 400.”
JackieChan, Telegram’daki USinfoSearch botunun, gerçek USinfoSearch tarafından kullanılan bir API’ye erişmek için gereken çalıntı kimlik bilgilerini kötüye kullandığını ve hizmetinin, bir süredir işlettiğini iddia ettiği bir botnet’e bağlı kötü amaçlı yazılım tarafından çalınan USinfoSearch hesap kimlik bilgilerinden destek aldığını iddia ediyor .
Bu, USinfoSearch’ün meşru müşteri kılığına giren kimlik hırsızlarıyla yaşadığı ilk sorun değil. 2013 yılında KrebsOnSecurity, yeraltındaki bir kimlik sahtekarlığı hizmetinin “SüperGet[.]bilgi”, üç büyük kredi bürosu aracılığıyla 200 milyondan fazla Amerikalıya ait kişisel ve finansal verilere erişimi yeniden satıyordu Experian.
Superget tarafından yeniden satılan tüketici verileri doğrudan Experian’dan değil, USinfoSearch aracılığıyla elde edildi. O zamanlar USinfoSearch’ün California’daki bir şirketle sözleşmeye dayalı bir anlaşması vardı. Mahkeme GirişimleriCourt Ventures’ın müşterileri USinfoSearch verilerine erişebiliyordu ve bunun tersi de geçerliydi.
Court Ventures, 2012 yılında Experian tarafından satın alındığında, SuperGet’in sahibi Vietnamlı bir hackerdı. Hieu Minh Ngo Amerikalı bir özel dedektifin kimliğine bürünen kişi, müşteri olarak dedesi olmuştu. ABD Gizli Servisi Ngo’nun yakalanmasını, iade edilmesini, kovuşturulmasını ve rehabilitasyonunu denetleyen ajan, KrebsOnSecurity’ye, Ngo’dan daha fazla Amerikalıya maddi mali zarar veren başka bir siber suçludan haberi olmadığını söyledi.
GERÇEK POLİS, SAHTE EDRS
JackieChan ayrıca Amerika Birleşik Devletleri ve yurtdışındaki kolluk kuvvetleri personeline ait saldırıya uğramış e-posta hesaplarına erişim de satıyor. Saldırıya uğramış polis departmanı e-postaları, USinfoSearch gibi platformlardan tüketici verilerini satın almak isteyen kolluk kuvvetleri görevlileri gibi görünmeye çalışan kimlik hırsızları için kullanışlı olabilir. Bay Hostettler’in, şirketinin hizmetlerine erişmeye çalışan dolandırıcılarla devam eden savaşının nedeni budur.
Bu polis kimlik bilgileri esas olarak hileli “Acil Durum Veri Talepleri” arayan suçlulara pazarlanmaktadır; dolandırıcılar, mobil sağlayıcılardan, ISP’lerden ve sosyal medya şirketlerinden müşteri hesap verilerini hızlı bir şekilde elde etmek için güvenliği ihlal edilmiş hükümet ve polis departmanı e-posta hesaplarını kullanır.
Normalde bu şirketler, müşteri veya kullanıcı kayıtlarını teslim etmeden önce kolluk kuvvetleri yetkililerinden mahkeme celbi sağlamalarını isteyecektir. Ancak EDR’ler, aranan bilginin yaklaşan bir intihar veya terör saldırısı gibi acil bir ölüm kalım meselesiyle ilgili olduğunu kanıtlayarak polisin bu süreci atlamasına olanak tanıyor.
Sahte EDR’lerin hacmindeki endişe verici artışa yanıt olarak, birçok hizmet sağlayıcı, tüm EDR’lerin, bilgileri talep eden kolluk kuvvetlerinin itibarına göre EDR’leri filtrelemeyi amaçlayan Kodex adı verilen bir hizmet aracılığıyla işlenmesini talep etmeyi seçmiştir. talep sahibinin özellikleri.
Örneğin, bir EDR göndermek istiyorsanız Coinbase veya Twilio, öncelikle geçerli kolluk kuvvetleri kimlik bilgilerine sahip olmanız ve bu şirketlerin Kodex çevrimiçi portalında bir hesap oluşturmanız gerekir. Ancak Kodex, belirli tehlike işaretlerini tetiklediği takdirde herhangi bir hesaptan gelen istekleri yine de kısıtlayabilir veya engelleyebilir.
Kendi ayrı Kodex portallarında Twilio, Coinbase’e gönderilen talepleri göremez veya bunun tersi de geçerlidir. Ancak her biri, kendi taleplerinden birine bağlı bir emniyet teşkilatı veya bireyin farklı bir Kodex istemcisine talep gönderip göndermediğini görebilir ve ardından, kullanılan İnternet adresi/adresleri gibi gönderen hakkındaki diğer verileri daha ayrıntılı olarak inceleyebilir. ve istekte bulunanın e-posta adresinin yaşı.
Ağustos ayında JackieChan, erişim kanıtı olarak Kodex hesap kontrol panelinin düzeltilmiş ekran görüntüleri de dahil olmak üzere siber suç kanallarında çalışan bir Kodex hesabının satışının reklamını yapıyordu.
Codex’in kurucu ortağı Matt Donahue KrebsOnSecurity’e şirketinin, JackieChan’ın reklamında gösterilen Kodex hesabını oluşturmak için kullanılan kolluk kuvveti e-posta adresinin muhtemelen Hindistan’daki bir polis memurundan çalındığını hemen tespit ettiğini söyledi. Donahue, büyük bir ipucunun, hesabı oluşturan kişinin bunu Brezilya’daki bir İnternet adresini kullanarak yapmış olması olduğunu söyledi.
Donahue, “Gayri meşru oyuncuların önünü kesebileceğimiz çok fazla sürtüşme var” dedi. “İnsanların VPN kullanmasına izin vermiyoruz. Bu durumda onları bal küpüne sokmalarına izin verdik ve bu şekilde ekran görüntüsünü aldılar. Ancak bu hesaptan hiçbir şeyin aktarılmasına izin verilmedi.”
USinfoSearch’ten ve “FCRA dışı” verileri (yani kişinin kredi, sigorta için uygunluğunu belirlemek amacıyla kullanılamayan tüketici verileri) elde eden ve satan düzinelerce başka veri aracısından, sizinle ve kişisel geçmişinizle ilgili çok büyük miktarda veri mevcuttur. veya istihdam.
Kolluk kuvvetlerinde veya yakınında çalışan herkes, genellikle kendilerini polis departmanlarına pazarlayan ve esasen gerçek hayatta başkalarını bulmak için – genellikle borç adına – tutulan ödül avcıları olan “takipçileri atlamak” için bu veri komisyoncularına erişim başvurusunda bulunma hakkına sahiptir. toplayıcılar, işlem sunucuları veya kefalet memuru.
Dünya çapında on binlerce polis yetki alanı bulunmaktadır; bunların yaklaşık 18.000’i yalnızca Amerika Birleşik Devletleri’ndedir. Ve acı gerçek şu ki, bilgisayar korsanlarının veri komisyoncularına erişim başvurusunda bulunması (ve EDR sürecini kötüye kullanması) için gereken tek şey, tek bir polis e-posta hesabına yasa dışı erişimdir.
Sorun şu ki, kolluk kuvvetlerinin e-posta hesaplarına ait ele geçirilmiş kimlik bilgileri, JackieChan ve birçok müşterisinin ikamet ettiği Telegram kanallarında endişe verici bir sıklıkta satışa çıkıyor. Donahue, Kodex’in bu yıl şimdiye kadar Hindistan, İtalya, Tayland ve Türkiye’deki polis departmanlarının ele geçirilen e-posta hesaplarından gelen sahte EDR girişimlerini tespit ettiğini söyledi.