Suçlu yeniden sevkıyat hizmeti SWAT USA Drop’un giriş sayfası.
Çalınan malları aklamaya yönelik en büyük siber suç hizmetlerinden biri yakın zamanda saldırıya uğradı ve iç operasyonları, mali durumu ve organizasyon yapısı açığa çıktı. İşte Rusya merkezli şirkete daha yakından bakış SWAT ABD Bırakma HizmetiŞu anda Amerika Birleşik Devletleri’nde bilerek veya bilmeyerek çalıntı kredi kartlarıyla satın alınan pahalı tüketim mallarının yeniden gönderilmesine karışan 1.200’den fazla kişiyi istihdam eden bir şirket.
Hırsızların çalıntı kredi kartı hesaplarından nakit çekmenin en yaygın yolları arasında pahalı tüketim mallarını internetten satın alıp karaborsada yeniden satmak yer alıyor. Çoğu çevrimiçi perakendeci, yıllar önce bu dolandırıcılıklara karşı akıllıca davrandı ve Doğu Avrupa, Kuzey Afrika ve Rusya dahil olmak üzere dünyanın kredi kartı dolandırıcılığıyla en sık ilişkilendirilen bölgelerine gönderimi durdurdu.
Ancak bu tür kısıtlamalar, Amerika Birleşik Devletleri ve Avrupa’daki istekli veya kasıtsız sakinlerin çalıntı malları alıp ambargolu bölgelerde yaşayan dolandırıcılara iletmesine dayanan yeniden nakliye dolandırıcılığı için gelişen bir yer altı pazarı yarattı.
SWAT gibi hizmetler, siber suç forumlarında “Malzemeler için damlalar” olarak bilinir. “damla“, craigslist.com ve iş arama sitelerinde ilan edilen evde iş paketi yeniden gönderim işlerine yanıt veren kişilerdir. Yeniden gönderim dolandırıcılıklarının çoğu, çalışanlara aylık maaş ve hatta nakit ikramiye vaat ediyor. Gerçekte, sorumlu dolandırıcılar neredeyse her zaman ilk maaş gününden hemen önce, genellikle drop’un ilk paketini göndermesinden yaklaşık bir ay sonra droplarla iletişim kurmayı bırakıyor.
Paketler, çalıntı kredi kartı numaralarıyla veya FedEx ve ABD Posta Servisi’nde ele geçirilen çevrimiçi hesaplarla ödenen ön ödemeli gönderim etiketleriyle birlikte geliyor. Drops, gönderilerin içeriğini incelemek ve doğrulamaktan, her pakete doğru gönderi etiketini yapıştırmaktan ve bunları uygun nakliye şirketi aracılığıyla göndermekten sorumludur.
SWAT yüzdesel bir kesinti (yüzde 50’ye kadar) alır; burada “doldurucular” — çalıntı kredi kartı numaralarıyla donanmış hırsızlar, yeniden nakliye ücreti olarak her ürünün perakende değerinin bir kısmını SWAT’a ödüyor. Doldurucular, tüccarlardan yüksek değerli ürünler satın almak için çalıntı kartları kullanıyor ve tüccarların ürünleri teslimat adresine göndermesini sağlıyor. Damlalar çalınan paketleri alıp başarılı bir şekilde yeniden gönderdikten sonra, doldurucular ürünleri yerel karaborsada satıyor.
SWAT bırakma hizmeti, neredeyse on yıldır çeşitli isimler altında ve farklı mülkiyet altında varlığını sürdürüyor. Ancak Ekim 2023’ün başlarında, SWAT’ın şu anki ortak sahibi, ” tanıtıcısını kullanan, Rusça konuşan bir kişi.Korkusuz”- rakip bir yeniden nakliye hizmetinin sahibine karşı resmi bir şikayette bulunmak için en sevdiği siber suç forumuna gitti; rakibinin SWAT’ı hacklediğini ve doldurucularını ve yeniden nakliyecilerini doğrudan e-posta göndererek kaçırmaya çalıştığını iddia etti.
Milwaukee merkezli güvenlik firması Hold Security, çalışan bir SWAT doldurucusunun kullanıcı panelinin son ekran görüntülerini paylaştı ve bu görüntüler, SWAT’ın şu anda Amerika Birleşik Devletleri’nde doldurucuların kiralayabileceği 1.200’den fazla düşüş listelediğini gösteriyor. için iletişim bilgileri KareemMaryland’den genç bir adam, aktif bir düşüş olarak listelendi. KrebsOnSecurity’nin iletişime geçtiği Kareem, bu hikayede tam adının kullanılmaması şartıyla konuşmayı kabul etti.
Doldurucular/müşteriler için bir SWAT paneli. Bu sayfada, yetkililerin çalıntı mallara el koyması veya düşüşü durdurması gibi “doğal afetler” nedeniyle dolduruculara tazminat ödemeyen hizmetin kuralları listelenmektedir.
Kareem, kendisini çağıran bir şirket adına paketleri yeniden göndermek için çevrimiçi bir iş ilan panosu aracılığıyla işe alındığını söyledi CTSIve birkaç haftadır iPad’leri ve Apple saatlerini alıp yeniden gönderdiğini söyledi. Kareem, muhtemelen birkaç gün içinde gelecek olan söz verdiği maaş gününde maaşını alamayacağını öğrendiğinde pek de heyecanlanmadı.
Kareem, kendisine şu adresteki bir web sitesinde hesap oluşturma talimatı verildiğini söyledi: portal-ctsi[.]iletişimHer gün giriş yapması ve bekleyen gönderilerle ilgili yeni mesajları kontrol etmesi bekleniyordu. Herkes bu web sitesine potansiyel bir yeniden nakliye aracı olarak kaydolabilir, ancak bunu yapmak için başvuru sahiplerinin çok sayıda kişisel ve finansal bilginin yanı sıra verilen adla eşleşen bir kimlik veya pasaport kopyalarını paylaşmaları gerekir.
Doldurucular/müşteriler için, Amerika Birleşik Devletleri’ndeki yüzlerce düşüşü durumlarına göre listeleyen bir SWAT paneli. “Ölecek olanlar”, söz verilen ödeme yapılmadan salıverilmek üzere olan veya kendi başlarına işten ayrılanlardır.
Portal-ctsi’nin giriş sayfasının[.]com özel bir kodlama işi olabilir, KrebsOnSecurity sitenin HTML kodunu ortaya çıkarmak için ana sayfadan “kaynağı görüntüle”yi seçti. Bu kodun bir parçasını alıp (örneğin, “smarty/default/jui/js/jquery-ui-1.9.2.min.js”) ve şu adreste arama yapın: kamuwww.com aynı giriş panelini çalıştıran dört düzineden fazla web sitesini ortaya çıkarıyor. Ve bunların hepsi ya dolduruculara ya da düşmelere yönelik görünüyor.
Aslında, publicwww’e göre, aynı giriş panelini kullanan alanların yarısından fazlası aslında giriş URL’sinde “doldurucu” kelimesini içeriyor. Aşağıdaki “/user/login.php” ile biten alan adlarının her biri, aktif ve olası düşüşler için sitelerdir ve her biri, kendi düşme kararlılığını yönetmekten sorumlu benzersiz bir sahte şirkete karşılık gelir:
lvlup-mağaza[.]com/stuffer/login.php
kişisel sp[.]com/user/login.php
Birinci[.]com/stuffer/login.php
jaderaplus[.]com/stuffer/login.php
33inek[.]com/stuffer/login.php
panel[.]net/stuffer/login.php
hizmet[.]net/stuffer/login.php
yeniden nakliye[.]ru/stuffer/login.php
Beşar[.]cc/stuffer/login.php
pazarlamayoursmall[.]biz/stuffer/login.php
Howard[.]xyz/stuffer/login.php
geri çekmek[.]xyz/stuffer/login.php
telollevoexpress[.]com/stuffer/login.php
bana gönder[.]bugün/stuffer/login.php
kışlık iş[.]com/stuffer/login.php
takım oluşturma[.]club/stuffer/login.php
mmmpack[.]pro/stuffer/login.php
akıllı paneliniz[.]com/user/login.php
opt257[.]org/user/login.php
dokunmatik yüzey[.]çevrimiçi/doldurucu/login.php
peresyloff[.]top/stuffer/login.php
ruzke[.]votka/doldurucu/login.php
staf-manager.net/stuffer/login.php
veri işi[.]club/stuffer/login.php
lojistik-hizmetler[.]org/user/login.php
Swat gemisi[.]club/stuffer/login.php
lojistik yöneticisi[.]çevrimiçi/kullanıcı/login.php
endorfinler[.]dünya/doldurucu/login.php
Burbon[.]club/stuffer/login.php
büyük damla projesi[.]com/stuffer/login.php
iş paketi[.]net/user/login.php
kontrol paneliniz[.]com/stuffer/login.php
paketmania[.]çevrimiçi/doldurucu/login.php
alışveriş kardeşim[.]com/stuffer/login.php
kısa çizgi-kırmızı etiket[.]com/user/login.php
yönetici[.]net/stuffer/login.php
yalvarmak[.]iş/doldurucu/login.php
gösterge paneli-kireç[.]com/user/login.php
kontrol-lojistik[.]xyz/kullanıcı/login.php
hava[.]biz/stuffer/login.php
çizgi nitroloji[.]com/user/login.php
cb paneli[.]top/stuffer/login.php
hparidise etmek[.]pro/stuffer/login.php
d-cctv[.]üst/kullanıcı/login.php
Versand projesi[.]com/user/login.php
paket dash[.]com/user/login.php
uyarı çizgisi[.]com/user/login.php
e-host[.]hayat/kullanıcı/login.php
Pacmania[.]club/stuffer/login.php
Neden bu kadar çok web sitesi var? Uygulamada, tüm damlalar ilk sevkiyattan sonraki yaklaşık 30 gün içinde, yani söz verilen maaş çekinin ödenmesinden hemen önce kesiliyor. Bu sürekli kayıp nedeniyle, her malzeme mağazası işletmecisinin sürekli olarak yeni parçalar alması gerekiyor. Ayrıca, bu dağıtılmış kurulumla, bir yeniden sevkıyat işlemi kapatılsa (veya çevrimiçi olarak açığa çıksa bile), geri kalanlar günde düzinelerce paket pompalamaya devam edebilir.
Cezai yeniden gönderim hizmetleri üzerine 2015 yılında yapılan bir akademik çalışma (PDF), kart sahibi başına yeniden gönderim planının ortalama mali isabetinin 1.156,93 dolar olduğunu buldu. Bu çalışma, çeşitli yeniden gönderim planlarının mali operasyonlarını inceledi ve her yıl yaklaşık 1,6 milyon kredi ve banka kartının en az 1,8 milyar dolarlık yeniden gönderim dolandırıcılığı yapmak için kullanıldığını tahmin etti.
Kart dolandırıcıları için yeniden gönderimin ne kadar karlı bir girişim olabileceğini görmek zor değil. Örneğin, bir doldurucu karaborsadan çalıntı bir ödeme kartını 10 dolara satın alır ve bu kartı 1.100 dolardan fazla değerde mal satın almak için kullanır. Yeniden nakliye hizmeti payını aldıktan (~550 $) ve doldurucu yeniden nakliye etiketinin parasını (~ 100 $) ödedikten sonra, doldurucu çalınan malları alır ve bunları Rusya’daki karaborsada 1.400 $’a satar. Az önce 10 dolarlık bir yatırımı 700 dolardan fazlaya dönüştürdü. Durulayın, yıkayın ve tekrarlayın.
SWAT’taki ihlal, yalnızca tüm doldurma ve düşürmelerin takma adlarını ve iletişim bilgilerini değil, aynı zamanda grubun aylık kazançlarını ve ödemelerini de açığa çıkardı. Görünüşe göre SWAT, defterlerini herkesin erişebileceği bir Google E-Tablolar belgesinde tutuyordu ve bu belge, Fearlless ve iş ortağının her birinin, çeşitli yeniden nakliye işlerini yürüterek rutin olarak her ay 100.000 dolardan fazla kazandığını ortaya koyuyor.
Açığa çıkan SWAT mali kayıtları, bu suç grubunun her ay onbinlerce dolar değerinde harcama yaptığını gösteriyor; buna aşağıdaki yinelenen maliyetlere ilişkin ödemeler de dahil:
-hizmetin suç forumlarında ve spam yoluyla reklamını yapmak;
– genellikle telefon üzerinden sesli olarak paketleri yeniden yönlendirmek için işe alınan kişiler;
-hacklenmiş/çalınmış USPS/Fedex etiketlerini satan üçüncü taraf hizmetleri;
– “damla testi” hizmetleri, sahte mücevherler göndererek damlaların dürüstlüğünü test edecek yükleniciler;
-“belgeler”, örneğin yeni sahte paravan şirketler için yasal belgelerin fiziksel olarak alınması için damlaların gönderilmesi.
Elektronik tablo ayrıca her ay SWAT’ın kazançlarıyla ilişkilendirilecek kripto para birimi hesap numaralarını da içeriyordu. Şaşırtıcı olmayan bir şekilde, bu belgede listelenen bitcoin adreslerine bağlı blockchain etkinliğinin incelenmesi, bunların çoğunun, fidye yazılımı faaliyetleri ve çalıntı kredi kartları ve konut proxy hizmetleri satan darknet sitelerindeki işlemler de dahil olmak üzere siber suçlarla derin bir ilişkisi olduğunu gösteriyor.
SWAT’tan sızdırılan bilgiler aynı zamanda asıl sahibinin – Fearlless, diğer adıyla “SwatVerified”ın gerçek hayattaki kimliğini ve mali ilişkilerini de açığa çıkardı. Bu hikayenin II. Kısmında Fearlless hakkında daha fazla şey duyacağız. Bizi izlemeye devam edin.