監視網路犯罪地下世界有時會帶領我們進入一些有趣的事件。我們最近看到一篇俄羅斯地下論壇的網路犯罪貼文讓我們發現超過136,000張被竊的信用卡資訊。
在錯的地方尋求協助
這故事開始於俄羅斯地下論壇的這篇文章。
圖一、地下論壇的文章(點擊放大)
這來自acmpassagens的貼文尋求關於知名虛擬讀卡機端點銷售系統(PoS)惡意軟體家族的協助並非不尋常。然而,有兩件事情值得注意:首先,雖然該貼文使用俄文,卻非俄文母語者所寫。句子結構並不大正確。該發文者還聲稱自己已經存取超過400個加油站和商店的端點銷售系統,位在…巴西。這是個來自巴西的使用者在俄羅斯地下論壇提出問題。
在他的文章內,acmpassagens留下了電子郵件地址(acmpassagens3@yahoo.com.br)和Skype帳號(acmpassagens)。加上他的使用者名稱,就可以找到這人其他的網路活動。例如,在一微軟官方論壇上,他回覆一篇關於信用卡讀卡器的詢問,提供軟體出售:
圖二、在微軟開發者網路(MSDN)的貼文
和卡片讀卡機相關的影片包含他的電子郵件地址,好讓想「加入這門生意」的好奇者也可以直接聯繫他。
圖三、Youtube影片
但一開始似乎沒有任何線上資訊可以幫我們揭開acmpassagens的身份。我們只知道一些他所使用的電子郵件地址和他的兩個Skype帳號:acmpassagens和_brenosk815。
然而,就在我們要放棄這案子時,努力搜尋 Google 的結果也讓我們中了大獎:一個acmpassagens所使用的線上儲存服務帳號4Shared。此外,他帳號內的所有內容,共有1GB,是開放給網路上的所有人而無須帳號密碼。
圖4和圖5、公開的4Shared帳號
帳號內有什麼?
4Shared帳號內的檔案包含了看似acmpassagens進行網路犯罪活動的記錄。它包含惡意軟體、網路釣魚範本和各種像是網路犯罪份子、共犯以及受害者個人資料的文件。
首先,誰是acmpassagens?根據該帳號,他是一個名為Breno Franco的巴西人。他形容自己是個「商人」,有個正式地址在Salvador,這是巴西的第八大城市。帳號內還有多張他的照片:
圖6、Breno Franco的照片
除此之外,還有許多跟Franco先生的錢騾有關的資訊。我們發現各種包括Visa卡單及銀行對帳單的文件。
圖7、掃描的身份證
其中有些文件可能不是真的。然而,看來也像是這些錢騾的私人資訊,包括護照和巴西正式身份證(見上圖)。很難確定這些文件是否屬於真實的人或護照是否為假造,因為我們也在4Shared上發現假護照的Photoshop檔案。此外,還有一則錢騾和Franco先生之間的VoIP通話記錄:
圖8、VoIP通話記錄
Franco先生的網路犯罪收穫如何?我們在帳號中發現似乎儲存以備將來之用的136,000張信用卡號碼。
表1、被竊卡片
這裡面有超過107,000張是Visa卡,超過20,000張是萬事達卡,還有其他一些較小量的發卡單位。Visa是FIFA的官方合作夥伴,或許也可以解釋為什麼Visa客戶這麼常受害。
4Shared帳號內也包含Franco先生可能用來進行攻擊的工具。有屬於虛擬讀卡機和BlackPOS家族的PoS惡意軟體,可能被用來進行Franco先生在他的一些文章中所描述進行的攻擊。
除了上述惡意工具,還有兩個在處理竊卡資料上很有用的檔案。一個是用來產生有效信用卡號碼的檔案。另一個是用來驗證卡號,被稱為T3ST4D0R C0D3R(CC VALIDA)。(被網路犯罪份子所濫用的正版軟體。)
還有各種釣魚網站範本儲存在4Shared帳號內。一些網站最近才被發現有實際使用。這些釣魚網站利用了當時進行中的世界杯賽事:
圖9、釣魚網站
其中一個網路釣魚範本被上傳到一個被入侵的巴西餐廳和商店網站。在此網站的檔案可以分成兩類;2011年的檔案,當合法網站最後建立/修改的時間,和2014年,Franco先生控制此網站並用來放置其釣魚網頁的時間。
結論
在過去,網路犯罪分子是以不同的族群在地下運作。有獨立的俄羅斯地下社群、拉丁美洲地下社群等。現在已經不再是如此:網路犯罪份子正在跨越國界,結合各種可用的工具和資源。
因為網路犯罪份子越來越能夠一起合作,攻擊將真正變成全球性。趨勢科技將繼續與執法單位密切合作,支援並分享資訊以盡可能地將不法份子繩之以法。