監視網路犯罪地下世界有時會帶領我們進入一些有趣的事件。我們最近看到一篇俄羅斯地下論壇的網路犯罪貼文讓我們發現超過136,000張被竊的信用卡資訊。
在錯的地方尋求協助
這故事開始於俄羅斯地下論壇的這篇文章。
圖一、地下論壇的文章(點擊放大)
這來自acmpassagens的貼文尋求關於知名虛擬讀卡機端點銷售系統(PoS)惡意軟體家族的協助並非不尋常。然而,有兩件事情值得注意:首先,雖然該貼文使用俄文,卻非俄文母語者所寫。句子結構並不大正確。該發文者還聲稱自己已經存取超過400個加油站和商店的端點銷售系統,位在…巴西。這是個來自巴西的使用者在俄羅斯地下論壇提出問題。
在他的文章內,acmpassagens留下了電子郵件地址(acmpassagens3@yahoo.com.br)和Skype帳號(acmpassagens)。加上他的使用者名稱,就可以找到這人其他的網路活動。例如,在一微軟官方論壇上,他回覆一篇關於信用卡讀卡器的詢問,提供軟體出售:
圖二、在微軟開發者網路(MSDN)的貼文
和卡片讀卡機相關的影片包含他的電子郵件地址,好讓想「加入這門生意」的好奇者也可以直接聯繫他。
圖三、Youtube影片
但一開始似乎沒有任何線上資訊可以幫我們揭開acmpassagens的身份。我們只知道一些他所使用的電子郵件地址和他的兩個Skype帳號:acmpassagens和_brenosk815。
然而,就在我們要放棄這案子時,努力搜尋 Google 的結果也讓我們中了大獎:一個acmpassagens所使用的線上儲存服務帳號4Shared。此外,他帳號內的所有內容,共有1GB,是開放給網路上的所有人而無須帳號密碼。
圖4和圖5、公開的4Shared帳號
帳號內有什麼?
4Shared帳號內的檔案包含了看似acmpassagens進行網路犯罪活動的記錄。它包含惡意軟體、網路釣魚範本和各種像是網路犯罪份子、共犯以及受害者個人資料的文件。
首先,誰是acmpassagens?根據該帳號,他是一個名為Breno Franco的巴西人。他形容自己是個「商人」,有個正式地址在Salvador,這是巴西的第八大城市。帳號內還有多張他的照片:
圖6、Breno Franco的照片
