Dieser Bericht identifiziert und verbindet den ursprünglichen Joker's Stash-Marktplatz mit der Infrastruktur, die zur Unterstützung seiner Benutzerbasis verwendet wird. Dieser Bericht dürfte vor allem für jene von Interesse sein, die die Schattenwirtschaft verfolgen, für Unternehmen, die auf gestohlene Kreditkartendaten achten müssen, sowie für Analysten, die sich für die Neuausrichtung der Infrastruktur interessieren. Zu den Quellen gehören die Recorded Future ® Platform, DomainTools Iris, Shodan, BinaryEdge, Censys, SecurityTrails und FarsightDNS sowie Metadaten von Drittanbietern und gängige OSINT-Techniken.

Executive Summary

Der Joker's Stash-Marktplatz hat sowohl sein Angebot als auch seine Infrastruktur weiterentwickelt, um seine Kundschaft besser unterstützen zu können. Die Forumbetreiber sind über die bloße Erfassung von personenbezogenen Daten (PII) der Opfer hinausgegangen und erfassen nun auch Kontaktdaten und Sozialversicherungsnummern (SSNs). Dies stellt eine Steigerung der Art von Daten dar, die die Betreiber von Joker’s Stash verkaufen. Darüber hinaus stellen die Akteure ihren Käufern weiterhin dedizierte Domänen und Server zur Verfügung, haben die Infrastruktur jedoch von Tor weg verlagert, sodass die Infrastruktur erfasst und verfolgt werden kann.

Wichtige Urteile

• Die Betreiber von Joker’s Stash haben ihr Angebot dahingehend geändert, dass mehr persönlich identifizierbare Informationen enthalten sind, auf die die Benutzer leicht zugreifen können. Das Volumen dieser Daten ist in den letzten Jahren gewachsen. Dies stellt eine sich entwickelnde und dauerhafte Bedrohung für Verbraucher und Einzelhändler dar, da Betrüger den Markt bevölkern.
• Recorded Future geht mit hoher Wahrscheinlichkeit davon aus, dass die Infrastruktur von Joker’s Stash über das Hauptforum hinausgeht, das derzeit von Bedrohungsakteuren betrieben wird; über 500 Domänen und 54 Server waren mit Joker’s Stash verknüpft.
• Recorded Future geht davon aus, dass die mit Joker's Stash verbundenen Domänen und Server hochgefahren und für Spitzen in der verfügbaren Datenmenge verwendet werden, um Kunden, die in großen Mengen kaufen, besseren Support zu bieten.
• Recorded Future geht davon aus, dass Joker's Stash für Bedrohungsakteure weiterhin ein beliebter Marktplatz bleiben wird, auf dem sie kompromittierte Kreditkarten anbieten und verkaufen, da Spitzenwerte bei den Marktplatzaktivitäten mit größeren Sicherheitsverletzungen einhergingen.

Hintergrund

In den letzten fünf Jahren hat sich Joker's Stash zu einem der führenden Untergrund-Kreditkartengeschäfte entwickelt, da zahlreiche gestohlene Kreditkarten aus Datenschutzverletzungen bei Unternehmen wie Target, Walmart, Saks Fifth Avenue, Lord & Taylor und British Airways freigegeben wurden. Diese kompromittierten Zahlungskartenverkäufe werden in einer Reihe von Darknet-Foren beworben, darunter Omerta, Club2Crd, Verified und andere. Am 22. August 2019 veröffentlichte das Geschäft die erste Charge gestohlener Kreditkartendaten (Dumps) aus einem angeblichen Point-of-Sale-Verstoß (POS) bei der Gas- und Convenience-Kette Hy-Vee. Es wird geschätzt , dass Joker's Stash 5,3 Millionen Kreditkartennummern auflistet , die mit diesem Verstoß in Verbindung stehen.

Nachrichtenbereich, wie er auf Joker's Stash gelistet ist, Stand: 30. September 2019.
Obwohl es vor allem für kompromittierte Zahlungskarten bekannt ist, hat das Geschäft seine Datenbank mit SSNs mit angehängten PII erheblich erweitert. Die Daten umfassen Aufzeichnungen von Fortune-500-Führungskräften, Mitgliedern des Kabinetts des Weißen Hauses und Karteninhabern aus mindestens 35 US-Bundesstaaten. Recorded Future konnte die Authentizität dieser SSN-Einträge nicht überprüfen, konnte jedoch eine kleine Anzahl von überprüften Instanzen überprüfen, in denen sich die personenbezogenen Daten als korrekt erwiesen haben. Seit August 2019 wirbt die Gruppe prominent auf Twitter für ihre SSN-Beteiligungen.

Ergebnisse einer SSN-Suche vom Joker's Stash-Marktplatz.

Analyse der Inserate

Der Joker's Stash-Markt ist jetzt in drei Hauptabschnitte unterteilt: Dumps, Karten und SSNs. Sowohl „Dumps“ als auch „Cards“ beziehen sich auf gestohlene Zahlungskartendaten. „Dumps“ beziehen sich auf die „Spur 2“-Daten (in manchen Fällen auch auf die „Spur 1“-Daten) auf dem Magnetstreifen einer Zahlungskarte. Karten enthalten die vollständigen Daten, die mit einer Transaktion ohne Karte verknüpft sind, wie etwa die Zahlungskartennummer, das Ablaufdatum und die CVV-Nummer sowie weitere Informationen, die der Zahlungskarteninhaber typischerweise bei einem Online-Kauf angibt. Der SSN-Abschnitt stellte eine ernsthafte Neuerung für den Marktplatz dar und bot im Vergleich zu den relativ kurzlebigen Daten der Kreditkartendaten einen hartnäckigeren Betrugsvektor. Joker's Stash bietet eine umfassende Menge an persönlichen Daten für 5 US-Dollar pro Datensatz, durchsuchbar nach Vor- und Nachnamen und mindestens einem weiteren Identifikator wie „Geburtsdatum“ oder „Bundesstaat“. Wenn die Platte noch verfügbar und noch nicht gekauft ist, wird auf der Website eine Schaltfläche „Kaufen“ angezeigt. Datensätze, bei denen als „zu spät zum Kaufen“ gekennzeichnet ist, wurden bereits von einem anderen Bedrohungsakteur gekauft und werden wahrscheinlich bereits verwendet.

Suchfunktion für Sozialversicherungsnummern in Joker's Stash, Stand: 30. September 2019.
Die SSNs können in großen Mengen durchsucht und nach Standort gefiltert werden. Die zusätzlichen personenbezogenen Daten, einschließlich der aktuellen Adresse und Postleitzahl, können ein spezifisches Bereichstargeting durch Betrüger ermöglichen, was möglicherweise Betrug gegen regionale Banken, Kreditgenossenschaften oder kleinere Einzelhandelsketten erleichtert. Besonders beunruhigend ist die Leichtigkeit, mit der auf diese Daten zugegriffen werden kann. Dies ist der bekannteste Markt oder das prominenteste Forum, das Recorded Future bekannt ist und das SSNs in großen Mengen verkauft. Es ist auch das erste Forum, das solch robuste Suchfunktionen für ihre Datensätze ermöglicht.

Massensuche nach Sozialversicherungsnummern, Stand: 30. September 2019.

Die Einführung von SSNs, auf die ohne Überprüfung durch das Forum zugegriffen werden kann, senkt die Eintrittsbarriere für Identitätsdiebstahl erheblich. Während der Verkauf von Sozialversicherungsnummern auf Joker's Stash wahrscheinlich zu unentdecktem Identitätsdiebstahl und dem Diebstahl von Finanzdaten führt, wird er höchstwahrscheinlich auch zu betrügerischen Versuchen mit geringerer Reichweite führen. Dies führt zu Volumenproblemen für Banken und Finanzinstitute, die versuchen, Betrug festzustellen, wenn eine Anfrage mit vollständig korrekten PII gestellt wird.

Verfolgung der Stash-Infrastruktur von Joker

Die Betreiber von Joker’s Stash haben sich zusätzlich zu ihren Märkten, die verschleierte Zugriffsmethoden verwenden, auf die Infrastruktur im Clearnet verlassen. Joker’s Stash hat 2017 neben einem Tor-Marktplatz die Verwendung von Blockchain DNS über eine Browsererweiterung implementiert, um die Zugangsbarrieren für Neukunden zu senken. Die Verwendung von Blockchain DNS beinhaltet den Download einer Browsererweiterung, die alle DNS-Daten für verschiedene Top-Level-Domains (TLDs) lokal speichert. Die Hosting-Daten werden nicht von herkömmlichen DNS-Anbietern verwaltet oder mit diesen geteilt, sondern über ein Peer-to-Peer-Netzwerk. Die Peer-to-Peer-Natur des Dienstes macht den Joker's Stash-Marktplatz unempfindlicher gegen Takedowns oder Sinkholing durch DNS-Behörden.

Die Insikt Group konnte 49 Server und 543 Domänen identifizieren, die mit hoher Sicherheit mit Joker’s Stash verknüpft sind. Für den Zugriff auf jstash[.]bazar wird die Blockchain DNS Browsererweiterung benötigt. aber Blockchain DNS hat die IP-Adresse von jstash[.]bazar auf einer anderen Webseite veröffentlicht und so jede mögliche Verschleierung durch das dezentrale DNS umgangen.

Die Gruppe hat auf ihren angeblichen Social-Media-Konten auf Reddit, Twitter, PasteSites und anderen Carding-Foren für eine Reihe verschiedener Domains geworben. Es gibt drei Domänen, die insbesondere mit Joker's Stash in Verbindung stehen:

• jstash[.]bazar, der Flaggschiff-Shop von Joker’s Stash, ist nur über die Blockchain-DNS-Browsererweiterung zugänglich. Es stellte sich jedoch heraus, dass die Domäne unter der IP-Adresse 185.61.137.166 gehostet wurde.
• jstash[.]ch wurde in Carding-Foren unter dem Namen „Joker's Stash“ beworben, läuft aber im offenen Internet auf dem Server 188.209.52.24.
• jstash[.]de wurde auf Reddit beworben, wird auf 185.61.138.182 gehostet und war zuvor auf demselben Server wie jstash[.]ch, auf 188.209.52.24, gehostet.

Versuch, am 25. September 2019 über normales DNS auf den Joker's Stash-Server zuzugreifen.
Die Server 185.61.138.182 und 185.61.137.166 boten zwei ungewöhnliche Eigenschaften für das Pivoting. Beim Zertifikatpivoting wurden vier zusätzliche IP-Adressen im selben CIDR-Bereich (185.61.137.0/24) identifiziert, die dieselben Seriennummern für TLS-Zertifikate wie die oben genannten Server verwendeten. Darüber hinaus teilten sich alle IP-Adressen einen HTTPS-Titel: "Joker's Favorite CAPTCHA". Die Daten von Shodan, Binary Edge und Censys zeigten 54 Server, die denselben HTTPS-Titel, dieselben Header und dieselbe Zielseite hatten. Diese IP-Adressen finden Sie in Anhang A, während Beispiel-Header in Anhang B zu finden sind.

Beispiel für den Server-Header von Joker's Stash, über Shodan.

Mittels Reverse-IP-Lookups und WHOIS-Pivots wurden insgesamt 543 Domains identifiziert. Die Domains verwendeten eine ähnliche Namenskonvention: [Englisches-Wort1]-[Englisches-Wort2]-[Englisches-Wort3]. [TLD]. Es sollte beachtet werden, dass diese Domains nicht bösartig sind, in der Art und Weise, wie sie Malware oder Phishing-Besucher verbreiten. Über Bereiche dieser Art wurde bereits von Brian Krebs berichtet; Die Domains fungieren als Portale für die größten Kunden von Joker's Stash, um dedizierte Server zum Kaufen, Speichern und Abrufen von Karten von Interesse zu haben. Die Insikt Group überprüfte die Verbindung, indem sie Testtransaktionen auf den Domains durchführte, die sich im Testkontostand des Flagship-Shops widerspiegelten. Der Großteil der Domains wurde auf den folgenden IP-Adressen gehostet:

• 179.43.169.17
• 185.82.200.250
• 185.178.211.162
• 85.25.193.28
• 85.25.192.57

Beispiel für einen Cluster von Domains zu einer IP aus der Stash-Infrastruktur von Joker.
Es gibt sehr wahrscheinlich weitere Bereiche, die mit dieser Aktivität in Verbindung stehen, die in dieser Studie nicht identifiziert wurden. Domains, die Recorded Future mit hoher Zuverlässigkeit mit Joker's Stash verbunden hat, sind in Anhang C aufgeführt.

Maltego-Mapping der Stash-Infrastruktur von Joker.
Anders als beim Hauptshop von Joker's Stash können die Domains und Server über normale Browser aufgerufen werden. Dies ermöglicht es den Betreibern, ihren besten Kunden einen besseren Service zu bieten, ohne andere betriebliche Sicherheitsmaßnahmen ergreifen zu müssen. Diese Infrastruktur wurde ursprünglich generiert, um bestätigten Kunden Zugang zu gewähren und gleichzeitig die Auswahl an gefälschten Joker's Stash-Domains zu vermeiden, die zwischen 2015 und 2016 erstellt wurden. Bemerkenswert ist, dass die Verbindung zu den Domains oder Servern über Tor eine Begrüßungsseite lädt, die den Benutzern sagt, dass sie einen normalen Browser verwenden sollen, um auf die Seite über Clearnet zuzugreifen. Dies ist wahrscheinlich, um bekannte Tor-Ausgangsknoten zu blockieren, da Listen häufig weitergegeben werden.

Tor-Warnung vom Joker's Stash-Server am 25. September 2019.
464 der Domains gaben den gleichen Fehlercode "511 Network Authentication Required" zurück wie die oben genannten Server. Webseiten, die aufgelöst wurden, renderten dieselbe "Joker's Favorite CAPTCHA"-Seite; Sie gewährten jedoch keinen Zugriff auf die normalen Anmeldeinformationen von Joker's Stash. Dies impliziert, dass sie für die spezifische Kundschaft verwendet werden.
Historische Hosting-Daten dieser Domains identifizierten 176 eindeutige Server; Recorded Future schätzt einen großen Teil davon als geringes Vertrauen ein, von Registraren, die die Domains parken, bis hin zum Zwischenhosting. Diese Daten können einen Wert für zukünftige Korrelationen liefern, sind aber derzeit nicht Teil der Stash-Infrastruktur des Jokers.
Ein weiteres Element der Infrastrukturanalyse ist die Betrachtung einer Zeitanalyse zu Domainregistrierungsdaten. Bei einem Blick auf alle mit dieser Methode identifizierten Domains zeichneten die Analysten das Datum der Domainregistrierung im Zeitverlauf auf, wie unten in der Grafik "Domain Registrations Over Time" (DROT) hervorgehoben. Basierend auf unseren Ergebnissen kam es in den Jahren 2015 und 2017 zu Aktivitätsspitzen, die mit ungefähren Daten größerer Verstöße korrelieren. Viele dieser Domains wurden im Jahr 2019 für die fortlaufende Nutzung reaktiviert.

DROT-Diagramm für mit Joker's Stash verbundene Domänen.

Die Wiederverwendung dieser Domains zeigt, dass der Kundenstamm bei großen Verstößen schwankt. Zum Beispiel wurde eine große Anzahl dieser Domains im Jahr 2017 registriert, bevor die Verstöße gegen Sonic und Jason's Deli sowie andere große Verstöße gegen die Zahlungskarten bekannt wurden. Joker's Stash bewirbt in der Regel die Veröffentlichung neuer Zahlungskarten nach einer neuen Sicherheitsverletzung weit vor der Zeit und es kann in ähnlicher Weise erwartet werden, dass es die Infrastruktur im Vorfeld dieser Veröffentlichungen verbessert. Die Insikt Group geht mit großer Sicherheit davon aus, dass im Jahr 2019 eine Reihe von Domains im Zusammenhang mit der Übernahme der Hy-Vee-Sicherheitsverletzungsdaten durch Joker Stash reaktiviert wurden. Die Insikt Group geht davon aus, dass diese Infrastruktur in Erwartung von Kundeninteraktionen bei größeren Sicherheitsverletzungen aufgebaut wird. Beispiele für diese Domains finden Sie unten.

Ausblick

Durch die Ausweitung der SSN-Datensätze von Joker’s Stash stellt das Unternehmen eine dauerhafte Bedrohung für Einzelhändler, Gastronomiebetriebe und Verbraucher dar und erschwert die Erkennung betrügerischer Transaktionen zusätzlich. Recorded Future geht davon aus, dass Joker’s Stash aufgrund der Benutzerfreundlichkeit und Monetarisierung gestohlener Zahlungskartendaten weiterhin ein erhebliches Risiko darstellen wird. Darüber hinaus deutet das Volumen der Infrastruktur, die für Kunden geschaffen wurde, die große Datenmengen von Joker’s Stash kaufen, auf eine große Kundenbasis hin. Darüber hinaus dürfte die Einbeziehung personenbezogener Daten die Ausweitung des Carding auf Kriminelle niedrigeren Ranges begünstigen, da es für weniger versierte Personen einfacher wird, Maßnahmen zur Betrugsbekämpfung zu umgehen.

Die schnelle und kostengünstige Verfügbarkeit scheinbar korrekter persönlicher Daten auf Joker's Stash kann für Einzelpersonen sogar noch schädlicher sein als der Verlust von Zahlungskartendaten. Sind die personenbezogenen Daten einer Person erst einmal bekannt, ist es viel schwieriger, den Betrug zu entschärfen, als einfach eine neue Karte auszustellen. Zudem kann das Opfer noch jahrelang von Betrug betroffen sein, da sich Informationen wie Sozialversicherungsnummer, Mädchenname der Mutter, Geburtsdatum, Geburtsort usw. als Verifizierungsmethoden viel schwerer ändern oder ersetzen lassen.

Empfehlungen

Sozialversicherungsdaten, Bankdaten und Zahlungskarten sollten sorgfältig auf betrügerische Aktivitäten überwacht werden. Obwohl die von großen Banken und Kreditkartenanbietern angebotenen Schutzmechanismen sehr gut dazu geeignet sind, Betrugsfälle zu erkennen, empfiehlt Recorded Future eine fortlaufende Überprüfung und Kontrolle der Zahlungskarten- und Banktransaktionen, beispielsweise die Einrichtung von Benachrichtigungen für alle Transaktionen ohne Karte. Die Insikt Group empfiehlt, die in den zugehörigen Anhängen aufgeführte Infrastruktur von Joker's Stash weiterhin auf neue IP-Adressen und Domänen zu überwachen, um die Schwankungen bei den Betreibern und Kunden des Stores zu verstehen.

Recorded Future ist der Ansicht, dass Netzwerkadministratoren die in den Anhängen A und C aufgeführten Domänen und IP-Adressen überwachen sollten, da diese darauf hinweisen könnten, dass ein Benutzer im Netzwerk in irgendeine Art von Betrug verwickelt ist.

Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.