Joker's Stash原本是网络犯罪分子用来出售支付卡的网站,在执法部门查封其域名后,使该网站受到沉重打击。
Joker's Stash这是一个非常受欢迎的网络犯罪场所。它专门用于销售支付卡数据,并向买方提供数百万张被盗信用卡和借记卡信息。例如,10月,达拉斯的熏肉店Dickey's Barbecue Pit该网站上出现了300万客户的支付卡信息。任何购买信息的客户都可以创建克隆卡ATM使用机器;或者,他们只是用这些信息在网上购物。
根据Digital Shadows研究人员说,Joker's Stash使用许多不同的域名来避免追查。研究人员说,这些域名包括.bazaar、.lib、.emc和.coin区块链域名和两个Tor(.onion)域名的版本。
但在上周晚些时候,该网站的.bazaar域名开始显示,美国司法部和国际刑警组织已经查封了该网站。不久之后,.lib、.emc和.coin 也开始显示域名"服务器找不到 "的横幅。
据Digital Shadows在最近的一篇博客中,"俄语网络犯罪论坛XSS一些早期聊天记录表明,整个网站现在已经被查封"。
Joker's Stash官方账号 "JokerStash "俄语打卡论坛Club2CRD上面创建了一个帖子,证实了.bazaar域名的外部代理服务器已经关闭,但尚不清楚DoJ国际刑警是否真的是这一行动的幕后黑手。无论如何,该人士仍暗示,网站的禁令不会影响长期运营。
根据Digital Shadows.的说法:"该代表表示,服务器中不包含任何'商店数据',并且宣布他们正在创建新的服务器来转移网站,这意味着所有区块链版本的网站将在'几天内恢复正常,最后,经该网站的官方账号确认,网站的Tor版本没有受到影响,并鼓励用户在此期间继续使用。"
然而,截至周一,该网站Tor版本仍然不能使用,但是JokerStash声称区块链网站已经恢复营业。Digital Shadows网络威胁情报分析师Austin Merritt在采访中推测:"最初在.bazaar域名被查封后用于发布广告Tor服务器仍处于离线状态,很可能会转移到新的服务器上。"
因此,研究人员表示,查封.bazaar域名可能不对Joker's Stash影响太大。帖子内容显示,"Joker's Stash其他几个网络犯罪论坛仍然存在。他利用这些论坛发布广告提醒用户,仍有数百万信用卡和借记卡账户出售,甚至在销售.bazaar域名被查封后,Joker's Stash官方账号还在Club2CRD上面更新了一篇帖子,列出了最近在网站上添加的一长串新支付卡的转账记录。"
区块链域名服务器(DNS)与传统不同,技术是一个分散的顶级域名系统DNS该网站受到中央权威机构的监督。当网站想要网站时IP地址与URL匹配时,将通过点对点网络进行搜索。研究人员表示,区块链DNS网站通常通过Chrome访问浏览器,只要使用特殊的区块链浏览器进行扩展,就可以访问某些浏览器URL后缀网站。
Digital Shadows研究人员指出,这些有利的特点使它有点像狂野的西部牛仔,传统的安全服务很难在环境中找到恶意活动。
研究人员写道:"为了隐藏恶意攻击,其他用于交易账户信息的网站一直试图使用点对点DNS技术。由于区块链域名没有中央权威,注册时使用的是唯一的加密哈希值,而不是传统的个人姓名和地址,执法部门更难抓住网站。"
Merritt表示,Joker's Stash的其他非Tor由于管理员撤销,这类网站很可能会下线。
他告诉Threatpost : "由于该网站的官方账户提到他们正在创建新的服务器并计划转移该网站,他们可能还没有完成过渡。这些网站不能使用的另一个原因可能是访问.bazaar、.lib、.emc和.coin域名所需的浏览器插件失效;有时安装多个插件会导致无法访问网站。"
梅里特说:”尽管执法行动不太可能Joker's Stash它已经停滞了很长一段时间,但它可能会对市场上的网站 "信誉 "影响也表明区块链DNS服务并非不可动摇。这也可能促使他们改变策略。“
他告诉Threatpost:"执法机构打击网络犯罪的技术及其跟踪犯罪者的能力将促使犯罪团伙采取更安全的方法,如实施PGP加密,双因素认证(2FA),以及利用Monero(XMR)避免追查等手段,针对Joker's Stash执法行动可能在短期内起到威慑作用。正如我们所看到的,网站管理员可以将业务转移到更安全的服务器上,以弥补审查后对网站运营的影响。"
他们补充道:"未来,为了打击网络犯罪分子,更多的网站可能犯罪分子的对象。不幸的是,当一个网站或业务关闭时,网络犯罪团伙将通过其他平台寻找新的方式"。