Joker'sStash是一个被网络犯罪分子用来销售支付卡的网站,在执法部门没收其域名之一后受到了沉重打击。Joker'sStash是一个非常受欢迎的网络犯罪场所,专门买卖支付卡数据,为买家提供数百万张被盗信用卡和借记卡的信息。例如,10月,位于达拉斯的培根连锁店Dickey'sBarbecuePit的300万客户的支付卡信息出现在该网站上。任何有购买信息的客户都可以创建一张克隆卡以在ATM上使用;或者,他们只是使用这些信息在线购买商品。据DigitalShadows的研究人员称,Joker'sStash通过使用许多不同的域名来逃避检测。研究人员表示,这些域名包括区块链域名,例如.bazaar、.lib、.emc和.coin,以及两个Tor(.onion)版本。但上周晚些时候,该网站的.bazaar域开始显示美国司法部和国际刑警组织已经控制了该网站。不久之后,.lib、.emc和.coin域也开始显示“未找到服务器”横幅。根据DigitalShadows最近的一篇博客文章,“俄语网络犯罪论坛XSS上的一些早期聊天表明整个网站现已被关闭”。Joker'sStash的官方账号“JokerStash”在俄语签到论坛Club2CRD上创建了一个帖子,确认.黑手。无论如何,该人士仍在暗示,该网站的禁令不会长期影响运营。据DigitalShadows称:“该代表表示该服务器不包含任何‘存储数据’,并宣布他们正在创建新的服务器来传输该网站,这意味着该网站的所有区块链版本将在‘几天内’可用.最后,经本站官方账号确认,本站Tor版本并未受到影响,在此期间鼓励用户继续使用。然而,截至周一,该网站的Tor版本仍然无法访问,但JokerStash声称该地区的区块链网站已恢复营业。DigitalShadows的网络威胁情报分析师奥斯汀·梅里特(AustinMerritt)在接受采访时推测:“Tor服务器最初是在.对Joker'sStash的影响。该帖子的内容指出,“Joker'sStash仍然出现在其他几个网络犯罪论坛上,他用它们发布广告,提醒用户数百万信用卡和借记卡账户仍在出售,甚至被没收。”bazaardomains。”随后,Joker'sStash的官方账号也在Club2CRD上更新了一篇帖子,列出了一长串最近添加到该站点的新支付卡的转储记录。“区块链域名服务器(DNS)技术是一种去中心化的顶级域名系统,不像传统的DNS网站那样由中央机构监管。当网站想要将网站的IP地址与URL相匹配时,它会通过对等网络来实现。据研究人员介绍,区块链DNS网站通常通过Chrome浏览器访问,只要使用专门的区块链浏览器扩展程序,就可以访问带有特定URL后缀的网站。DigitalShadows研究人员指出,这些有利的特征使其有点像狂野的西部牛仔,使得传统安全服务难以追踪这种环境中的恶意活动。“其他交易账户信息的网站一直在尝试使用点对点DNS技术来隐藏恶意攻击,”研究人员写道。“因为区块链域名没有中央权威,并且是使用独特的加密哈希值注册的,而不是使用传统的个人姓名和地址,所以执法部门更难破坏该网站。”梅里特表示,Joker'sStash的其他非Tor类型站点很可能会被下线,因为它们已被管理员关闭。他告诉Threatpost:“由于该网站的官方帐户提到他们正在创建新服务器并打算移动该网站,因此他们可能尚未完成过渡。这些网站不可用的另一个原因可能是无法访问.bazaar,.lib、.emc、.coin域名浏览器插件无效;有时安装多个插件也会导致无法访问网站。“虽然这种执法行动不太可能让Joker'sStash长期停业,但它可能会影响该网站在市场上的‘可信度’,而且它还表明区块链DNS服务并非坚不可摧,”Merritt说。.同时,也可能促使他们改变战术。他告诉Threatpost:“执法机构打击网络犯罪的技术及其追踪罪犯的能力,将促使犯罪团伙采用更安全的方法,例如实施PGP加密、双因素身份验证(2FA)以及使用门罗币(XMR)和其他逃避检测的手段,针对Joker'sStash的执法行动可能在短期内起到威慑作用。正如我们所见,网站管理员可以通过将他们的操作转移到更安全的服务器来抵消审查的影响。”未来,执法部门可能会针对更多网站打击网络犯罪分子,”他们补充说。不幸的是,当网站或企业被关闭时,网络犯罪团伙会转向其他平台寻找新的途径。”
