La page de connexion du service de réexpédition criminel SWAT USA Drop.
L’un des plus grands services de cybercriminalité de blanchiment de marchandises volées a été piraté récemment, révélant ainsi ses opérations internes, ses finances et sa structure organisationnelle. Voici un aperçu plus approfondi de la société basée en Russie Service de dépôt SWAT USAqui emploie actuellement plus de 1 200 personnes à travers les États-Unis, sciemment ou involontairement impliquées dans la réexpédition de biens de consommation coûteux achetés avec des cartes de crédit volées.
L’un des moyens les plus courants utilisés par les voleurs pour extraire de l’argent des comptes de carte de crédit volés consiste à acheter des biens de consommation coûteux en ligne et à les revendre sur le marché noir. La plupart des détaillants en ligne ont pris conscience de ces escroqueries il y a des années et ont cessé de livrer dans les régions du monde les plus fréquemment associées à la fraude par carte de crédit, notamment l’Europe de l’Est, l’Afrique du Nord et la Russie.
Mais de telles restrictions ont créé un marché clandestin en plein essor pour les escroqueries de réexpédition, qui reposent sur des résidents volontaires ou involontaires aux États-Unis et en Europe pour recevoir des biens volés et les transmettre à des escrocs vivant dans les zones sous embargo.
Des services comme SWAT sont connus sous le nom de « Drops for stuff » sur les forums de cybercriminalité. Le « gouttes»sont des personnes qui ont répondu aux offres d’emploi de réexpédition de colis de travail à domicile annoncées sur craigslist.com et sur les sites de recherche d’emploi. La plupart des escroqueries de réexpédition promettent aux employés un salaire mensuel et même des primes en espèces. En réalité, les escrocs en charge cessent presque toujours de communiquer avec les dropshippings juste avant le premier jour de paie, généralement environ un mois après que le dropshipping a expédié son premier colis.
Les colis arrivent avec des étiquettes d’expédition prépayées payées avec des numéros de carte de crédit volés ou avec comptes en ligne piratés chez FedEx et le service postal américain. Drops est chargé d’inspecter et de vérifier le contenu des envois, d’attacher la bonne étiquette d’expédition à chaque colis et de les envoyer via la compagnie maritime appropriée.
SWAT prend un pourcentage de réduction (jusqu’à 50 pour cent) où «bourreaux» – des voleurs armés de numéros de carte de crédit volés – paient une partie de la valeur au détail de chaque produit à SWAT à titre de frais de réexpédition. Les vendeurs utilisent des cartes volées pour acheter des produits de grande valeur auprès de commerçants et demandent à ces derniers d’expédier les articles à l’adresse du lieu de dépôt. Une fois que les dropers ont reçu et réexpédié avec succès les colis volés, les expéditeurs revendent ensuite les produits sur le marché noir local.
Le service de largage SWAT existe sous différents noms et sous différents propriétaires depuis près d’une décennie. Mais début octobre 2023, l’actuel copropriétaire de SWAT, un russophone qui utilise la poignée « Intrépide« – s’est rendu sur son forum de cybercriminalité préféré pour déposer une plainte officielle contre le propriétaire d’un service de réexpédition concurrent, alléguant que son rival avait piraté SWAT et tentait de débaucher ses expéditeurs et ses réexpéditeurs en leur envoyant directement un e-mail.
Entreprise de sécurité basée à Milwaukee Détenir la sécurité a partagé des captures d’écran récentes du panneau utilisateur d’un SWAT stuffer fonctionnel, et ces images montrent que SWAT répertorie actuellement plus de 1 200 largages aux États-Unis qui sont disponibles à la location. Les coordonnées de Karim, un jeune homme du Maryland, figurait sur la liste des personnes actives. Contacté par KrebsOnSecurity, Kareem a accepté de s’exprimer à condition que son nom complet ne soit pas utilisé dans cette histoire.
Un panneau SWAT pour les bourreurs/clients. Cette page répertorie les règles du service, qui ne remboursent pas les bourreurs pour « cas de force majeure », c’est-à-dire que les autorités saisissent des biens volés ou arrêtent le dépôt.
Kareem a déclaré qu’il avait été embauché via un site d’emploi en ligne pour réexpédier des colis au nom d’une entreprise se faisant appeler CTSI, et qu’il reçoit et réexpédie des iPad et des montres Apple depuis plusieurs semaines maintenant. Kareem n’était pas vraiment ravi d’apprendre qu’il ne toucherait probablement pas son salaire le jour de paie promis, qui arrivait dans quelques jours.
Kareem a déclaré qu’on lui avait demandé de créer un compte sur un site Web appelé portail-ctsi[.]com, où chaque jour il devait se connecter et vérifier les nouveaux messages concernant les expéditions en attente. N’importe qui peut s’inscrire sur ce site Web en tant que mule de réexpédition potentielle, bien que cela nécessite que les candidats partagent de nombreuses informations personnelles et financières, ainsi que des copies d’une pièce d’identité ou d’un passeport correspondant au nom fourni.
Un panel SWAT pour les bourreurs/clients, répertoriant des centaines de livraisons aux États-Unis selon leur statut. Les « qui vont mourir » sont ceux qui sont sur le point d’être relâchés sans paiement promis, ou qui ont démissionné de leur propre chef.
On soupçonne que la page de connexion du portail-ctsi[.]com pourrait être un travail de codage personnalisé, KrebsOnSecurity a sélectionné « afficher la source » sur la page d’accueil pour exposer le code HTML du site. Récupérer un extrait de ce code (par exemple, « smarty/default/jui/js/jquery-ui-1.9.2.min.js ») et le rechercher sur publicwww.com révèle plus de quatre douzaines d’autres sites Web exécutant le même panneau de connexion. Et tout cela semble être destiné soit aux stuffers, soit aux drops.
En fait, plus de la moitié des domaines qui utilisent ce même panneau de connexion incluent en fait le mot « stuffer » dans l’URL de connexion, selon publicwww. Chacun des domaines ci-dessous qui se terminent par « /user/login.php » sont des sites de drops actifs et potentiels, et chacun correspond à une fausse société unique chargée de gérer sa propre stable de drops :
lvlup-store[.]com/stuffer/login.php
personnel[.]com/user/login.php
destaf[.]com/stuffer/login.php
jaderaplus[.]com/stuffer/login.php
33vache[.]com/stuffer/login.php
panelka[.]net/stuffer/login.php
un service[.]net/stuffer/login.php
réexpédition[.]ru/stuffer/login.php
Bachar[.]cc/stuffer/login.php
marketingyoursmall[.]biz/stuffer/login.php
Hovard[.]xyz/stuffer/login.php
retrait[.]xyz/stuffer/login.php
telollevoexpress[.]com/stuffer/login.php
postez-moi[.]aujourd’hui/stuffer/login.php
travail d’hiver[.]com/stuffer/login.php
escouade[.]club/stuffer/login.php
mmmpack[.]pro/stuffer/login.php
votre panneau intelligent[.]com/user/login.php
opt257[.]org/user/login.php
pavé tactile[.]en ligne/stuffer/login.php
peresyloff[.]top/stuffer/login.php
ruzke[.]vodka/stuffer/login.php
responsable du personnel[.]net/stuffer/login.php
travail de données[.]club/stuffer/login.php
Services logistiques[.]org/user/login.php
vaisseau spatial[.]club/stuffer/login.php
responsable logistique[.]en ligne/utilisateur/login.php
endorphine[.]monde/stuffer/login.php
burbon[.]club/stuffer/login.php
projet bigdrop[.]com/stuffer/login.php
paquet de travail[.]net/user/login.php
votre tableau de commande[.]com/stuffer/login.php
packmania[.]en ligne/stuffer/login.php
frère shopping[.]com/stuffer/login.php
tiret-étiquette rouge[.]com/user/login.php
manger[.]net/stuffer/login.php
mendier[.]travail/rembourrage/login.php
tableau de bord-chaux[.]com/user/login.php
contrôle-logistique[.]xyz/user/login.php
povetru[.]biz/stuffer/login.php
Dash-nitrologie[.]com/user/login.php
panneau cb[.]top/stuffer/login.php
hrparidiser[.]pro/stuffer/login.php
vidéosurveillance[.]top/user/login.php
versandproject[.]com/user/login.php
packitdash[.]com/user/login.php
avissanti-dash[.]com/user/login.php
e-hébergeur[.]vie/utilisateur/login.php
pacmanie[.]club/stuffer/login.php
Pourquoi tant de sites internet ? En pratique, toutes les livraisons sont effectuées dans les 30 jours environ suivant leur première expédition, juste avant l’échéance du chèque de paie promis. En raison de ce roulement constant, chaque exploitant de magasin d’articles doit constamment recruter de nouvelles recrues. De plus, avec cette configuration distribuée, même si une opération de réexpédition est arrêtée (ou exposée en ligne), les autres peuvent continuer à expédier des dizaines de colis par jour.
UN Etude académique 2015 (PDF) sur les services de réexpédition criminels a révélé que le coût financier moyen d’un programme de réexpédition par titulaire de carte était de 1 156,93 $. Cette étude a examiné les opérations financières de plusieurs systèmes de réexpédition et a estimé qu’environ 1,6 million de cartes de crédit et de débit sont utilisées pour commettre au moins 1,8 milliard de dollars de fraude en matière de réexpédition chaque année.
Il n’est pas difficile de comprendre à quel point la réexpédition peut être une entreprise rentable pour les escrocs aux cartes de crédit. Par exemple, un acheteur achète une carte de paiement volée sur le marché noir pour 10 $ et utilise cette carte pour acheter des marchandises d’une valeur de plus de 1 100 $. Une fois que le service de réexpédition a pris sa part (~ 550 $) et que l’expéditeur a payé son étiquette de réexpédition (~ 100 $), l’expéditeur reçoit les marchandises volées et les revend sur le marché noir en Russie pour 1 400 $. Il vient de transformer un investissement de 10 $ en plus de 700 $. Rincez, lavez et répétez.
La brèche chez SWAT a révélé non seulement les surnoms et les coordonnées de tous ses collaborateurs, mais également les revenus et paiements mensuels du groupe. SWAT a apparemment conservé ses livres dans un document Google Sheets accessible au public, et ce document révèle que Fearlless et son partenaire commercial gagnaient chacun régulièrement plus de 100 000 $ chaque mois en exploitant leurs différentes entreprises de réexpédition.
Les dossiers financiers exposés du SWAT montrent que ce groupe criminel a des dépenses d’une valeur de plusieurs dizaines de milliers de dollars chaque mois, y compris les paiements pour les coûts récurrents suivants :
-faire la publicité du service sur les forums criminels et via le spam ;
-des personnes embauchées pour réacheminer les colis, généralement par voix téléphonique ;
-des services tiers qui vendent des étiquettes USPS/Fedex piratées/volées ;
-des services de « drops test », des sous-traitants qui testeront l’honnêteté des gouttes en leur envoyant de faux bijoux ;
-des « documents », par exemple l’envoi de colis pour récupérer physiquement des documents juridiques pour de nouvelles sociétés écran factices.
La feuille de calcul comprenait également les numéros de compte de crypto-monnaie qui devaient être crédités chaque mois avec les revenus de SWAT. Sans surprise, un examen de l’activité blockchain liée aux adresses Bitcoin répertoriées dans ce document montre que nombre d’entre elles sont profondément associées à la cybercriminalité, notamment aux activités de ransomware et aux transactions sur les sites darknet qui vendent des cartes de crédit volées et des transactions. services proxy résidentiels.
Les informations divulguées par SWAT ont également révélé l’identité réelle et les transactions financières de son principal propriétaire – Fearlless, alias « SwatVerified ». Nous en saurons davantage sur Fearlless dans la deuxième partie de cette histoire. Restez à l’écoute.
