Il carding è il principe dei crimini online. Consiste nel vendere i dati rubati delle carte di pagamento: numero della carta, scadenza, nome del titolare. Chi li acquista può usare i dati per comprare online qualsiasi cosa con i soldi del proprietario della carta. EmpireMarket è una piattaforma presente sul dark web che vende questi dati (assieme a banconote contraffatte, armi, documenti falsi).

Il bazar EmpireMarket va periodicamente online e offline per motivi di sicurezza. Al momento, i gestori scrivono sulla pagina iniziale di essere stati oggetto di un attacco informatico per più di due settimane. Hanno annunciato di aver ripreso “solo parzialmente” il controllo della piattaforma. Chiedono un aiuto economico a ogni utente per far fronte ai problemi attuali: una donazione del valore di 30 dollari nella criptomoneta bitcoin (con l’obiettivo di “comprare più server“).

Prima dell’attacco, carte di pagamento American Express, Mastercard e Visa venivano messe in vendita sul sito. Veniva indicato il saldo della carta e il prezzo per comprare i dati. Una carta prepagata con un saldo di 3100 $ costava 110 $ se American Express, 114 $ se Mastercard, 109 $ se Visa.

EmpireMarket – I prezzi delle carte di credito

EmpireMarket, una cyber indagine

Il metodo di acquisto: Escrow

Il metodo di acquisto veniva spiegato nel dettaglio. Il cliente doveva pagare e successivamente un rivenditore che operava sul sito gli avrebbe inviato i dettagli rubati della carta di pagamento. Tuttavia, è sempre presente il rischio di essere truffati: pagare prima e poi non ricevere i dati. Siamo nel dark web: nessun contratto, autorità, o possibilità di reclami. Per questa ragione, l’acquisto veniva effettuato attraverso Escrow, che si suppone fornisca le dovute garanzie.

“Che cos’è Escrow?

  1. L’acquirente invia i soldi a Escrow durante il check out. (Escrow è attivo per ogni acquisto)
  2. Il rivenditore riceve una notifica sui soldi presenti in Escrow.
  3. Il rivenditore invia il prodotto all’acquirente. (Gli articoli digitali vengono inviati immediatamente)
  4. L’acquirente controlla il prodotto e, se corrisponde alla descrizione, consegna soldi in Escrow al rivenditore. (Un link per attivare il pagamento viene inviato all’indirizzo email dell’acquirente)
  5. L’acquisto è completato e i dati personali vengono cancellati.”

Sul sito web non sono disponibili i dati personali del rivenditore, perché l’attività è completamente illegale. Però, alcune tracce possono aiutarci a scoprire di più.

Metodo di pagamento Escrow

Il metodo di pagamento Escrow spiegato su Empire Market

Un indizio: il dominio dell’email Airmail.cc

Nella parte inferiore della pagina web di EmpireMarcket, c’era la sezione “Support”. Doveva essere utilizzata nel caso in cui il cliente avesse riscontrato probelmi tecnici. Ma conteneva anche un indizio per la nostra indagine. Infatti, veniva indicato un indirizzo email attivo: empiresupport@airmail.cc

Il dominio airmail.cc non è un provider di posta elettronica pubblico come possono essere invece Gmail, Yahoo o Outlook. Deve essere registrato e il dominio conduce ad un sito internet corrispondente.

La prima pagina del sito Airmail.cc mostra un breve messaggio: “Airmail.cc è un server per email su invito rivolto a professionisti e appassionati delle email. Per segnalare degli abusi scrivete a abuse [at] Airmail.cc.”

Si dice che il server dell’email è disponibile solo su invito. Il servizio è indirizzato a professionisti e appassionati. E’ un servizio che fornisce caselle di posta elettronica e non è necessariamente collegato alle attività dei criminali di EmpireMarket.

Shodan: le connessioni internet e l’hacker EdmondMajor

Utilizzando uno strumento OSINT chiamato Shodan, possiamo aggiungere qualche informazione. Shodan è “un motore di ricerca per dispositivi connessi ad internet” (shodan.io).

Un motore di ricerca comune (Google, Bing) cerca i collegamenti basati sui contenuti presenti sul web (il servizio che mostra le pagine). Si inserisce una parola o una frase e si ottengono come risultati le pagine web che corrispondono al contenuto della ricerca.

Invece, Shodan cerca i collegamenti su internet, che è la rete che connette i vari computer e i vari server. Ogni attività nella rete lascia una traccia, l’indirizzo IP: una sequenza di cifre che identifica un’unica fonte di connessione e che è praticamente impossibile da replicare. Quando si inserisce il dominio di un sito su Shodan, il motore di ricerca fornisce i dati sui dispositivi (di solito i server) connessi al nome cercato: in primis, l’indirizzo IP e dove questo è localizzato.

Cercando su Shodan le connessioni di Airmail.cc, compaiono tre risultati (ultima consultazione il 20 aprile). Il primo è un indirizzo IP localizzato a Belgrado (Serbia), il secondo è localizzato in Vietnam, il terzo è localizzato a New York (Stati Uniti). Le tre località sono fra loro molto distanti.

In effetti, i server possono essere localizzati ovunque nel mondo, nonostante la persona dietro la connessione sia collocata fisicamente in un’altra area. Un hacker negli Stati Uniti può utilizzare server posizionati nell’Europa dell’Est. In questo caso, nonostante l’IP in Serbia e quello in Vietnam non mostrino collegamenti significativi, l’IP a New York ci dice qualcosa in più.

Cliccando semplicemente sull’indirizzo IP localizzato a New York, si viene reindirizzati ad una pagina web (http://edmond.bz/) di un hacker dichiarato (grey hat?): EdmondMajor. Si definisce come “molto interessato alla cybersicurezza”. La pagina contiene anche il link ad un altro sito internet (http://www.edmondmajor.com/), dove si può leggere un “manifesto”: “La Coscienza di un Hacker”. Scrive: “Io sono un hacker, entra nel mio mondo (…) Sì, sono un criminale. Il mio crimine è quello della curiosità”.

Pagina web personale di Edmond Major

Pagina web personale di Edmond Major

Offre servizi per aziende: “Pishing agli impiegati”, “Togliere i malware dai server”, “Spiare la concorrenza” (e molti altri).

Nella pagina edmond.bz, EdmondMajor fornisce un email di contatto: em3@airmail.cc. Ha scelto di creare un indirizzo di posta elettronica con Airmail.cc, che sembra perciò un mezzo di comunicazione sicuro: un esperto di cyber sicurezza lo ha adottato. Si spiega anche il suo utilizzo da parte di piattaforme completamente illegali, come EmpireMarket.

Waybackmachine, com’era Airmail.cc in passato

L’email Airmail.cc funziona, ma il sito corrispondente non contiene informazioni rilevanti. Adesso. Ma in passato?

Waybackmachine(letteralmente, la macchina per tornare indietro; nome del sito sito archive.org) è un archivio internet. Raccoglie le pagine web pubblicate in una certa data e permette agli utenti di vedere come erano i siti negli anni precedenti.

Dal 14 settembre 2018 al 25 novembre 2021, l’homepage di “airmail.cc” reindirizzava ad un altro sito internet: “ovo.sc”. “Sc” è il codice internet di un Paese: le Seychelles. OvO è il nome di un gruppo, come spiegato in un messaggio sul sito internet “ovo.sc” (ancora attivo).

Waybackmachine OvO messaggio di benvenuto

Waybackmachine: messaggio di benvenuto OvO

Si tratta di “un collettivo globale di fornitori di servizi e di servizi forniti. I suoi membri condividono conoscenza, risorse e supporto con l’intento di construire attività online sostenibili e indipendenti.

Abuso: La rete OvO ospita diversi servizi di libera espressione e di criptomonete. Per segnalare abusi, scrivi a abuse // ovo.sc e includi tutte le prove possibili.”

Anche se adesso Airmail.cc non reindirzza più a OvO, possiamo inferire che ci sia stata una connessione fra i due servizi.

I Panama paper: una società offshore

La firma in calce al messaggio della prima pagina Ovo.sc riporta l’indirizzo del gruppo “OvO Systems Ltd”: “Suite 9, Ansuya Estate, Revolution Avenue Mahe Seychelles”.

Lo stesso indirizzo è contenuto nei “Panama Papers“. Questi “Paper” sono oltre 11 milioni di documenti segreti che hanno rivelato nel dettaglio informazioni finanziare per più di 210mila entità offshore. Sono stati resi pubblici a partire dal 2016 dal Consorzio Internazionale dei giornalisti investigativi (ICIJ). Le entità offshore sono soggetti (per lo più società) registrate in giurisdizioni estere (spesso per avere agevolazioni fiscali).

Secondo i Panama Papers, due società erano registrate allo stesso indirizzo dell'”Ovo Systems Ltd” in passato: la “Enterprise Solutions Ltd” (ora inattiva) e la “Professional Consulting Services Ltd” (ora inattiva).

Indirizzi compagnie Panama Papers

Panama Papers: società all’indirizzo di OvO

Attualmente, la società “Fidelity Corporate Services (Seychelles) Ltd” è registrata a questo indirizzo. E’ un agente di formazione di società offshore. Fornisce servizi di registrazione di società nelle Seychelles.

Una società registrata alle Seychelles non è necessariamente illegale. Come avverte l’ICIJ sul suo sito, “ci sono usi legittimi di società e trust offshore”.

MyIP, i nomi di dominio connessi a Airmail.cc

C’è un altro strumento molto utile per indagare su un dominio. MyIp.ms è un database online” che aiuta a trovare chi ospita un sito”. Se si digita il nome di un sito (Airmail.cc nel nostro caso), MyIp mostra dove sono localizzati i server che ospitano il sito e, in aggiunta, gli altri domini connessi.

Ci sono diversi siti collegati ad Airmail.cc.

a) Cockbox.org, un fornitore di VPS da pagare con criptomoneta

Cockbox.org è un risultato. Viene definito sul sito corrispondente come un fornitore di servizi di Server Privati Virtuali (VPS) da pagare con bitcoin. I VPS sono applicazioni che vengono caricate sul sistema di un computer e che funzionano come un vero e proprio server.

Cockbox è l’organizzazione che offre come servizio a pagamento questa “macchina virtuale”. Secondo il sito, “i server di Cockbox sono a Bucarest, in Romania”.

I pagamenti sono accettati nelle criptomonete Bitcoin o Monero. Un messaggio nella parte inferiore della pagina indica: “Il servizio è fornito seriamente da OvO Systems Ltd.”

Cockbox.org Server

Cockbox.org: prima pagina

b) Cock.li, servizi di email

Cock.li is another result (the website’s logo is the same as cockbox.org). Cock.li provides “stable Email services” for professionals. In realtà, è un fornitore di caselle di posta elettronica focalizzato sulla privacy e funziona con crittografia. “Consente la registrazione e l’uso con Tor e altri servizi di privacy”.

Nella parte inferiore della pagina, si legge: “Il servizio è fornito per divertimento da OvO Systems Ltd.”. Il gestore del servizio è lo statunitense Vincent Canfield (che vive in Romania, stando al suo profilo Twitter). Nell’aprile del 2021, ha twittato che la registrazione al servizio era chiusa perché aveva raggiunto un milione di utenti.

Cock.li email

Cock.li: prima pagina

Il fornitore di servizi Cock.li ha diversi domini registrati, che sono elencati nella homepage. Fra questi, lo stesso Airmail.cc. Nel 2015, Canfield aveva spiegato: “l’indicazione “solo su invito” nel messaggio della pagina iniziale di Airmail.cc è una farsa, Airmail.cc è il nome di un dominio pubblicamente registrabile disponibile qui: cock.li”. Nella homepage di Cock.li, si specifica che i gestori sono “il più trasparenti possibile. Per assolvere questo proposito, Cock.li pubblica le comunicazioni con le forze dell’ordine, incluse quelle rigurdanti richieste o ordinanze per informazioni sugli utenti”. Le comunicazioni fra cock.li e le autorità (email e telefonate) sono condivise sul sito.

b. 1) I problemi legali di cock.li e l’uso da parte dei servizi segreti

In una serie di casi, autorità statunitensi diverse hanno contattato cock.li per avere informazioni su clienti sospetti o su criminali che utilizzavano i servizi forniti dal provider. Alcuni enti hanno citato come testimone Vincent Canfield, e in alcuni casi, hanno sequestrato i suoi dischi rigidi. Alcune indagini erano legate allo sfruttamento di minori.

Nel gennaio del 2017, Canfield aveva scritto: “La scorsa richiesta di conservazione dei dati da parte del governo statunitense è stata seguita immmediatamente dal sequestro dei dischi rigidi di cock.li per mano del governo statunitense”. Aveva reso noto che il Dipartimento Dogane e Protezione Confini degli Stati Uniti (Customs and Border Protection, CBP)aveva sequestrato tutti i suoi dispositivi elettronici al momento di un ingresso negli Stati Uniti.

Non è stato il primo problema legale affrontato da Canfield. Nel 2016, aveva scritto: “Cari amici, questa sera sono stato arrestato dalla polizia rumena. (…) Sto venendo estradato perché accusato di aver violato il codice penale tedesco, sezione 86a, che probisce, fra le altre cose, l’uso di “slogan di organizzazioni incostituzionali” (…) Per circa tre settimane, ho mostrato una battuta nella homepage di cock.li (…) che diceva “HITLER NON HA FATTO NIENTE DI SBAGLIATO”. Ho fatto questo quando i server erano localizzati in Germania, per cui penso che questo sia il problema. Non sono mai stato senza ironia razzista nell’intera storia del sito, per cui questa è l’unica cosa a cui possono attaccarsi. (…) Sono stato anche informato che la mia estradizione è stata accelerata perché mi devono sottoporre a un’indagine. La procura della città di Zwickau crede che io possa aver creato un altro dispositivo di archiviazione. Sono state eseguite indagini scientifiche sui miei dispositivi di archiviazione nel mio appartamento e non hanno trovato nessun altra copia dei dati di cock.li”.

Comunque, i problemi legali sembrano abbastanza datati. Stando ad aprile 2022, il sito riporta: “Dal 2017 al 9 aprile 2022, cock.li non ha ricevuto:

  • ordini di non divulgazione di ordinanze generiche per metadati degli utenti
  • ordini di non divulgazione di ordinanze generiche per dati degli utenti
  • ordini di non divulgazione di ordinanze specifiche per dati degli utenti
  • ordini di non divulgazione di ordinanze specifiche per metadati degli utenti”.

Eppure, Canfield scrive sul sito che nel primo trimestre del 2022 cock.li ha ricevuto e ha risposto a “due ordinanze riguardo metadati degli utenti esecutive nella giurisdizione delle Seychelles per conto delle autorità francesi”.

Secondo il sito Deepwebmarketsreview, nel novembre 2019, i server del provider erano stati messi offline, forse per una perquisizione. Non è pubblicata nessuna informazione a riguardo.

Nell’aprile del 2021 l’FBI ha comunicato che “una serie di profili cyber dell’SVR [il servizio di intelligence russo per l’estero] utilizzavano i servizi forniti da cock.li o dai domini collegati”. Canfield ha dichiarato al sito Vice: “Questa è la prima volta che sento che con certezza i servizi segreti russi usano cock.li, ma non mi sorprende, dal momento che anche la CIA lo usa”.

b) 2. Donazioni per cock.li 

Cock.li fa affidamento sulle donazioni per sopravvivere, secondo quanto riportato nella homepage. Una relazione finanziaria viene pubblicata ogni anno. Nella relazione del 2020, Canfield scrive: “L’anno scorso, cock.li è passato dall’essere ospitato in un Paese ad essere distribuito geograficamente nell’Europa dell’Est. Questo cambiamento ha portato una resilienza a lungo termine del sito a spese della velocità e dell’affidabilità. (…) Cock.li ha ricevuto donazioni per 1.5 bitcoin nel 2018 che stanno ancora oggi finanziando il sito”.

La relazione del 2021 non è stata ancora pubblicata.

MyIP e Shodan con Ovo.sc, un altro sito di carding

Nel 2018, Canfiled ha twittato che Cock.li e Cockbox erano state incorporate sotto il nuovo nome “OvO Systems Ltd.”.

Secondo la ricerca di “ovo.sc” su Shodan (effettuata il 30 marzo), i server che ospitano Ovo Systems Ltd sono localizzati parte in Romania e parte nelle Seychelles. MyIp collega questi ultimi server ad una società di telecomunicazioni: “Flokinet Ltd.“. Flokinet ha una sede in Islanda e una alle Seychelles, secondo il sito flokinet.is. Offre servizi di hosting, design web e consulenze sulla sicurezza. E’ stata fondata nel 2012 in Islanda “per fornire un porto sicuro per la libertà di espressione, la stampa libera e progetti legati ad informatori (whistleblower)”.

Uno degli indirizzi Ip collegato con OvO e di proprietà di Flokinet è connesso al dominio del sito web cardmafia.pw. La descrizione di questo sito su hypestat.com è: “forum di carding russo, forum di carding verificato, altenen.com nuovo dominio”.

OvO Systems, una soluzione per i cybercriminali

Il gruppo OvO systems Ltd fornisce servizi di valore per coprire identità, messaggi e connessioni online. Per questo, è utilizzato anche da hacker, truffatori e cyber criminali. Le prestazioni (alcuni servizi sono gratuiti) sono ricompensate con cospicue donazioni in bitcoin.

Questa rete potrebbe essere fondamentale, soprattutto ora. Lo scorso febbraio, le autorità russe hanno arrestato sei persone attive nel vendere dati rubati di carte di pagamento. (Un’altra operazione con lo stesso obiettivo era stata condotta nel 2020 dall’FSB, il servizio segreto russo per la sicurezza interna). Secondo il giornalista Brian Krebs, le piattaforme di carding UniCC, Trump’s Dumps, Ferum Shop Sky-Fraud (fra le altre) potrebbero essere state coinvolte in questa operazione.

Russian Message for Trump Dumps users

Messaggio in russo per gli utenti di Trump Dumps

Secondo il sito Digitalshadow, adesso qualcuno scommette che i mercati di carding si muoveranno su Telegram per avere comunicazioni sicure. Altri ipotizzano che si implementeranno servizi di sicurezza nelle loro procedure.

Dietro alcune piattaforme di carding (EmpireMarket, Cardmafia), abbiamo trovato società offshore, account email anonimi e servizi di privacy. Sono cyber criminali difficili da identificare, anche per le forze dell’ordine. Il gruppo OvO potrebbe essere una risorsa significativa anche in futuro per chi vende dati rubati delle carte di pagamento.

What is your reaction?

Excited
4
Happy
2
In Love
0
Not Sure
0
Silly
0

Comments

  1. Molto molto interessante

    Rispondi

  2. molto molto inquietante!

    Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Leggi anche