Información de pago del cliente filtrada de WeLeakInfo – Krebs on Stability


Hace poco más de un año, el FBI y los socios encargados de hacer cumplir la ley en el extranjero confiscaron WeLeakInfo (.) Com, un servicio tremendamente common que vendía acceso a más de 12 mil millones de nombres de usuario y contraseñas robados de miles de sitios world wide web pirateados. En un giro irónico de los acontecimientos, un registro de dominio caducado vinculado a WeLeakInfo permitió que alguien saqueara y publicara datos de cuentas de 24.000 clientes que pagaron para acceder al servicio con una tarjeta de crédito.

Durante varios años, WeLeakInfo fue el más grande de varios servicios que vendían acceso a contraseñas pirateadas. Fiscales dicho tenía información indexada y de búsqueda de más de 10,000 violaciones de datos que contenían más de 12 mil millones de registros indexados, incluidos nombres, direcciones de correo electrónico, nombres de usuario, números de teléfono y contraseñas para cuentas en línea.

Por una pequeña tarifa, puede ingresar una dirección de correo electrónico y ver todas las contraseñas asociadas con esa dirección en una infracción anterior. O al revés: muéstreme todas las cuentas de correo electrónico que alguna vez usaron una contraseña específica (vea la captura de pantalla anterior). Era una herramienta fantástica para lanzar ataques dirigidos contra personas, y así es exactamente como muchos de sus clientes veían el servicio.

Ahora, casi 24.000 clientes de WeLeakInfo están descubriendo que los datos personales y de pago que compartieron con WeLeakInfo durante sus cinco años de ejecución se han filtrado en línea.

Tarifas de servicio de WeLeakInfo.

En una publicación en el foro de filtraciones de bases de datos Raidforums, un colaborador recurring que usa el identificador «pompompurin» dijo que robó los registros de pago de WeLeakInfo y otros datos después de notar que el diseño del dominio wli (.) ya no figuraba como registrado.

«En pocas palabras: el FBI dejó que uno de los dominios de weleakinfo expirara que usaron para los correos electrónicos / pagos», escribió pompompurin. “Registré ese dominio y pude (contraseña) restablecer la cuenta de stripe.com y obtener todos los datos. (Es) solo de personas que usaron stripe.com para pagar. Si usó PayPal o (bitcoin), todo está bien «.

Firma de inteligencia de amenazas cibernéticas Punto de inflamabilidad obtuvo una copia de los datos filtrados por pompompurin, y dijo que incluye datos parciales de tarjetas de crédito, direcciones de correo electrónico, nombres completos, direcciones IP, datos de cadena de agentes de usuario del navegador, direcciones físicas, números de teléfono y monto pagado. Un miembro del foro comentó que encontró sus propios datos de pago en los registros.

Cómo WeLeakInfo se compara con sus competidores (según WLI).

De acuerdo a DomainTools (un anunciante en este sitio) El diseño de Wli (.) se registró el 24 de agosto de 2016 con el registrador de dominios Dynadot. El 12 de marzo, el dominio se trasladó a otro registrador: Namecheap.

Pompompurin publicó varias capturas de pantalla de sí mismo conectado a la cuenta WeLeakInfo en stripe.com, un procesador de pagos en línea. En «administración y propiedad» figuraba un Gerald Murphy de Fintona, Reino Unido

Poco después de que las autoridades incautaron el dominio de WeLeakInfo en enero de 2020, la Agencia Nacional contra el Crimen del Reino Unido (NCA) arrestaron a dos individuos en relación con el servicio, incluido un joven de 22 años de Fintona.


MUCHO TIEMPO PARA LOS ERRORES DE OPSEC

Han sido unos meses difíciles para los habitantes de varios foros de piratería, que últimamente se encuentran en el lado defensivo de una gran cantidad de ataques que prueban la seguridad de sus alias y la seguridad operativa. En las últimas semanas, se han pirateado tres de los foros en línea en idioma ruso más antiguos y venerados que sirven a miles de ciberdelincuentes experimentados.

En dos de las intrusiones (contra los foros de piratería rusa «Mazafaka» y «Confirmed»), los atacantes se llevaron las bases de datos de usuarios de los foros, incluidas las direcciones de correo electrónico e Web y las contraseñas hash.

“A los miembros de los tres foros les preocupa que los incidentes puedan servir como una piedra de Rosetta virtual para conectar las identidades de la vida actual de los mismos usuarios a través de múltiples foros de delitos”, explica una historia reciente aquí.

Una exposición de 15 años de datos de usuarios de un foro como Mazafaka es un gran riesgo para los registrantes porque los investigadores a menudo pueden usar detalles de registro comunes para conectar a individuos específicos que podrían haber usado múltiples identificadores de piratas informáticos a lo largo de los años.

Muchos de los dominios de las direcciones de correo electrónico enumeradas en el volcado de Maza datan de principios de la década de 2000, cuando los ciberdelincuentes en ciernes generalmente tomaban menos precauciones para ofuscar o separar la miríada de conexiones con sus identidades de la vida actual en línea.

La mina de oro potencial más grande para anonimizar a los miembros de Maza es la filtración de números de usuario de ICQ, un servicio de mensajería instantánea que perteneció a AOL y que fue ampliamente utilizado por los miembros del foro de ciberdelincuencia hasta alrededor de 2010. Eso es cuando AOL vendió la plataforma en 2010 al inversor ruso DST por $ 187,5 millones.

En aquel entonces, las personas solían asociar sus números de ICQ a diferentes intereses, actividades y comercio vinculados a sus identidades de la vida serious. En muchos casos, estas asociaciones se encuentran en foros públicos en ruso, como sitios de discusión sobre temas como automóviles, música o programación.

En una exposición inadvertida común, un ciberdelincuente hace una publicación inocua hace 15 años en un foro automovilístico en ruso ahora desaparecido.

Esa publicación, conservada a perpetuidad por sitios como archive.org, incluye un número de ICQ y dice que hay un tipo llamado Sergey en Vladivostok que está vendiendo su automóvil. Y el enlace de perfil en el foro de automóviles conduce a otro sitio own ahora desaparecido pero aún archivado para Sergey.

Curiosamente, servicios como WeLeakInfo se pueden utilizar tan fácilmente contra los ciberdelincuentes como por ellos. Por ejemplo, es possible que la foundation de datos del foro de automóviles donde Sergey publicó se haya visto comprometida en algún momento y esté a la venta en sitios como WeLeakInfo (hay competidores activos).

Lo mismo ocurre con cualquier otro foro en el que Sergey haya utilizado la misma dirección de correo electrónico o contraseña. Cuando los investigadores comienzan a encontrar la reutilización de contraseñas en varias direcciones de correo electrónico que siguen un patrón, se vuelve mucho más fácil vincular a Sergey de Vladivostok con sus identidades de ciberdelincuentes y de la vida real.


Etiquetas: FBI, Flashpoint, Gerald Murphy, Mazafaka, pompompurin, RaidForums, Verificado, WeLeakInfo

Esta entrada se publicó el lunes 15 de marzo de 2021 a las 9:05 am y está archivada en Breadcrumbs, Ne&#39er-Do-Well Information.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia unique