Um dos maiores serviços de crimes cibernéticos para lavagem de mercadorias roubadas foi hackeado recentemente, expondo suas operações internas, finanças e estrutura organizacional. Aqui está uma análise mais detalhada do SWAT USA Drop Service, com sede na Rússia, que atualmente emprega mais de 1.200 pessoas nos Estados Unidos que estão, consciente ou inconscientemente, envolvidas no reenvio de bens de consumo caros adquiridos com cartões de crédito roubados.
Uma das maneiras mais comuns pelas quais os ladrões extraem dinheiro de contas de cartão de crédito roubadas é através da compra de bens de consumo caros on-line e da revenda deles no mercado negro. A maioria dos varejistas on-line percebeu esses golpes anos atrás e parou de enviar remessas para regiões do mundo mais frequentemente associadas a fraudes de cartão de crédito, incluindo Europa Oriental, Norte da África e Rússia.
Mas tais restrições criaram um mercado clandestino florescente para fraudes de reenvio, que dependem de residentes voluntários ou involuntários nos Estados Unidos e na Europa para receber bens roubados e retransmiti-los a bandidos que vivem nas áreas embargadas.
Serviços como o SWAT são conhecidos como “Drops for stuff” em fóruns de crimes cibernéticos. As “quedas” são pessoas que responderam aos empregos de reenvio de pacotes de trabalho em casa anunciados no craigslist.com e em sites de busca de empregos. A maioria dos golpes de reenvio promete aos funcionários um salário mensal e até bônus em dinheiro. Na realidade, os criminosos responsáveis quase sempre param de se comunicar com os drops pouco antes do primeiro dia de pagamento, geralmente cerca de um mês após o drop enviar seu primeiro pacote.
Os pacotes chegam com etiquetas de remessa pré-pagas que são pagas com números de cartão de crédito roubados ou com contas on-line sequestradas na FedEx e no Serviço Postal dos EUA. A Drops é responsável por inspecionar e verificar o conteúdo das remessas, anexando a etiqueta de remessa correta a cada pacote e enviando-os através da transportadora apropriada.
A SWAT recebe uma redução percentual (até 50%) onde os “stuffers” – ladrões armados com números de cartão de crédito roubados – pagam uma parte do valor de varejo de cada produto à SWAT como taxa de reenvio. Os stuffers usam cartões roubados para comprar produtos de alto valor de comerciantes e fazem com que os comerciantes enviem os itens para o endereço de entrega. Depois que os entregadores recebem e reenviam com sucesso os pacotes roubados, os embaladores vendem os produtos no mercado negro local.
O serviço de entrega da SWAT existe com vários nomes e sob diferentes proprietários há quase uma década. Mas no início de outubro de 2023, o atual coproprietário da SWAT – um indivíduo que fala russo e usa o apelido “Fearlless” – recorreu ao seu fórum favorito de crimes cibernéticos para apresentar uma queixa formal contra o proprietário de um serviço de reenvio concorrente, alegando que seu rival havia hackeado SWAT e estava tentando roubar seus stuffers e reshippers enviando-lhes um e-mail diretamente.
A empresa de segurança Hold Security, com sede em Milwaukee, compartilhou capturas de tela recentes do painel de usuário de um stuffer da SWAT em funcionamento, e essas imagens mostram que a SWAT atualmente lista mais de 1.200 drops nos Estados Unidos que estão disponíveis para aluguel de stuffers. As informações de contato de Kareem, um jovem de Maryland, foram listadas como um item ativo. Contactado pela KrebsOnSecurity, Kareem concordou em falar com a condição de que seu nome completo não fosse divulgado nesta história.
Kareem disse que foi contratado por meio de um quadro de empregos on-line para reenviar pacotes em nome de uma empresa que se autodenomina CTSI, e que vem recebendo e reenviando iPads e relógios Apple há várias semanas. Kareem não ficou nada entusiasmado ao saber que provavelmente não receberia o seu salário no dia de pagamento prometido, que seria dentro de alguns dias.
Kareem disse que foi instruído a criar uma conta num site chamado portal-ctsi[.]com, onde todos os dias ele deveria fazer login e verificar se havia novas mensagens sobre remessas pendentes. Qualquer pessoa pode se inscrever neste site como uma potencial mula de reenvio, embora isso exija que os candidatos compartilhem uma grande quantidade de informações pessoais e financeiras, bem como cópias de um documento de identidade ou passaporte correspondente ao nome fornecido.
Suspeitando que a página de login do portal-ctsi[.]com possa ser um trabalho de codificação personalizado, KrebsOnSecurity selecionou “visualizar código-fonte” na página inicial para expor o código HTML do site. Pegar um trecho desse código (por exemplo, “smarty/default/jui/js/jquery-ui-1.9.2.min.js”) e pesquisá-lo em publicwww.com revela mais de quatro dúzias de outros sites executando o mesmo login painel. E tudo isso parece ser voltado para stuffers ou drops.
Na verdade, mais da metade dos domínios que usam esse mesmo painel de login incluem a palavra “stuffer” no URL de login, de acordo com publicwww. Cada um dos domínios abaixo que terminam em “/user/login.php” são sites para drops ativos e potenciais, e cada um corresponde a uma empresa falsa única que é responsável por gerenciar seu próprio estábulo de drops:
lvlup-store[.]com/stuffer/login.php
personalsp[.]com/user/login.php
destaf[.]com/stuffer/login.php
jaderaplus[.]com/stuffer/login.php
33cow[.] com/stuffer/login.php
panelka[.]net/stuffer/login.php
aaservice[.]net/stuffer/login.php
reenvio[.]ru/stuffer/login.php
bashar[.]cc/stuffer/ login.php
marketingyoursmall[.]biz/stuffer/login.php
hovard[.]xyz/stuffer/login.php
pullback[.]xyz/stuffer/login.php
telollevoexpress[.]com/stuffer/login.php
postme[. ]today/stuffer/login.php
wint-job[.]com/stuffer/login.php
squadup[.]club/stuffer/login.php
mmmpack[.]pro/stuffer/login.php
yoursmartpanel[.]com/user /login.php
opt257[.]org/user/login.php
touchpad[.]online/stuffer/login.php
peresyloff[.]top/stuffer/login.php
ruzke[.]vodka/stuffer/login.php
pessoal gerente[.]net/stuffer/login.php
data-job[.]club/stuffer/login.php
serviços de logística[.]org/user/login.php
swatship[.]club/stuffer/login.php
logistikmanager[ .]online/user/login.php
endorfina[.]world/stuffer/login.php
burbon[.]club/stuffer/login.php
bigdropproject[.]com/stuffer/login.php
jobspaket[.]net/user/ login.php
seucontrolboard[.]com/stuffer/login.php
packmania[.]online/stuffer/login.php
shopping-bro[.]com/stuffer/login.php
dash-redtag[.]com/user/login. php
mnger[.]net/stuffer/login.php
begg[.]work/stuffer/login.php
dashboard-lime[.]com/user/login.php
control-logistic[.]xyz/user/login.php
povetru [.]biz/stuffer/login.php
dash-nitrologistics[.]com/user/login.php
cbpanel[.]top/stuffer/login.php
hrparidise[.]pro/stuffer/login.php
d-cctv[. ]top/user/login.php
versandproject[.]com/user/login.php
packitdash[.]com/user/login.php
avissanti-dash[.]com/user/login.php
e-host[.]vida /user/login.php
pacmania[.]club/stuffer/login.php
Por que tantos sites? Na prática, todas as entregas são liberadas aproximadamente 30 dias após a primeira remessa – pouco antes do vencimento do contracheque prometido. Por causa dessa rotatividade constante, cada operador de loja de artigos deve recrutar constantemente novos itens. Além disso, com essa configuração distribuída, mesmo que uma operação de reenvio seja encerrada (ou exposta on-line), o restante poderá continuar bombeando dezenas de pacotes por dia.
Um estudo acadêmico (PDF) de 2015 sobre serviços de reenvio criminoso descobriu que o impacto financeiro médio de um esquema de reenvio por titular do cartão foi de US$ 1.156,93. Esse estudo analisou as operações financeiras de vários esquemas de reenvio e estimou que aproximadamente 1,6 milhões de cartões de crédito e débito são usados para cometer pelo menos 1,8 mil milhões de dólares em fraudes de reenvio todos os anos.
Não é difícil ver como o reenvio pode ser um empreendimento lucrativo para os fraudadores de cartões. Por exemplo, um stuffer compra um cartão de pagamento roubado no mercado negro por US$ 10 e usa esse cartão para comprar mais de US$ 1.100 em mercadorias. Depois que o serviço de reenvio recebe sua parte (~US$ 550) e o stuffer paga por sua etiqueta de reenvio (~US$ 100), o stuffer recebe os bens roubados e os vende no mercado negro na Rússia por US$ 1.400. Ele acabou de transformar um investimento de US$ 10 em mais de US$ 700. Enxágue, lave e repita.
A violação na SWAT expôs não apenas os apelidos e informações de contato de todos os seus stuffers e drops, mas também os ganhos e pagamentos mensais do grupo. A SWAT aparentemente manteve seus livros em um documento do Planilhas Google acessível ao público, e esse documento revela que Fearlless e seu parceiro de negócios ganhavam, cada um, mais de US$ 100.000 por mês operando seus vários negócios de reenvio.
Os registos financeiros da SWAT expostos mostram que este grupo criminoso tem dezenas de milhares de dólares em despesas todos os meses, incluindo pagamentos pelos seguintes custos recorrentes:
-publicidade do serviço em fóruns criminais e via spam;
-pessoas contratadas para redirecionar pacotes, geralmente por voz por telefone;
-serviços de terceiros que vendem etiquetas USPS/Fedex hackeadas/roubadas;
-serviços de “teste de gotas”, empreiteiros que testarão a honestidade das gotas enviando-lhes jóias falsas;
– “documentos”, por exemplo, envio de entregas para recolha física de documentos legais para novas empresas de fachada falsas.
A planilha também incluía os números das contas de criptomoeda que seriam creditadas todos os meses com os ganhos da SWAT. Não é novidade que uma análise da atividade blockchain vinculada aos endereços bitcoin listados nesse documento mostra que muitos deles têm uma associação profunda com crimes cibernéticos, incluindo atividades de ransomware e transações em sites darknet que vendem cartões de crédito roubados e serviços de proxy residencial.
As informações vazadas da SWAT também expuseram a identidade real e as negociações financeiras de seu principal proprietário – Fearlless, também conhecido como “SwatVerified”. Ouviremos mais sobre Fearlless na Parte II desta história. Fique atento.
Fonte: Krebs
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
