Russischer Reshipping-Service „SWAT USA Drop“ aufgedeckt!
Einer der größten Dienste für Cyberkriminalität zum Waschen gestohlener Waren wurde kürzlich gehackt, wodurch seine internen Abläufe, Finanzen und Organisationsstrukturen offengelegt wurden. Hier ein genauerer Blick auf den in Russland ansässigen SWAT USA Drop Service , der derzeit mehr als 1.200 Mitarbeiter in den Vereinigten Staaten beschäftigt, die wissentlich oder unwissentlich an der Rücksendung teurer Konsumgüter beteiligt sind, die mit gestohlenen Kreditkarten gekauft wurden.
Eine der häufigsten Methoden, mit denen Diebe Bargeld von gestohlenen Kreditkartenkonten erbeuten, besteht darin, teure Konsumgüter online zu kaufen und sie auf dem Schwarzmarkt weiterzuverkaufen. Die meisten Online-Händler sind sich dieser Betrügereien schon vor Jahren bewusst geworden und haben den Versand in Regionen der Welt eingestellt, die am häufigsten mit Kreditkartenbetrug in Verbindung gebracht werden, darunter Osteuropa, Nordafrika und Russland.
Solche Beschränkungen haben jedoch einen aufkeimenden Untergrundmarkt für Reshipping-Betrügereien geschaffen, die darauf angewiesen sind, dass willige oder unwissende Einwohner in den Vereinigten Staaten und Europa gestohlene Waren entgegennehmen und sie an Betrüger weitergeben, die in den Embargogebieten leben.
Dienste wie SWAT werden in Cyberkriminalitätsforen als „Drops for stuff“ bezeichnet. Bei den „ Drops “ handelt es sich um Personen, die auf auf craigslist.com und Jobsuchseiten ausgeschriebene Work-at-Home-Paket-Reshipping-Stellen reagiert haben. Die meisten Reshipping-Betrügereien versprechen den Mitarbeitern ein monatliches Gehalt und sogar Bargeldprämien. In Wirklichkeit hören die verantwortlichen Gauner fast immer kurz vor dem ersten Zahltag auf, mit Drops zu kommunizieren, normalerweise etwa einen Monat, nachdem der Drop sein erstes Paket verschickt hat.
Die Pakete kommen mit vorfrankierten Versandetiketten an, die mit gestohlenen Kreditkartennummern bezahlt werden, oder mit gekaperten Online-Konten bei FedEx und dem US Postal Service . Drops sind dafür verantwortlich, den Inhalt der Sendungen zu prüfen und zu überprüfen, jedes Paket mit dem richtigen Versandetikett zu versehen und es über das entsprechende Versandunternehmen zu versenden.
SWAT erhält eine prozentuale Kürzung (bis zu 50 Prozent), wenn „ Stuffer “ – Diebe, die mit gestohlenen Kreditkartennummern bewaffnet sind – einen Teil des Einzelhandelswerts jedes Produkts als Rücksendegebühr an SWAT zahlen. Die Stuffer verwenden gestohlene Karten, um hochwertige Produkte von Händlern zu kaufen, und lassen die Artikel von den Händlern an die Adresse der Abgabestellen versenden. Sobald die Drops die gestohlenen Pakete erhalten und erfolgreich weiterversanden, verkaufen die Stuffers die Produkte dann auf dem örtlichen Schwarzmarkt.
Den SWAT-Abwurfdienst gibt es seit fast einem Jahrzehnt unter verschiedenen Namen und unter verschiedenen Eigentümern. Doch Anfang Oktober 2023 nutzte der derzeitige Miteigentümer von SWAT – eine russischsprachige Person, die das Pseudonym „ Fearlless “ verwendet – sein Lieblingsforum für Cyberkriminalität, um eine formelle Beschwerde gegen den Eigentümer eines konkurrierenden Reshipping-Dienstes einzureichen, in der er behauptete, sein Rivale habe gehackt SWAT und versuchte, seine Stuffer und Reshipper durch direkte E-Mails abzuwerben.
Das in Milwaukee ansässige Sicherheitsunternehmen Hold Security hat aktuelle Screenshots des Benutzerpanels eines funktionierenden SWAT-Stuffers veröffentlicht. Diese Bilder zeigen, dass SWAT derzeit mehr als 1.200 Drops in den Vereinigten Staaten auflistet, die für Stuffers gemietet werden können. Die Kontaktinformationen von Kareem , einem jungen Mann aus Maryland, wurden als aktiver Drop aufgeführt. Kareem wurde von KrebsOnSecurity kontaktiert und erklärte sich bereit, unter der Bedingung zu sprechen, dass sein vollständiger Name in dieser Geschichte nicht verwendet wird.
Kareem sagte, er sei über eine Online-Jobbörse angeheuert worden, um im Auftrag eines Unternehmens namens CTSI Pakete erneut zu versenden , und dass er nun schon seit mehreren Wochen iPads und Apple-Uhren empfängt und erneut versendet. Kareem war nicht besonders erfreut, als er erfuhr, dass er sein Gehalt wahrscheinlich nicht am versprochenen Zahltag erhalten würde, der in ein paar Tagen bevorstand.
Kareem sagte, er sei angewiesen worden, ein Konto auf einer Website namens portal-ctsi[.]com zu erstellen , wo er sich jeden Tag anmelden und nach neuen Nachrichten über ausstehende Lieferungen suchen solle. Jeder kann sich auf dieser Website als potenzieller Reshipping-Mule anmelden. Dazu müssen die Antragsteller jedoch zahlreiche persönliche und finanzielle Informationen sowie Kopien eines Personalausweises oder Reisepasses mit dem angegebenen Namen angeben.
Aufgrund des Verdachts, dass es sich bei der Anmeldeseite für portal-ctsi[.]com möglicherweise um einen benutzerdefinierten Codierungsauftrag handelt, wählte KrebsOnSecurity auf der Startseite „Quelle anzeigen“, um den HTML-Code der Website anzuzeigen. Schnappt man sich einen Ausschnitt dieses Codes (z. B. „smarty/default/jui/js/jquery-ui-1.9.2.min.js“) und durchsucht ihn auf publicwww.com , werden mehr als vier Dutzend andere Websites mit demselben Login angezeigt Panel. Und alle davon scheinen entweder auf Stuffers oder Drops ausgerichtet zu sein.
Laut publicwww enthalten tatsächlich mehr als die Hälfte der Domains, die dasselbe Login-Panel verwenden, das Wort „Stuffer“ in der Login-URL. Bei jeder der folgenden Domänen, die auf „/user/login.php“ enden, handelt es sich um Websites für aktive und potenzielle Drops, und jede entspricht einem einzigartigen Fake-Unternehmen, das für die Verwaltung seines eigenen Drop-Stalls verantwortlich ist:
lvlup-store[.]com/stuffer/login.php
personalsp[.]com/user/login.php
destaf[.]com/stuffer/login.php
jaderaplus[.]com/stuffer/login.php
33cow[.] com/stuffer/login.php
panelka[.]net/stuffer/login.php
aaservice[.]net/stuffer/login.php
re-shipping[.]ru/stuffer/login.php
bashar[.]cc/stuffer/ login.php
marketingyoursmall[.]biz/stuffer/login.php
hovard[.]xyz/stuffer/login.php
pullback[.]xyz/stuffer/login.php
telollevoexpress[.]com/stuffer/login.php
postme[. ]today/stuffer/login.php
wint-job[.]com/stuffer/login.php
Squadup[.]club/stuffer/login.php
mmmpack[.]pro/stuffer/login.php
yoursmartpanel[.]com/user /login.php
opt257[.]org/user/login.php
touchpad[.]online/stuffer/login.php
peresyloff[.]top/stuffer/login.php
ruzke[.]vodka/stuffer/login.php
staf- manager[.]net/stuffer/login.php
data-job[.]club/stuffer/login.php
logistics-services[.]org/user/login.php
swatship[.]club/stuffer/login.php
logistikmanager[ .]online/user/login.php
endorphine[.]world/stuffer/login.php
burbon[.]club/stuffer/login.php
bigdropproject[.]com/stuffer/login.php
jobspaket[.]net/user/ login.php
yourcontrolboard[.]com/stuffer/login.php
packmania[.]online/stuffer/login.php
shopping-bro[.]com/stuffer/login.php
dash-redtag[.]com/user/login. php
mnger[.]net/stuffer/login.php
begg[.]work/stuffer/login.php
dashboard-lime[.]com/user/login.php
control-logistic[.]xyz/user/login.php
povetru [.]biz/stuffer/login.php
dash-nitrologistics[.]com/user/login.php
cbpanel[.]top/stuffer/login.php
hrparidise[.]pro/stuffer/login.php
d-cctv[. ]top/user/login.php
versandproject[.]com/user/login.php
packitdash[.]com/user/login.php
avissanti-dash[.]com/user/login.php
e-host[.]life /user/login.php
pacmania[.]club/stuffer/login.php
Warum so viele Websites? In der Praxis werden alle Pakete innerhalb von etwa 30 Tagen nach ihrer ersten Lieferung freigegeben – kurz bevor der versprochene Gehaltsscheck fällig ist. Aufgrund dieser ständigen Fluktuation muss jeder Shop-Betreiber ständig neue Artikel rekrutieren. Außerdem kann bei diesem verteilten Aufbau selbst dann, wenn ein Rückversandvorgang geschlossen (oder online verfügbar gemacht) wird, der Rest weiterhin Dutzende Pakete pro Tag versenden.
Eine wissenschaftliche Studie (PDF) aus dem Jahr 2015 über kriminelle Reshipping-Dienste ergab, dass der durchschnittliche finanzielle Schaden eines Reshipping-Programms pro Karteninhaber 1.156,93 US-Dollar betrug. Diese Studie untersuchte die Finanzabläufe mehrerer Rücksendungsprogramme und schätzte, dass etwa 1,6 Millionen Kredit- und Debitkarten jedes Jahr für Rücksendungsbetrug im Wert von mindestens 1,8 Milliarden US-Dollar verwendet werden.
Es ist nicht schwer zu erkennen, dass der Rückversand für Kartenbetrüger ein lukratives Unterfangen sein kann. Beispielsweise kauft ein Stuffer eine gestohlene Zahlungskarte für 10 US-Dollar auf dem Schwarzmarkt und kauft mit dieser Karte Waren im Wert von mehr als 1.100 US-Dollar. Nachdem der Reshipping-Service seinen Anteil erhalten hat (ca. 550 US-Dollar) und der Stuffer für sein Reshipping-Etikett (ca. 100 US-Dollar) bezahlt hat, erhält der Stuffer die gestohlenen Waren und verkauft sie auf dem Schwarzmarkt in Russland für 1.400 US-Dollar. Er hat gerade aus einer 10-Dollar-Investition mehr als 700 Dollar gemacht. Spülen, waschen und wiederholen.
Durch den Verstoß bei SWAT wurden nicht nur die Spitznamen und Kontaktinformationen aller seiner Stuffers und Drops offengelegt, sondern auch die monatlichen Einnahmen und Auszahlungen der Gruppe. SWAT hat seine Bücher offenbar in einem öffentlich zugänglichen Google Sheets-Dokument geführt, und aus diesem Dokument geht hervor, dass Fearlless und sein Geschäftspartner routinemäßig jeden Monat mehr als 100.000 US-Dollar mit ihren verschiedenen Reshipping-Geschäften verdienten.
Die offengelegten SWAT-Finanzunterlagen zeigen, dass diese Verbrechergruppe jeden Monat Ausgaben im Wert von Zehntausenden von Dollar hat, einschließlich Zahlungen für die folgenden wiederkehrenden Kosten:
-Werbung für den Dienst in Kriminalitätsforen und per Spam;
-Personen, die angeheuert werden, um Pakete umzuleiten, normalerweise per Telefon;
-Dienste von Drittanbietern, die gehackte/gestohlene USPS/Fedex-Etiketten verkaufen;
-„Tropfentest“-Dienste, Auftragnehmer, die die Echtheit von Tropfen testen, indem sie ihnen gefälschten Schmuck schicken;
-„Dokumente“, z. B. das Versenden von Briefen zur physischen Abholung von Rechtsdokumenten für neue Scheinfirmen.
Die Tabelle enthielt auch die Kryptowährungskontonummern, denen jeden Monat die Einnahmen von SWAT gutgeschrieben werden sollten. Es überrascht nicht, dass eine Überprüfung der Blockchain-Aktivitäten, die mit den in diesem Dokument aufgeführten Bitcoin-Adressen verknüpft sind, zeigt, dass viele von ihnen einen engen Zusammenhang mit Cyberkriminalität haben, einschließlich Ransomware-Aktivitäten und Transaktionen auf Darknet-Sites, die gestohlene Kreditkarten und Privat-Proxy-Dienste verkaufen .
Die von SWAT durchgesickerten Informationen haben auch die wahre Identität und die finanziellen Geschäfte ihres Haupteigentümers – Fearlless, auch bekannt als „SwatVerified“ – enthüllt. Wir werden in Teil II dieser Geschichte mehr über Fearlless erfahren.