如果您对网络犯罪世界感兴趣,也许您知道 Roman Seleznev 这个名字。十多年来,这位俄罗斯公民一直领导着一个“卡”帝国,即窃取和隐匿银行卡数据。该男子于 2014 年 7 月 5 日在马尔代夫被捕,一年前接受审判,此后一直在服刑 27 年。随着案件现已结束,两名司法部调查员——诺曼·巴博萨和哈罗德·春——利用了这次会议的机会2017 年美国黑帽大会提供有关这项漫长而令人难以置信的调查的大量细节。
这一切都始于 2002 年,当时网络上出现了一个名为“nCuX”的盗版者。显然,该网络犯罪分子有俄罗斯血统,笔名“nCuX”的意思是“鲁莽”,该网络犯罪分子首先致力于身份贩运,然后在 2005 年专门从事银行卡数据的隐藏工作,尤其是美国公民的银行卡数据。 nCuX 的日益成功自然吸引了大西洋彼岸执法部门的关注。 2009年,他们联系了俄罗斯特勤局FSB,希望获得有关这名暴徒的信息。五月份组织了一次会议,但会议没有什么有趣的结果。相反,两个月后,nCuX 从网络上消失得无影无踪。有地位高的人会警告他吗?
优质垃圾场
几个月后,梳理论坛上出现了两个新人物,“Track2”和“Bulba”。他们的账户刚刚创建,就已经被标记为“值得信赖的卖家”,这证明这些人都是业内知名人士。他们的特长?分别在 track2.name 和bulba.cc 网站上出售第一手银行卡数据的“转储”(即副本)。“我们只卖我们自己偷来的垃圾场”,在消息中警告 Track2。与此同时,执法部门注意到,2010年11月至2011年2月期间,针对销售点的计算机黑客攻击有所增加。受害者有数十人,主要是餐馆:Schlotzsky's Deli、Broadway Grill、Jet's Pizza、Extreme Pizza、Mountain Mike's Pizza 、卡萨米亚…
所有这些盗窃行为实际上都是 Track2 和 Bulba 所为,而在这两个化名背后隐藏的是同一个人:Roman Seleznev。由于一系列严重错误,它的识别成为可能,首先是使用雅虎地址注册其两个销售网站的域名。对受感染机器的取证调查和对这些电子邮件帐户的分析可以快速揭示用于这些数据盗窃的底层技术架构。调查人员特别发现了多个服务器和其他雅虎电子邮件帐户的存在。“架构实际上并不是很复杂。我们没有遇到多级僵尸网络。这是非常基本的””,诺曼·巴博萨解释道。
第二个大错误是将这些服务器和电子邮件帐户用于个人目的,例如为 Paypal 帐户注资、订购一束鲜花或预订机票。因此,通过查看电子邮件,调查人员可以轻松识别隐藏在阴影中的人。“今天的黑客变得更加谨慎,并尽一切努力来分离他们的使用配置文件”,指定 Harold Chun。
2011年3月,一份起诉书被发出,联邦部门等待合适的时机来抓捕他。戏剧性的转折:2011 年 4 月 28 日,罗曼·谢列兹涅夫 (Roman Seleznev) 在马拉喀什的 Argana 咖啡馆,与此同时,AQIM 恐怖分子引爆了炸弹。罗曼·谢列兹涅夫受伤并被遣返俄罗斯,但俄罗斯拒绝引渡他。网络老板关闭了他的梳理店并再次从网络上消失。
但自然很快就会回归。 2013年,该男子以化名2PAC创办了一个新的梳理网站,并赚了一大笔钱,因为他不仅出售自己的数据,还出售同行的数据,同时从中赚取一定比例。“他的网站泄露了大量被盗数据。最大的梳理海盗来到了他家。他为自己能够获得最好的转售价格而感到自豪””,诺曼·巴博萨强调道。在某种程度上,罗曼·谢列兹尼奥夫成为了真正的梳理教父。
密码:“ochko123”
2014年7月5日,他的幸运之星突然离他而去,当时他在马尔代夫被美国特勤局特工逮捕,并被带到美国。他的笔记本电脑也被没收,这对他来说将是致命的,因为其中包含超过 170 万条银行卡数据的数据库。显然,这台机器受到密码保护,但这——罗曼·谢列兹涅夫的第三个大错误——太容易猜到了。这与他已经在其他网站上使用的相同,并且出现在他的雅虎帐户的某些电子邮件中。即:“ochko123”。即使执法部门无法访问这些电子邮件,他们最终也会通过简单的字典攻击找到它。据调查人员称,“ochko”是一个常见的俄罗斯名字,意思是“混蛋”。
尽管有所有这些因素对他不利,但随后的审判并不容易。司法部正面临政治外交不稳定的企图。他的父亲瓦列里·谢列兹涅夫是俄罗斯议会议员,有一定影响力。但父亲也不做蕾丝。他帮助儿子的第一个想法就是尝试用贿赂收买检察官。对他来说不幸的是,这个绝妙的想法是在几分钟内被窃听的。
面对这种僵局,罗曼·谢列兹涅夫采取了另一种防御策略,同样令人惊讶。他辩称,所有这些数据都不是来自他,而是由第三方(可能是美国政府)捏造和种植的。他甚至还有一个技术论点:他笔记本电脑上的数千个文件奇怪地都有他被捕后的修改日期。据他说,这证明机器被操纵了。但事实却截然不同。“没收笔记本电脑的警察忘记将其关闭。结果:运行 Windows 8 的混合平板电脑系统不断安装更新,导致所有这些日期更改 »”,哈罗德·春解释道。
这一程序错误迫使司法部进行了一项完整的额外法医研究,以证明不存在操纵行为。最终陪审团被说服,调查人员终于可以收获多年工作的成果。即使从现在开始,他们不能再前往俄罗斯。普京政府宣布他们为不受欢迎的人。
