Кто крышует кидалу Trump’s Dumps шоп?

Дампы Трампа: «Дамы снова набирают обороты!»
Мошенники, которые торгуют вразнос украденными кредитными картами, нередко используют знаковые американские фигуры богатства и власти в цифровой рекламе своих магазинов, которые постоянно появляются на различных форумах, посвящённых киберпреступности.
Пример 1: McDumpals, чрезвычайно популярный кард-сайт, который позаимствовал персонаж Рональда Макдональда у Макдональдса, обслуживает оптовых покупателей.
Пример 2: Магазин дампов дяди Сэма, который ХОЧЕТ ТЕБЯ! Купи Америку! Сегодня мы предлагаем Вам обратить внимание на перспективный магазин украденных кредитных карт под названием Trump’s-Dumps, который использует образ 45-го президента США и обещает сделать мошенничество с кредитными картами снова великим прибыльным делом.

Одна из причин, по которой ворам, продающим украденные данные кредитных карт, нравится использовать популярные американские фигуры в своих объявлениях, может заключаться в том, что большинство их клиентов — это люди из Соединенных Штатов. Очень часто мы говорим о членах уличных банд в США, которые используют свои приобретенные «дамп» — данные, скопированные с магнитных полос карточек, проведенных через взломанные системы торговых точек — для изготовления поддельных копий карточек. Затем они используют поддельные карты в крупных магазинах для покупки товаров, которые они могут легко перепродать за наличные, такие как подарочные карты, устройства Apple и игровые системы.
Когда большинство ваших клиентов — уличные головорезы из Соединенных Штатов, это помогает использовать бренд, тесно связанный с Америкой, потому что Вы мгновенно создаёте узнаваемый бренд и быстро находите своих клиентов. Кроме того, многие из этих карточных магазинов находятся в ведении россиян и размещаются в сетях, базирующихся в России, а злоупотребление товарными знаками, тесно связанными с экономикой США, является не таким уж и тонким намёком на враждебное отношение к американским потребителям.
В некоторых случаях парни, управляющие этими карточными магазинами, открыто враждебны по отношению США. Вы. наверняка, помните, что магазин украденных кредитных карт «Rescator», который был основным источником карт, похищенных в результате взломов таких систем и платформ, как Target, Home Depot и Sally Beauty, был связан с гражданином Украины, который вёл националистический пророссийский блог, в котором он открыто протестовал против Соединенных Штатов и призывал к краху американской экономики.
Разбирая хакерский взлом 2014 года в Sally Beauty, я взял интервью у бывшего администратора корпоративной сети Sally Beauty, который сказал, что кредитные карты клиентов были украдены с помощью вредоносного ПО, установленного на устройствах в точках продаж Sally Beauty, которые делали прозвон на домен с названием «анти-США-прокси-война [точка] ком.»
Сейчас Trump’s Dumps говорит о продаже более 133 000 украденных дампов кредитных и дебетовых карт. Цены варьируются от чуть менее 10 долларов в Биткоинах до более 40 долларов в Биткоинах, в зависимости от того, какой банк выпустил карту, географическое местоположение владельца карты и привязаны ли карты к премиум, предоплаченным, деловым или административным счетам.

В настоящее время Trump’s Dumps размещается на российском сервере, обслуживающем несколько других крупных магазинов кредитных карт, в том числе давосуществующие магазины Fe-shop и Monopoly.
Такие сайты, как Trump’s Dumps, могут быть переведены в автономный режим — путем принуждения регистратора доменных имен к отзыву домена — но люди, ответственные за управление этим магазином, уже зарегистрировали множество похожих доменов и, без сомнения, имеют новый пуленепробиваемый хостинг в случае захвата их основного домена.
Кроме того, как и многие другие современные сайты по продаже кредитных карт, у этого есть свои версии, запущенные на Dark Web — сайты, которые доступны только через Tor и их гораздо сложнее отключить.
На главной странице «Trump’s Dumps» размещён призыв к действию с частями инаугурационной речи Президента Трампа (полный текст см. на приведенном выше снимке экрана):
«МЫ, ГРАЖДАНЕ DARK WEB, ТЕПЕРЬ ОБЪЕДИНЕНЫ В НАШЕМ ВЕЛИКОМ НАЦИОНАЛЬНОМ СТРЕМЛЕНИИ, ЧТОБЫ ВОССТАНОВИТЬ НАШЕ СООБЩЕСТВО И ВЫПОЛНИТЬ ОБЕЩАНИЯ ДАННЫЕ ВСЕМ НАШИМ ЛЮДЯМ.
ВМЕСТЕ МЫ НАПРАВЛЯЕМ КУРС КАРДИНГА И ОБЩИНЫ BLACKHAT НА МНОГИЕ-МНОГИЕ ГОДЫ. У НАС БУДЕТ МНОГО ПРОБЛЕМ. МЫ ПРЕОДОЛЕЕМ МНОГО ПРЕГРАД. НО МЫ ЭТО СДЕЛАЕМ!»
Секретная служба США, которая выполняет сразу две задачи: защищает президента и уничтожает фальшивомонетчиков (что касается и краж данных кредитных карт), отказалась комментировать эту историю.
КТО СТОИТ ЗА САЙТОМ TRUMP’S DUMPS ?
Пока я не склонен сильно верить в то, что якобы перечислил различные контакты администратора Trump’s Dumps, опубликованные одним из его конкурентов на подпольных форумах о киберпреступности. Однако, есть некоторые интересные подсказки, которые связывают Trump’s Dumps с серией хакерских атак на провайдеров электронной коммерции за последний год. Эти подсказки позволяют предположить, что преступники, стоящие за «Trump’s Dumps», активно занимаются кражей данных с кредитных карт, что подстегивает как мошенничество с использованием карт в реальности и онлайн.
В разделе «контакты» Trump’s Dumps владельцы перечисляют три идентификатора мессенджера Jabber. Все они заканчиваются на @trumplink [точка] su. Этот сайт в настоящее время не активен, но записи регистрации веб-сайта для домена показывают, что он связан с адресом электронной почты «[email protected]».
Обратный поиск по регистрационной записи веб-сайта WHOIS, заказанный с domaintools.com [важная подробность: Domaintools является рекламодателем в этом блоге], показывает, что этот адрес электронной почты связан как минимум с 15 другими доменами. Похоже, что большинство из этих доменов были зарегистрированы в качестве полноценных законных вызовов Javascript, которые многие сайты электронной коммерции регулярно совершают для обработки транзакций, таких как «js-link [dot] su», «js-stat [dot] su» и «Js-mod [dot] su».
Поиск в Google по этим доменам показан в отчёте службы безопасности RiskIQ, в котором объясняется, как эти домены занимали видное место в серии хакерских кампаний против сайтов электронной коммерции, начавшихся в марте 2016 года. Согласно RiskIQ, атаки на интернет-магазины проводились на корзины покупок платформ Magento, Powerfront и OpenCart, несовременным способом с помощью неисправленных версий программного обеспечения.
Эти же домены были обнаружены во время атаки в октябре прошлого года, когда выяснилось, что хакеры взломали веб-сайт сенатского комитета Республиканской партии США по Сенату среди более чем 5900 других сайтов, принимающих кредитные карты. Злоумышленники использовали HTML-код сайта GOP для вставки вызовов в такие домены, как «jquery-cloud [dot] net», чтобы скрыть тот факт, что они крали все данные кредитных карт, которые доноры отправляли через веб-сайт.