Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Jokerの初心者向けガイド

Joker's Stashの調査をしていて、Joker' Stash関連サイトにCARDER(初心者)ガイドを見つけました。

f:id:foxcafelate:20210124102117p:plain

 

 

キタきつねの所感

このガイド(USEFUL CARDERS GUIDE - FBI LEAK)では、2004年に閉鎖されたcarderplanetがカード情報購入先として書かれている事から、主な内容は少なくても10~15年以上前に書かれたものと思われます。

今となっては”古い”情報ではありますが、専門用語や、一部の手法が今も変わらない部分もあるので、少しこの内容をご紹介します。

 

尚Joker's Stashは2/15に閉鎖予定ですが、彼らがいかにしてビジネスを作り上げてきたのかと考えると、多くの初心者(カード不正を行う出し子)を彼らの顧客に育て上げた事が大きい気がします。

その中では、こうしたマニュアルが果たしてきた役割も大きいのかと思います。Googleで調べた限りでは、Joker以外のサイトでもこの資料を使っているサイトがある様です。とは言え内容が古いので、もっと新しいバージョンがあるのではないかと思いますが・・・)

 

ハッカーの知識
以下は、ロシアのハッカーであるKLYKVAがforum.carderplanet.comにオンラインで投稿した「BeginningCardersDictionary」です。これらの個人が働いている知識のレベルを説明するために、元の形式で提示されています。

Bank-emitent(発行銀行) –カードを発行した銀行請求先住所–カード所有者の住所 

※キタきつね注:この表現はあまり聞きません。イシュア(カード会社)と表現する事が多いです
ドロップ–インナーマン。彼の仕事はお金や商品を受け取り、それに応じて収入の一部をあなたに与えることです。
ドロップ/ピックアップの男/ランナー–荷物を受け取るかお金を受け取るように設定されている人または場所。彼はこの役職に対してうまく支払われるべきです。
請求–銀行と契約を結び、カードの支払いを引き受けるオフィス。
COB –請求先住所の変更
カード請求書–銀行発行のカード請求書。
Bank-aquirer –ストアが口座を開設する銀行。マーチャントアカウント–クレジットカードを受け入れるための銀行口座。
マーチャントバンク–買い手と売り手の間で支払いが行われる銀行(多くの場合、「銀行と同等」の同義語として使用されます)。
カード所有者–カードの所有者。
妥当性–カードの適合性。
白いプラスチック–情報がプロット/印刷される純粋なプラスチック片。
CR-80 –磁気ストリップ付きのクレジットカードのサイズの真っ白なプラスチックの長方形の部分(図面画像なし)。
トランザクション–クレジットカードへの請求
POS端末(POS端末) –商業施設にある読書カードデバイス
PINコード–(個人識別番号)カードの所有者だけが知っている4〜12の番号で構成されるシーケンス。ATMなどの簡単な単語のパスワード。

※キタきつね注:クレジットカードPIN(暗証番号)はほとんど4桁(銀聯だけ6桁)です。
AVS –カード所有者のアドレスチェック。所有者が正確に所有しているカードの確認に使用されます。
「グローブ」 – 2つの半球の画像を使用したカードホログラフィック接着(MasterCard)。ピジョン(鶏) –フライングピジョン(VISA)の画像とのカードホログラフィック接着。

※キタきつね注:Visa標準の(鳩)ホログラムは、まだ現役だったかと思います。
リーダー–カードの磁気ストリップから読み取るための情報読み取りデバイス
エンコーダー–カードの磁気トラック用の読み取り/書き込みデバイス。エンボス加工機–カードシンボル押し出し装置。
カードプリンタ–カード情報印刷デバイス。Exp.date –カードの有効期間。
市外局番–カード所有者の電話番号の3桁または6桁の最初の桁。
CVV2、cvv、cvn –カード番号の末尾にある3つまたは4つの追加番号。

※キタきつね注:カード裏面(Amexは表面)のセキュリティコードの事です。CVV2/CVC2等、各国際ブランドによって若干呼び方が違います。
ePlus –カードをチェックするためのプログラム。
BIN –カード番号の最初の6つの番号。これにより、どの銀行がカードを発行し、どのタイプのカード(ATMカード、クレジット、ゴールドなど)を発行したかを知ることができます。「プレフィックス」という単語の同義語。
チャージバック–カード所有者の銀行は、カードからのお金の削除を無効にします。
ダンプ–カードの磁気ストリップに書き込まれる情報で、1、2、または3つのトラックで構成されます。
MMN –母親の旧姓(通常、プライマリアカウント所有者の母親)
トラック(道路) –特定の情報を含むダンプの一部。すべての最初のトラックは、カードの所有者に関する情報です。
2番目のトラック–カードの所有者とカードを発行した銀行に関する情報など。3番目のトラック–言うことができます–スペア、ポイントの追加などのために店舗で使用されます。
スリップ–「小切手」という言葉の同義語(カードの決済に準拠)。
カード残高–カードアカウントで使用するために残っているクレジットの量。
自動決済機関(ACH) –自動決済機関。協会のメンバー間で手段を直接交換することにより、小切手と電子ユニットの清算を実現する、預金者の自発的な協会。
継続的な取得とライフサイクルサポート(CALS) –生産の保証、購入、活用の統合システム。このシステムにより、設計、開発、生産、サービス、および生産の伝播に関するすべてのデータをコンピューター化することができます。
デビットカード–使用方法はクレジットカードに似ていますが、商品やサービスの購入時に直接購入者の口座からの引き落としを実現できるカードです。
配達対支払い(DVP) –貴重な書類を使用した操作の計算システムであり、支払いの場合と支払いの瞬間にのみ配達が行われることを保証するメカニズムを保証します。
口座振替–主に、指定された債権者から支払いの計算を取得するときに、借方が金融機関に当座預金の引き落としを許可する反復的な性質(リース料、保険報酬など)を使用する支払い賦課金方法。
電子資金移動(EFT) –口座の借方または貸方に関係する、金融機関への指示または権限の転送によって、端末、電話、または磁気キャリア(テープまたはディスケット)から開始される手段の送金(電子資金を参照)転送/販売時点管理– EFT / POS)。
電子送金/ POS – EFT / POS –購入者の口座から、POSでの取引の過程で発生した債務の支払いへの送金を目的として、電子端末から引き落とされます。
集積回路(IC)カード–チップカードとも呼ばれます。

※キタきつね注:ICカード、チップカード以外にEMVカード(チップ)と呼ばれる事もあります。
データの識別と保存、またはそれらの特別な処理のための1つまたは複数のコンピューターマイクロチップまたは統合マイクロ回路を備えたカード。暗証番号(PIN)の信頼性の確立、購入許可の配信、口座残高の確認に使用されます。個人記録を保存します。場合によっては、使用するたびにカードのメモリが更新されます(アカウントの残高が更新されます)。
インターネット–相互に関連するコンピュータネットワークで構成され、リモート情報へのアクセスとコンピュータ間の情報交換を提供するオープンワールド通信インフラストラクチャ。
国際標準化機構(ISO) –スイスのジュネーブにスタッフオフィスを持つ、標準化を実施する国際組織。
磁気インク文字認識(MICR) –小切手の番号、部門のコード、合計、口座数など、小切手の下部にある磁気インクで置き換えられた情報を機械で確実に読み取るシステム。
RSA – 1977年にMITでRivest、Shamir、Adel'manによって開発されたコーディングおよび認証テクノロジー。その後、Security Dynamics Technologies、Inc。が最近買収したRSA Data Security、Inc。を設立しました。
即時グロス決済(RTGS) –支払いに関する指示を取得する際に、トランザクションごとに手段の転送を行う支払い方法。支払いでリスクを減らします。
スマートカード集積回路とマイクロプロセッサを搭載し、計算を実行できるカード。
システムリスク–決済システムの参加者のいずれかが金融市場の参加者全体として義務を履行できないことにより、他の参加者または金融機関がその義務(計算の実現に関する義務を含む)を履行できなくなるリスク転送システムを意味します)適切に。この失敗は、重大な流動性または信用問題を引き起こす可能性があり、その結果、金融市場の安定性を損なう可能性があります(その後の経済活動レベルでの行動を伴う)。
切り捨て–最初のプレゼンテーションの銀行による紙の文書(理想的なバージョン)の物理的な移動を、これに含まれる情報の全部または一部の電子転送による置き換えによって制限することを可能にする手順。ドキュメント(チェック)。
カード残高–現在使用されているクレジット
アベイルズクレジット–支出に実際に利用できるクレジット
キャッシュアドバンスアベイルズ–実際の金額はATM使用の現金として利用できます。集積回路(IC)カード–チップカードとも呼ばれます。
データの識別と保存、またはそれらの特別な処理のための1つまたは複数のコンピューターマイクロチップまたは統合マイクロ回路を備えたカード。暗証番号(PIN)の信頼性の確立、購入許可の配信、口座残高の確認に使用されます。個人記録を保存します。場合によっては、使用するたびにカードのメモリが更新されます(アカウントの残高が更新されます)。
LE –法執行機関、銅、ピギー、FuzzzzzzzzzzzzLappie-ラップトップ

(USEFUL CARDERS GUIDEより引用)※機械翻訳

 

一部用語を書き直したい(Wikiであれば)気持ちもあるのですが自粛します。古い辞書ですが意外と用語が生きている気がします。

 

コミュニケーション方法
すべての取り組みと同様に、ハッカーとカーダーには、1つまたは複数の通信手段が必要です。ほとんどのハッキンググループの国際的な構成とサイバー犯罪が真にボーダレスであるという事実を考えると、これらのグループが選択する通信方法は、国際的にアクセス可能で、費用効果が高く、匿名性が高い必要があります。以下にリストされているのは、ハッカーとカーダーが使用する主要な通信方法のいくつかです。

IRC –インターネットリレーチャット。さまざまなネットワーク上で相互接続された一連のコンピューターサーバーで、ユーザーがチャネル内で1対1でチャットできるようにします。チャネルはルームとも呼ばれ、最初にルームを設定したユーザーによって制御されます。
ICQ – America Online(AOL)が所有するピアツーピアチャットアプリケーション。チャットルームはICQネットワーク内に設置できますが、入場は招待制です。
AIM -AOLインスタントメッセンジャー
フォーラム–さまざまなトピックに関するパブリックメッセージとプライベートメッセージを投稿できるWebサイトスポンサーの掲示板。例:forum.carderplanet.com、eraser.hostmos.ru、 www.darkprofits.com 、 www.carderclan.net
Eメール–電子メール

(USEFUL CARDERS GUIDEより引用)※機械翻訳

 

2004年に閉鎖したcarderplanetが書かれているので、元の文章は2000年頃(20年前)に書かれたものなのかと推測します。まだDarkWeb(Tor)にハッカーが移動する前の時代のコミュニケーション手法で、AOLが推されている所に時代を感じます。

最新版だと、Tor(オニオンネットワーク)のガイド、ProtonmailやTelegram、WhatsApp、Signal、Weibo辺りの説明が書かれているのかも知れません。

 

何を盗むか
これらの個人にはすべてを盗む価値があります。これらのハッカーは経済的に動機付けられており、高度な教育を受けています。彼らは米国で見られる典型的なハッカーではありません。ハッキングとカーディングは彼らにとってビジネスです。彼らはデータベースを盗むためにハッキングし、データベースはカーダーに提供されますカーダーは、さまざまなスキームを利用して、盗まれたクレジットカードを現金または機器に変換し、カード関連のIRCチャットルームでオンラインで自由にカードを提供します。無料カードの目的は、情報を可能な限り広く広めることであり、したがって、法執行機関が最初にハッキングを行った人物を追跡することを困難にします

ハッキングは、偵察、盗難、ダンプの3つの部分で発生します。偵察の部分では、ハッカーはすべてを盗みます。この情報は、ネットワークの重要な部分、データベースの場所、ユーザー名とパスワードを識別するために使用されます。偵察は通常2〜3回行われます

盗難の数ヶ月前。盗難の部分では、ハッキングによって特定の情報、つまり必要に応じてシステムからクレジットカード番号が収集され始めます盗難の段階は何年も続く可能性があり、ハッカーは通常、彼らの活動の非常に小さな足跡を残します。ダンプ段階は、ハッカーが非常に「騒々しい」方法ですべてを盗むときに発生します。このステージは、元のハッカーバックドアを利用しているすべての「スクリプトキディ」と「ラメルツ」を燃やすために使用されます。ダンプフェーズでは、通常、その時点での報道と、システム内のすべてのクレジットカードの「レッドフラグ」が発生します。被害を受けた企業はセキュリティを変更し、時間の経過とともに警戒を緩めます。次に、ハッカーは自分たちが作成した古いバックドアを使おうとします。それらがまだ所定の位置にある場合、盗難段階が再び始まります。

ハッキングは通常、さまざまな被害者によってパッチが適用されていない既知の脆弱性を利用します。ほとんどのハッキングはMicrosoftWindowsプラットフォームに対して発生し、Msdacエクスプロイト、MSSQLエクスプロイト、またはIISエクスプロイトを利用します。これらのエクスプロイトに関する豊富な情報がインターネット上で入手できます

真に熟練したハッカーは、独自のツールを開発し、Telnetやセキュアシェルデーモンを高いポート番号にインストールしたり、スニファをインストールしてルートレベルのパスワードを盗んだ後に独自のユーザーIDとパスワードを作成したりするなどのシステムにバックドアを配置しました。これらは、システム管理者が最初に探す必要があることであり、すべてのルートレベルのユーザーとの直接の会議を通じてすべてのルートレベルのパスワードを変更することです。システムにスニファがインストールされている場合、パスワードの変更を電子メールで送信することは傍受されます。

場合によっては、「ボット」を使用してハッキングが自動化され、被害を受けたネットワークのシステム管理者は、ボットと戦うのに十分な速度が物理的にないために停止できなくなります。ボットを停止する唯一の方法は、ネットワークをオフラインにすることです。

(USEFUL CARDERS GUIDEより引用)※機械翻訳

 

書かれている内容は”古い”はずなのですが、既視感があります

改めて感じたのが、20年前からハッカーとカーダー(出し子)の分業制が採られており、そのスキームは今も変わらないという事です。

Joker's Stashの様なプラットフォーマーがミスをしてハッカーとカーダーが芋づる式に見つかる様な事態がない限り、司法当局はなかなかDarkWebに隠れるハッカー達を捕まえる事ができないのは、DarkWeb等々の匿名性が最大の障害とよく言われますが、分業制の影響も大きい気がします。

ハッキング手法については、深化したAPT攻撃は別にしても、既知の脆弱性(エクスプロイト)を使う点や、「特権ID(パスワード問題)」が20年前から課題であった事がよく伺えます。

 

攻撃対象の所も読んでいて「同じ」だと感じました。

侵入 –最も多くの報道を受けたクレジットカードを取得する方法は侵入です。ハッカーは単にシステムへの不正アクセスを取得し、データベースを盗みます。ハッカーの標的となるシステムには、次のものがあります。

ショッピングカードプログラムを実行しているオンラインショップ
オンラインショップのオンライン注文を処理するEコマース決済ソリューションサイト
net、creditcards.com、CCBill.comなどのクレジットカード処理会社
クレジットカードを使って通貨単位を購入できるオンライン通貨交換サイト
オンラインカジノ
ポルノウェブサイト(被害者はしばしば法執行機関に侵入を通知しません)
銀行および金融機関

(USEFUL CARDERS GUIDEより引用)※機械翻訳

 

銀行および金融機関(カード会社)はともかくとして、オンラインショップ(ECサイト)、決済代行会社はインシデント事例も多々あります。通貨交換サイトは現代だと仮想通貨交換所と読み替える事もできるかも知れません。

ポルノ・・・派生領域だとデーティングサイト(不倫サイト)も被害者があまり被害を公言できない点を狙ったと思われるインシデントが近年あったかと思います。

 

全文は紹介できませんが、この初心者ガイドを読んでいて、攻撃側の行動心理を考える上で色々と参考になる所が多いなと思います。

 

余談です。内容をざっと読んだ限り(情報が古いですし一般的な事も多いので)全文を公開しても問題はなさそうですが、直接リンクを貼るのは差し控えます。

ご興味がある方は、「joker stash USEFUL CARDERS GUIDE」でググってみて下さい。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

f:id:foxcafelate:20210124102300p:plain

更新履歴

  • 2021年1月22日 AM