美国政府本月对一名俄罗斯男子悬赏1000万美元,该男子在过去18年中经营Try2Check,Try2Check是地下网络犯罪最受信任的服务之一,用于检查被盗信用卡数据的有效性。美国当局称,43岁的Denis Kulkov的信用卡查询服务让他至少赚了1800万美元,他用这些钱购买了法拉利、路虎和其他奢侈品。
Try2Check于2005年推出,很快每月处理超过100万笔银行卡检查交易——每笔交易收费20美分。网络犯罪分子在从一家地下商店购买了被盗的信用卡数据后转向了此类服务,目的是尽量减少在被用于犯罪活动时使用处于非活动状态的信用卡数量。
Try2Check非常可靠,最终成为一些地下最繁华的犯罪集市的官方卡片检查服务,包括Vault Market、Unicc和Joker's Stash。这些盗窃信用卡的暗网商店的客户选择使用Try2Check的商店内置(但可选择)卡片检查服务,如果在购买时发现任何卡片处于非活动状态或已取消,则可以期待自动退款。
许多已建立的被盗卡商店将允许客户根据可信赖的第三方检查服务的官方报告要求对失效卡进行退款。但总的来说,较大的商店引导客户使用他们自己的白标版本的Try2Check服务——主要是为了帮助减少因注销卡而引起的争议。
5月3日,星期三,Try2Check的网站被美国特勤局和美国司法部的域名扣押通知所取代,因为纽约东区的检察官公布了起诉书和搜查令,将俄罗斯萨马拉的Denis Gennadievich Kulkov列为经营者。
与此同时,美国国务院悬赏1000万美元,悬赏导致Kulkov被捕或定罪的情报信息。2021年11月,国务院开始提供高达1000万美元的资金,以获取俄罗斯主要勒索软件团伙REvil任何主要领导人的姓名或位置。
正如特勤局的刑事起诉书(PDF)所指出的,Try2Check服务首次在严密防范的俄罗斯网络犯罪论坛Mazafaka上发布广告,该人使用的账号是“KreenJo”。该账号与一个名为”Nordex“的Mazafaka用户使用相同的ICQ即时通信工具账号(555724)。
2005年2月,Nordex在Mazafaka发帖称,他在市场上寻找被黑的银行账户,并提供50%的收益。他要求感兴趣的合作伙伴通过ICQ号码228427661或电子邮件地址polkas@bk.ru与他联系。正如政府在其搜查令中指出的那样,Nordex当时与论坛用户交换了消息,称自己是来自俄罗斯萨马拉的当时24岁的“Denis”。
2017年,美国执法部门查封了加密货币交易所BTC-e,特勤局表示,这些记录显示,来自萨马拉的Denis Kulkov提供了用户名“Nordexin”、电子邮件地址nordexin@ya.ru以及在萨马拉的一个地址。
调查人员已经找到了Instagram账户,Kulkov在这些账户上发布了他的法拉利和家人的照片。当局能够确定Kulkov有一个与地址nordexin@icloud.com相关联的iCloud帐户,并且在通过苹果调证后发现了Kulkov的护照照片,以及他的家人和昂贵汽车的更多照片。
与总部设在俄罗斯或与克里姆林宫有良好关系的国家的许多其他顶级网络犯罪分子一样,将Try2Check的所有者与现实生活中的身份联系起来并不是特别困难。在Kulkov的案例中,毫无疑问,对于美国调查人员来说至关重要的是,他们可以访问与Kulkov使用的加密货币交易所相关的大量个人信息。
然而,Kulkov和Try2Check之间的联系是——具有讽刺意味的是——基于多年来被黑客入侵窃取并在线发布的记录——包括俄罗斯电子邮件服务、俄罗斯政府记录和被黑客攻击入侵的网络犯罪论坛。
美国当局通过调取他的iCloud帐户获得了一张Kulkov拿着他的护照的照片。
根据网络安全公司Constella Intelligence的说法,邮箱地址polkas@bk.ru被用来在bankir[.]com上注册一个用户名为“Nordex”的帐户,这是一个现已不复存在的新闻网站,几乎是对各种俄罗斯金融市场新闻感兴趣的俄罗斯人的标准阅读站点。
Nordex似乎是一个金融呆子。早年在论坛上,Nordex就他对俄罗斯股市和共同基金投资的看法发表了多篇长文。
该Bankir帐户是从俄罗斯萨马拉的互联网IP地址193.27.237.66注册的,包括Nordex的出生日期为1980年4月8日,以及他的ICQ号码(228427661)。
网络情报公司Intel471发现,互联网IP地址也被用于在2006年在俄罗斯黑客论坛Exploit上注册帐户“Nordex”。
Constella跟踪了另一个Bankir[.]com帐户,该帐户是从同一互联网地址创建的,用户名为“Polkas”。该帐户的出生日期与Nordex相同,但电子邮件地址不同:nordia@yandex.ru。这个电子邮件账号和其他“nordia@”邮件共享一个密码:“anna59”。
Nordia@yandex.ru与nordia@list.ru共享多个密码,Constella说这些密码用于在一个宗教网站上为来自萨马拉的Anna Kulikova创建一个帐户。在俄罗斯家居用品商店Westwing.ru,Kulikova女士列出了她的全名Anna Vnrhoturkina Kulikova,她的地址是29 Kommunistrecheskya St., Apt. 110。
在Constella中搜索该地址会显示Anna Denis Vnrhoturkina Kulkov和电话号码879608229389的记录。
多年来,俄罗斯的车辆登记记录也遭到黑客攻击并在网上泄露。这些记录显示,Anna的Apt 110地址与1980年4月8日出生的Denis Gennadyvich Kulkov联系在一起。
Kulkov于2015年在该地址登记的车辆是一辆2010款的法拉利Italia,车牌号为K022YB190。与此记录关联的电话号码—79608229389—与Anna的完全一样,只是减去(错误?)前面的“8”。该号码还与一个现已失效的Facebook帐户以及电子邮件地址nordexin@ya.ru和nordexin@icloud.com相关联。
多年来,Kulkov的法拉利被俄罗斯汽车爱好者拍摄过无数次。
正如这个故事的标题所暗示的那样,西方执法部门最困难的部分不是识别现场的主要参与者的俄罗斯网络犯罪分子。相反,它正在寻找创造性的方法在高价值嫌疑人离开了俄罗斯后抓获他们。俄罗斯通常向其境内的网络犯罪分子提供保护,而这些国内网络犯罪分子不会伤害俄罗斯公司或消费者,也不会侵害俄罗斯的国家利益。
但俄罗斯对乌克兰的战争导致地下网络犯罪出现了重大断层线:此前轻松横跨俄罗斯和乌克兰的网络犯罪集团被迫重新评估许多突然为另一方工作的同志。
许多战前在俄罗斯和乌克兰逍遥法外的网络犯罪分子在入侵后选择逃离这些国家,这为国际执法机构提供了抓捕通缉犯的难得机会。其中之一是Mark Sokolovsky,他是一名26岁的乌克兰男子,他经营着流行的“Raccoon”恶意软件即服务产品;Sokolovsky在逃离乌克兰的强制兵役令后于2022年3月被捕。
去年被捕的还有Vyacheslav “Tank” Penchukov,他是一个跨国网络犯罪集团的高级成员,该集团在近十年内从无数被黑企业中窃取了数千万美元。Penchukov在离开乌克兰前往瑞士与妻子会面后被捕。