Rzadko się zdarza, by to Polska była miejscem zatrzymań cyberprzestępców działających na globalnej scenie hakerskiej. Okazuje się jednak, że mamy w kraju przedsiębiorczych młodzieńców, handlujących na dużą skalę cudzymi danymi.
Wasze loginy i hasła to popularny towar w internecie. Wiele osób go kupuje, niewiele sprzedaje. Oto historia jednej z grup sprzedających loginy i hasła.
Zatrzymania w kilku województwach
Dzisiaj rano polska policja wydała komunikat, w którym poinformowała o zatrzymaniu przestępców „sprzedających dane w darknecie”. Brzmi ciekawie, prawda? Z komunikatu nie dowiemy się zbyt wiele. Ot, zatrzymano 6 osób, zyski ok. 1,5 mln, przejęto złotówki, euro, kryptowaluty i Hondę Civic. Za co jednak poszły do aresztu?
Dotyczą one [zarzuty – przyp. red.] udziału w zorganizowanej grupie przestępczej zajmującej się bezprawnym pozyskiwaniem i zbywaniem baz danych. Podejrzanym zarzucono także czyny polegające na zbywaniu programów komputerowych umożliwiających nieuprawniony dostęp do zasobów przechowywanych w systemach informatycznych, […]
Przestępcy oferowali do sprzedaży za pośrednictwem serwisu Darknet bazy danych pochodzące z włamań do systemów informatycznych. Darknet – to zbiorcza nazwa określającą różne anonimowe strony internetowe, sklepy, fora dyskusyjne i inne serwisy dostępne w Internecie. W przeciwieństwie do zwykłych stron internetowych nie są one dostępne przez adres www i nie można ich znaleźć w zwykłych wyszukiwarkach. Serwis umożliwiał nabycie baz kradzionych z różnych krajów, nie tylko europejskich. Nabywane dane służyły następnie do kradzieży tożsamości, a także do oszustw. Oferowane do sprzedaży bazy z danymi można było zakupić jedynie za kryptowaluty.
Serwis Darknet… No cóż, ani nie był to serwis Darknet, ani serwis w darknecie – ale o tym za moment, bo jeszcze musimy ustalić, kto wpadł w ręce organów ścigania.
Do zatrzymania doszło we współpracy z policją szwajcarską oraz Europolem – szukamy zatem kolejnego wpisu i trafiamy na komunikat Europolu. Tu okazuje się, że szwajcarska policja zatrzymała szwajcarską grupę przestępców, wymieniającą wykradzione punkty z programów lojalnościowych na elektronikę. Najwyraźniej jednak konta do swoich przestępstw kupowała od innej grupy – polskiej. Z tego artykułu dowiemy się więcej. Grupa nazywała się Infinity Black i sprzedawała tzw. „combos”, czyli zestawy login/e-mail i hasło.
Tu słowo wyjaśnienia – wasz login i hasło do forum dla wędkarzy ma swoją wartość, niezwiązaną z forum dla wędkarzy. Przestępcy biorą login (e-mail) oraz hasło i sprawdzają, czy działa w innych serwisach. Dropbox, Facebook, LinkedIn, Booking, Uber, Steam i setki, tysiące innych serwisów, gdzie można coś ukraść i sprzedać. Dlatego tak ważne jest posiadanie różnych haseł. I na tym właśnie zarabiała grupa Infinity Black.
Infinity Black
Europol informuje, że grupa miała trzy zespoły – jeden pisał narzędzia do testowania jakości wykradzionych danych (tzw. checkery, czyli skrypty testujące loginy i hasła), drugi te dane sprawdzał, trzeci zaś sprzedawał te sprawdzone. Działalność prowadzona była za pomocą dwóch platform – w ich bazach danych policja znalazła 170 milionów rekordów. To prawdopodobnie oznacza 170 milionów par login-hasło.
Tak się składa, że znaleźliśmy grupę Infinity Black na forum nulled.to. Obecnie konta jej członków są zbanowane, a ogłoszenia skasowane – ale z internetu nic do końca nie ginie. Oto profil jej szefa – Polaka.
Profil ma wysoką reputację, a mimo to został zbanowany. Zobaczcie datę ostatniego logowania – 28 kwietnia to dzień przed zatrzymaniami przestępców w Polsce. Co ciekawe, AZATEJ komentował także artykuł o wycieku danych w naszym serwisie.
Aktualizacja: Imię i nazwisko AZATEJ-a można przy pewnym wysiłku znaleźć w Google. Był prawdopodobnie najstarszy z całej grupy (przedział wiekowy podany przez organy ścigania to 18-30, AZATEJ ma 30 lat) i jest właścicielem kilku różnych podmiotów gospodarczych.
Atkualizacja 2: Pamiętacie wielki wyciek danych zwany Collection 1-5? Prawdopodobnie to właśnie AZATEJ był odpowiedzialny za ujawnienie tych plików. Cytując artykuł z Forbes:
Yet another post on a hacker forum came from a character called Azatej. Alongside an image of the Sanix advertisement, Azatej took responsibility for leaking the information. „I leaked whole of it because seller shared my infinity black combos in that storage,” Azatej wrote.
Drugi z organizatorów procederu używał pseudonimu Macien. On logował się po raz ostatni 26 kwietnia i jego profil (na razie) nie został jeszcze zbanowany.
Grupa oferowała nie tylko dane.
Tak wyglądał sam checker grupy, czyli narzędzie do sprawdzania loginów i haseł, czy pochodzą z publicznych źródeł, czy też jeszcze nie zostały udostępnione publicznie. Te drugie mają o wiele większą wartość. Liczniki wskazują liczbę „combo” uznanych za publiczne, prywatne oraz błędnych.
Tak z kolei wyglądała witryna grupy, znajdująca się pod adresem https://infinity.black. To tam zapewne dostępna była baza 170 milionów kont (sprawdzonych), obecnie wyłączona.
Tu z kolei poprzednia wersja checkera, autor nawet się pod nim sam podpisał.
Były także starsze wersje checkera – oto jedna z nich.
Dzięki pragnieniu sławy autorów wiemy, że narzędzie stworzyli KeCa i Geniush (xD), a właścicielem był AZATEJ – co potwierdza ustalenia Europolu odnośnie struktury grupy. Co ciekawe, jak donosi jeden z czytelników, użytkownik geniush wrzucił kiedyś nasz link na Wykop.
Podsumowanie
Jak widać na przytoczonych powyżej obrazkach, sprzedawcy kont nie dbali zbytnio o prywatność, zatem zebranie przeciwko nim dowodów nie musiało być wielkim wyzwaniem. Infinity Black był jednym z dwóch największych dostawców danych na forum nulled.to, a forum to z kolei jest jednym z najpopularniejszych w branży. Oznacza to spory sukces organów ścigania, bo część sprawców zniknęła z rynku i na chwilę wasze loginy i hasła stały się trochę bezpieczniejsze. Niestety lukę na pewno ktoś zapełni – zatem pamiętajcie, by mieć różne hasła w różnych miejscach – a AZATEJ, Macien, KeCa i Geniush was znienawidzą!
Bezpieczeństwo kont i haseł
Kontom i hasłom poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać zostania ofiarami bohaterów artykułu. Do tego 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.
Komentarze
Azatej został zbanowany przez to, że ktoś kupił subskrypcję na jego portal, a że został usunięty po 6 dniach (policja) to złożył scam reporta. Administracja NTO nie chciała dać nam statementu czemu to się dzieje, dlatego uciszyła sprawę banując Azateja zgodnie z regułą – nie odpowiadasz w scam reporcie przez 24h? Ban (niezależnie od rangi).
Azatej nie był taką złą osobą jaką się wydaje, ponieważ często pomagał rozwiązywać sprawy oszustów, scammerów i po prostu pokazywał, żeby tego nie robić (dwie strony medalu, ok?) – a złapali go przez to, że prawdopodobnie donosił na konkurencję, czyli Datasense. Kostrikova oraz Jujiego, Ci w odwecie donieśli na Azateja, którego dane latały kiedyś po internecie i wiele osób je zateczkowało.
wszyscy tam jesteście zwykłymi złodziejami
A skąd takie informacje?
Ponieważ znam Azateja i jego kolegów (głównie z internetu, sam nie crackuję). Ma się kontakty = ma się informacje, niektóre osoby wiedzą nawet co się dokładnie wydarzyło na sali sądowej.
Na latających zdjęciach jest właśnie biurko Azateja.
mieli kontakty i wszystko wiedzieli a jednak zjechali na puchę
Najprawdopodobniej wiedzieli, że zostaną złapani ponieważ AZATEJ usunął wszelkie konwersacje i konta z komunikatorów żeby policja nie doszła po sznurku do kłębka.
to może jakiś wywiad z z3s?
Z miłą chęcią dowiedziałbym się więcej o profilu takich „hakerów”, choć słusznie byłoby powiedzieć/napisać szkodnikach :)
@Guisend
Nikt nie szyfrowal dysków ?
Jak tak czytam twoje wpisy to brzmi to jak opowieści plotkarskie mojej żony, na pewno wam dobrą płeć wpisali na dowodach? :-)
Guisend dał legitne info, potwierdzam co napisał.
to prawda, tutaj Azatej, potwierdzam, że to moje biurko, a ja jestem niewinny i często pomagałem w łapaniu złodziei
nie oceniajcie mnie… sami jesteście nie lepsi – pijacy i nałogowi palacze. Niewiele czasu mi zostało ale o wszystkim opowiem służbom… w smsie
Jakiś Geniush wrzucał z3s na wykop :D
https://www.wykop.pl/ludzie/opublikowane/geniush/
oni nie potrzebowali Tora
Moralność Adasia
Fajny chłopak był.. dzień dobry mówił.
W cs-a grał..
Ogólnie to nawet nie jest checker, ani nie stworzył go Azatej, również jest legalny. To jest ANTIPUBLIC CHECKER, stworzyl go DEVELOPER z NTO,
ORAZ JEST LEGALNY, inaczej AVAST lub strona https://haveibeenpwned.com/
była by też nielegalna.
Popieram wypowiedz wyzej, Azatej często pomagał w łapaniu scamerów i nie był złym człowiekiem, po prostu to co robił przynosiło mu dobytek.
Niestety Datasense (datasense.pw) jak i IB (infinity.black) byli konkurencją co jest jasne,
Team IB -> Miły, pomagał w łapaniu scamerów, no i rzecz jasna polski.
Team Datasense -> Bardzo dużo można było się od nich dowiedzieć, ostatnio nawet robili podcast w którym tłumaczyli jak to robią, rozmawiali o zabezpieczeniach aktualnych stron internetowych, odpowiadali na pytania i wiele więcej.
Tylko nadal mnie napawa pytanie, czemu akurat combo providerzy musieli oberwać? Przecież ktoś musiał sprawdzić konta i je sprzedać, czemu nie wzieli się za checkerowców.
Poza tym miło że dopiero teraz psy się dowiedziały o nto, mam nadzieję że o cto sie nie dowiedzą :kek: oraz ciekawi mnie czemu to zajelo im tak duzo czasu, nulleda można znalezc juz po wpisaniu w googla frazę: accounts for sell forum lub w youtube WORKING PAYPAL CHECKER 2020 <- rzecz jasna ten checker to scam, ale wielu scamerów siedzi na nuledzie, i nie tylko, osoby które robią grafiki, developerzy, to jest ogolnie ogromna spolecznosc tak samo jak cto.
Dzieki za przeczytanie, mam nadzieje ze zajmiecie sie kims innym a nie datasensem ktory mial hq combosy lub azatejem co był miłym gościem.
pozdrawiam
„Azatej często pomagał w łapaniu scamerów”
koledzy spod celi już wiedzą?
Pomagał osobom poszkodowanym poprzez „dox” czyli pomagał odkryć kim tak naprawdę jest oszust, imię, nazwisko, adres, dosłownie wszystko.
„Tylko nadal mnie napawa pytanie, czemu akurat combo providerzy musieli oberwać?”
– Bo Azatej nie tylko był dostawcą combo? Przecież team IB sam wielokrotnie wyciągał bazy, dehashował je u siebie (możliwe, że czyścili innym Blockchainy, coinbase etc.) i wtedy sklejał combo, a następnie wypuszczał.
„Azatej często pomagał w łapaniu scamerów” – fakt faktem może nie ładnie to brzmi, ale druga strona medalu jest taka, że pomagał osobom, które były zastraszane m.in. swatowaniem przez osoby mocno „poczuwające się” gdzie Azatej prócz robienia combo nikogo z dupy nie postanowił karać. Był dość pomocny dla społeczności – bardziej jego team powinien oberać, bo to na ich Shoppy stało wszystko, sprzedawane giftcardy etc.
> Miły
Zawsze dzień dobry mówił….
> pomagał w łapaniu scamerów
Nie widzę za dużej różnicy między scammerem a kimś kto sprzedaje „narzędzia” do scamów, zwłaszcza że te narzędzia nie nadają się do niczego innego jak tylko do scamów.
> no i rzecz jasna polski
Wiadomo, Poland stronk, w końcu o potędze kraju świadczą przede wszystkim jego przestępcy. A poza tym jak Cię okrada Polak to zawsze milej niż jak np. Niemiec. ?
Szkoda Maciena, bo nic nie umie a go zatrzymali.
a Geniusha PDW
Czemu szkoda Maciena że nic nie potrafi? Że nie będzie przydatny służbom?
nie ma co go żałować. Wiedział jakie są zasady gry i przegrał.
A ja do kazdego serwisu uzywam innego emaila, mam ich juz kilkaset.
Nie przejmuj się, znam je wszystkie ?
SHAYKA zadba o dobrych chłopaków, którzy zza krat muszą patrzeć na świat.
Pamietam jak mnie doxowal
>Drugi z organizatorów procederu używał pseudonimu Macien
Ta macien xD organizator xD
Adam, geniush z Wykopu to byłem ja XD W następnym komencie podam hasło do konta.
Akcja nabrała rozpędu po opublikowaniu bazy danych ksip. Dla kogoś stało się to sprawą honoru ;)
ale to nie tam była odhashowana baza KSSIP? czy tam?
Skąd wy bierzecie takie dziwne informacje
Nie da sie zamknac tego calego zlego forum?
Z zachowan tych mlodziencow widac, ze to wychowani na JavaScript lamerzy. Kto do diaska, parajac sie nielegalnymi dzialaniami, uzywalby tego samego pseudonimu na wielu roznych platformach?
GG
>kont nie dbali zbytnio o prywatność, zatem zebranie przeciwko nim dowodów nie musiało być wielkim wyzwaniem.
Nie dbali bo co, bo poznaliscie nicki na forume? XD
Nie, bo ich nicki przestępcze dało się powiązać z kontami prywatnymi, tam gdzie mieli prawdziwe dane.
Jeżeli to prawda, to mówiąc krótko internetowa nagroda Darwina powinna do nich należeć. Sami się wylogowali, często się zdarza że po pewnych sukcesach sodoweczka psssss i ego domaga się wygrzania w promieniach sławy.
Odnoszę wrazenie że w profesjonalnych grupach zawodnicy nawet osobiście się nie znają, ba, nie wiedzą o swoim istnieniu i nawet koordynatorzy sekcji mają z nimi kontakt asynchroniczny, stad przy wyeliminowaniu jednego elementu reszta pracuje nie tylko bez zakłuceń ale i na podobnym poziomie bezpieczeństwa.
BTW. Ktoś tu jeszcze pamięta gumisie?
Yhy :)
Handlowali tez danymi wykradzionymi przez pianistke z Virgin Mobile?
Wiadomo w jakich województwach nastąpiły zatrzymania?
6 osób: Dolnośląskie, Śląskie, Lubelskie, Mazowieckie i Kujawsko-Pomorskie
A co? Kolega się nie odzywa ?? :)
„Co ciekawe, jak donosi jeden z czytelników, użytkownik geniush wrzucił kiedyś nasz link na Wykop.”
Adam, zastanawia mnie dlaczego nie skasowałeś powyższego zdania. Przecież jeśli sprawdziłeś wykopowe konto wiesz, że należy ono do mnie. A nie do prawdziwego Geniusha (przez duże G) XD
Ogólnie, jak ktoś ma konto na morelach, to polecam zmienic wszystkie maile, w związku iż wyciekła i teraz dryfuje po internecie dostępna dla wszystkich.
https://raidforums.com/Thread-Morele-Database-Leaked-Download
no nieźle, już zmieniam, trzeba szybko bo jeszcze ktoś zdąży przede mną
Skąd pewność, że azatej to pan Dobrapiwnica?
Ludzie, czy wy jeszcze myślicie … naiwnie … krok przed to jest metoda a nie krok za …