美国政府本周悬赏 1000 万美元悬赏一名俄罗斯男子,该男子在过去 18 年中经营Try2Check,这是地下网络犯罪最受信任的服务之一,用于检查被盗信用卡数据的有效性。美国当局称,43 岁的丹尼斯·库尔科夫 (Denis Kulkov ) 的信用卡查询服务让他至少赚了 1800 万美元,他用这些钱购买了法拉利、路虎和其他奢侈品。
丹尼斯·库尔科夫 (Denis Kulkov),又名“Nordex”,驾驶着他的法拉利。图片:美国司法部。
Try2Check 于 2005 年推出,很快每月处理超过 100 万笔银行卡支票交易——每笔交易收费 20 美分。网络犯罪分子在从一家地下商店购买了被盗的信用卡数据后转向了此类服务,目的是尽量减少在被用于犯罪活动时处于非活动状态的信用卡数量。
Try2Check 非常可靠,最终成为一些地下最繁华的犯罪集市的官方卡片检查服务,包括 Vault Market、Unicc和Joker's Stash。这些梳理店的客户选择使用 Try2Check 的商店内置(但按菜单点菜)卡片检查服务,如果在购买时发现任何卡片处于非活动状态或已取消,则可以期待自动退款。
许多已建立的被盗卡商店将允许客户根据可信赖的第三方检查服务的官方报告要求对失效卡进行退款。但总的来说,较大的商店引导客户使用他们自己的白标版本的 Try2Check 服务——主要是为了帮助减少因取消卡而引起的争议。
5 月 3 日,星期三,Try2Check 的网站被美国特勤局和美国司法部的域名扣押通知所取代,因为纽约东区的检察官开启了一份起诉书和搜查令,将俄罗斯萨马拉的Denis Gennadievich Kulkov列为东主。
Try2Check 的登录页面已被美国执法部门的没收通知所取代。
与此同时,美国国务院 悬赏 1000 万美元,悬赏导致库尔科夫被捕或定罪的情报。2021 年 11 月,国务院开始提供高达 1000 万美元的资金,以获取俄罗斯主要勒索软件团伙 REvil 任何主要领导人的姓名或位置。
正如特勤局的刑事诉讼(PDF) 中所述,Try2Check 服务最初是由使用“ KreenJo ”句柄的人在严密保护的俄罗斯网络犯罪论坛Mazafaka上发布的。该句柄使用与名为“ Nordex ”的 Mazafaka 居民相同的 ICQ 即时通讯帐号 ( 555724 ) 。
2005 年 2 月,Nordex 向 Mazafaka 发帖称,他在市场上寻找被黑的银行账户,并提供 50% 的收益。他要求感兴趣的合作伙伴通过 ICQ 号码228427661或电子邮件地址[email protected]与他联系。正如政府在其搜查令中指出的那样,Nordex 当时与论坛用户交换了消息,称自己是来自俄罗斯萨马拉的当时 24 岁的“丹尼斯”。
2017 年,美国执法部门查封了加密货币交易所 BTC-e,特勤局表示,这些记录显示,来自萨马拉的 Denis Kulkov 提供了用户名“ Nordexin ”、电子邮件地址 [email protected] 以及在萨马拉的地址。
调查人员已经找到了 Instagram 账户,库尔科夫在这些账户上发布了他的法拉利和家人的照片。当局能够确定 Kulkov 有一个与地址[email protected]相关联的iCloud帐户,并且在传票后发现了 Kulkov 的护照照片,以及他的家人和昂贵汽车的更多照片。
与总部设在俄罗斯或与克里姆林宫有良好关系的国家的许多其他顶级网络犯罪分子一样,将 Try2Check 的所有者与现实生活中的身份联系起来并不是特别困难。在 Kulkov 的案例中,毫无疑问,对于美国调查人员来说至关重要的是,他们可以访问与 Kulkov 使用的加密货币交易所相关的大量个人信息。
然而,库尔科夫和 Try2Check 之间的联系可以——具有讽刺意味的是——基于多年来被黑客掠夺并在线发布的记录——包括俄罗斯电子邮件服务、俄罗斯政府记录和被黑客入侵的网络犯罪论坛。
当局通过传唤他的 iCloud 帐户获得了一张库尔科夫拿着他的护照的照片。
根据网络安全公司Constella Intelligence的说法,地址 [email protected] 被用来在bankir[.]com上注册一个用户名为“Nordex”的帐户,这是一个现已不复存在的新闻网站,几乎是对以下新闻感兴趣的俄语人士的标准阅读材料各种俄罗斯金融市场。
Nordex 似乎是一个金融书呆子。早年在论坛上,Nordex 就他对俄罗斯股市和共同基金投资的看法发表了多篇长文。
该 Bankir 帐户是从俄罗斯萨马拉的互联网地址193.27.237.66注册的,包括 Nordex 的出生日期为1980 年 4 月 8 日,以及他们的 ICQ 号码 ( 228427661 )。
网络情报公司Intel 471发现,早在 2006 年,互联网地址也被用于在俄罗斯黑客论坛Exploit上注册帐户“Nordex”。
Constella 跟踪了另一个 Bankir[.]com 帐户,该帐户是从同一互联网地址创建的,用户名为“Polkas”。该帐户的出生日期与 Nordex 相同,但电子邮件地址不同:[email protected]。这封邮件和其他“[email protected]”邮件共享一个密码:“ anna59 ”。
[email protected] 与[email protected]共享多个密码,Constella 说这些密码用于在一个宗教网站上为来自萨马拉的Anna Kulikova创建一个帐户。在俄罗斯家居用品商店 Westwing.ru,Kulikova 女士列出了她的全名Anna Vnrhoturkina Kulikova,她的地址是 29 Kommunistrecheskya St., Apt. 110.
在 Constella 中搜索该地址会显示Anna Denis Vnrhoturkina Kulkov和电话号码879608229389的记录。
多年来,俄罗斯的车辆登记记录也遭到黑客攻击并在网上泄露。这些记录显示,安娜的 Apt 110 地址与 1980 年 4 月 8 日出生的丹尼斯·根纳季维奇·库尔科夫 (Denis Gennadyvich Kulkov) 有关。
科尔科夫2015年在该地址登记的车辆是一辆2010款法拉利Italia,车牌号为K022YB190。与此记录关联的电话号码 — 79608229389 — 与 Anna 的完全一样,只是减去(错误?)前导“8”。该号码还与一个现已失效的 Facebook 帐户以及电子邮件地址 [email protected] 和 [email protected] 相关联。
库尔科夫的法拉利多年来被俄罗斯汽车爱好者拍摄过无数次,包括这一张,司机的脸被摄影师删掉了:
丹尼斯·库尔科夫 (Denis Kulkov) 拥有的法拉利,2016 年在莫斯科被发现。图片:Migalki.net。
正如这个故事的标题所暗示的那样,西方执法部门最困难的部分不是识别现场的主要参与者俄罗斯网络犯罪分子。相反,它正在寻找创造性的方法来捕获高价值嫌疑人,如果他们确实离开了俄罗斯通常向其境内的国内网络犯罪分子提供的保护,而这些国内网络犯罪分子不会伤害俄罗斯公司或消费者,也不会干涉国家利益。
但俄罗斯对乌克兰的战争导致地下网络犯罪出现了重大断层线:此前轻松横跨俄罗斯和乌克兰的网络犯罪集团被迫重新评估许多突然为另一方工作的同志。
许多战前在俄罗斯和乌克兰逍遥法外的网络犯罪分子选择在入侵后逃离这些国家,这为国际执法机构提供了抓捕通缉犯的难得机会。其中之一是Mark Sokolovsky,他是一名 26 岁的乌克兰男子,他经营着流行的“ Raccoon ”恶意软件即服务产品;索科洛夫斯基在逃离乌克兰的强制兵役令后于 2022 年 3 月被捕。
去年被捕的还有Vyacheslav “Tank” Penchukov,他是一个跨国网络犯罪集团的乌克兰高级成员,该集团 在近十年内从无数被黑企业中窃取了数千万美元。Penchukov 在离开乌克兰前往瑞士与妻子会面后被捕。