Le département américain de la Justice a démonté Slilpp, suite à une collaboration internationale entre différents organismes chargés de l'application de la loi. Slilpp est apparu en 2012 et était l'un des plus grands marchés pour les identifiants volés. Selon médias spécialisés, le FBI a saisi le site Web et placé un avertissement sur le site Web.
Bien qu'il n'ait été rendu public que récemment, ce retrait semble s'être produit il y a environ un mois. Nous avons rencontré divers messages dans notre base de données de personnes recherchant le nouveau Slilpp depuis le 1er mai 2021.
Selon les conversations tenues sur certains des groupes de discussion que nous surveillons, les gens ont été demander le nouveau domaine Slilpp. La même question a été postée sur presque tous les groupes de notre base de données. Dans certains cas, les gens ont même proposé de payer pour le lien vers le nouveau domaine.
Un groupe de discussion dédié à Slilpp était toujours actif au moment de la rédaction, avec un total de 554 abonnés.
Combler le vide
Les escrocs profitent de la vide laissé par Slilpp avec de fausses pages d'arnaque. Nous avons trouvé deux domaines liés à des clones Slilpp. Les clones ressemblaient à Slilpp et contenaient du texte tel que "nouveau domaine slilpp" et "lien oignon slilpp" dans le but d'améliorer leur classement dans les moteurs de recherche. Les deux sites utilisent des connexions cryptées et disposent de certificats vérifiés par Cloudflare (émis le 12 avril 2021) et Sectigo Limited (émis le 24 mai 2021). Ceci est probablement utilisé pour rendre la page frauduleuse plus fiable. De plus, l'enregistrement WHOIS de l'un des clones montre qu'il a été créé en mars, environ un mois avant que nous commencions à voir des gens demander le nouveau domaine.
Il s'agit probablement d'une tentative de voler de l'argent et des identifiants de compte d'autres acteurs malveillants. Ces informations d'identification pourraient ensuite être utilisées pour accéder à des comptes sur d'autres marchés.
Le site Web est une copie frontale de l'original, avec un champ captcha identique sur les pages d'accueil des deux domaines mentionnés, quel que soit le nombre d'accès au site Web. Il s'agit d'un champ statique et inutile juste pour rendre le site Web plus légitime. Il n'y a pas d'éléments dynamiques. Les utilisateurs peuvent entrer n'importe quel nom d'utilisateur et mot de passe, sans même avoir de compte, et ils seront immédiatement connectés.
Une fois connecté, peu importe ce que vous choisissez, la page ne change pas.
De plus, le panier reste vide même après l'ajout d'articles :
Afin d'acheter des informations, l'utilisateur doit approvisionner son compte en envoyer de l'argent à une adresse Bitcoin. Fait intéressant, l'une des adresses bitcoin que nous avons trouvées sur les clones a en fait commencé à recevoir de l'argent la semaine dernière, ce qui indique que les escrocs pourraient effectivement gagner de l'argent grâce à ce stratagème.
Depuis le 6 juin, « cette adresse a transigé 16 fois sur la blockchain Bitcoin. Il a reçu un total de 0.01717567 BTC (691.87 $) et a envoyé un total de 0.01574938 BTC (634.42 $). La valeur actuelle de cette adresse est de 0.00142629 BTC (57.45 $) », indiquent les données de Blockchain.com, au moment de la rédaction.
Cependant, selon Walletexplorer.com, le portefeuille a reçu un total de 0,29716661 BTC depuis le 2021-02-01. C'est près de 12,000 XNUMX $ US.
Vieilli comme le vin
L'enregistrement WHOIS du domaine que nous avons trouvé indique que domaine a été créé en octobre dernier. Une recherche rapide sur Google a révélé un message d'assistance Google avec le lien :
Il semble que cet utilisateur tentait d'arnaquer les gens alors que Slilpp était encore en ligne, mais il n'en tire que maintenant de l'argent. Un rapide coup d'oeil sur le Chaîne Slilpp sur reddit montre que tout le subreddit est dédié aux utilisateurs de phishing à la recherche d'un nouveau domaine de travail.
De plus, nous avons constaté que le même utilisateur est potentiellement associé aux sites Web malveillants Joker Stash, qui peuvent également être des arnaques.
Conclusion
Ce n'est pas la première fois que nous détectons des imitateurs de marchés populaires. Les contrefaçons ne sont pas une surprise compte tenu des plaintes constantes que nous lisons sur les chaînes que nous surveillons, où des acteurs malveillants accusent les autres d'essayer de arnaquer la communauté en se faisant passer pour des groupes criminels notoires, créer des clones de marchés populaires ou simplement vendre de fausses bases de données ou méthodes de carding.
L'un des plus notoires clones était de la route de la soie, qui a considérablement affecté la clandestinité criminelle lorsqu'elle a été démantelée par les forces de l'ordre américaines en 2013. fermeture de plusieurs marchés au cours des dernières années a automatiquement ouvert la porte à des acteurs malveillants pour manipuler le désespoir de l'industrie pour des marchés similaires en taille et en portée. Sur la base des groupes de discussion, des forums et des marchés que nous surveillons depuis au moins un an, nous avons remarqué une augmentation de la fragmentation du marché, ce qui pourrait, à l'avenir, rendre plus difficile pour les forces de l'ordre de retrouver tous les canaux qui continuez à apparaître.
Recherche menée par Luana Pascu et Francis Labelle
