追捕特勤局价值 1000 万美元的小丑：蒂穆尔

美国特勤局与美国国务院合作，为提供有助于逮捕和/或定罪Timur Kamilevich Shakhmametov的信息的人员提供高达 1000 万美元的悬赏。

2024 年 9 月 26 日，美国弗吉尼亚东区检察官办公室公开宣布了对俄罗斯国民Shakhmametov的非密封起诉书，他被指控与建立和管理 Joker’s Stash 有关的严重罪行。这个臭名昭著的网站因专注于非法出售被盗的支付卡数据而臭名昭著。据美国特勤局称，Joker’s Stash 运营规模庞大，每年提供大约 4000 万张被盗支付卡的信息。在其运营期间，这个市场成为历史上最大的信用卡交易平台之一，促进了数百万张支付卡详细信息的交易。分析人士估计，这个犯罪企业产生的利润可能在惊人的2.8 亿美元到 10 亿美元以上之间。

沙赫马梅托夫面临多项指控，包括一项共谋实施和协助及教唆银行欺诈罪、一项共谋实施访问设备欺诈罪和一项共谋实施洗钱罪。这些指控的严重性凸显了他行为对个人和机构金融安全的巨大影响。

背景Joker’s Stash 于 2014 年开业，是互联网上现存最早的信用卡被盗商店之一。它已成为各种非法网络计划中引人注目的存在，并因其严重泄露信用卡信息而受到认可。在过去的一年里，Joker’s Stash 涉嫌在 Dickey’s Barbecue Pit、Champagne French Bakery and Cafe 和 Wawa Inc. 的销售点交易中出售被盗信用卡信息。

Joker’s Stash 与其竞争对手的不同之处在于其提供的卡的新鲜度，这可以评估卡数据的有效性。他们还声称通过“独家自黑数据库”获取卡信息。此外，他们选择在区块链 DNS 上托管商店，这也是他们的独特之处，并于 2020 年 4 月通过在商店中添加 Tor 域来扩展业务。

地下卡店中泄露的支付卡信息可分为两类：

1.转储：这些是使用撇取器或销售点 (POS) 恶意软件从物理卡中撇取的轨道详细信息。

2.卡：这指的是从拦截的网络流量中收集的数据，可用于网上购物。

虽然关闭的原因尚未明确说明，但据怀疑管理员决定关闭该网站是因为担心联邦当局可能入侵。联邦调查局和国际刑警组织协调的警察行动查封了 Joker’s Stash 的多个服务器，导致该网站的运营暂时中断。此外，这些机构还查封了 Joker’s Stash 的四个域名，进一步影响了其运作能力。

• jstash.bazar

• jstash库

• jstash工具

• jstash.coin

  

   

   

  Joker’s Stash 信用卡平台自 2014 年起活跃，涉及多起数据泄露事件，在暗网上交易和泄露数百万用户的财务信息。该平台的运营商利用窃取的信息非法获利数亿美元。

   

  已经发生了多起安全事件，涉及网络犯罪分子在 Joker’s Stash 上交易被盗信用卡数据。威胁情报公司 Gemini Advisory 报告称，黑客在该平台上存储了 Wawa 客户的支付卡详细信息。Wawa 证实，黑客试图出售受 2019 年 12 月 10 日发生的安全漏洞影响的客户的信用卡信息。此次漏洞影响了 3000 万美国人和来自 100 多个其他国家的 100 多万个人的数据。

  

   

   

  

   

   

  蒂穆尔·沙赫马梅托夫 (Timur Shakhmametov)被指控经营臭名昭著的网络犯罪市场 Joker’s Stash，美国当局声称该网站通过出售被盗的支付卡信息获利数亿美元。沙赫马梅托夫和他的同伙目前均未被美国拘押，美国国务院悬赏 1000 万美元，以获取可导致逮捕或定罪的信息。

   

  据称，沙赫马梅托夫曾协助运营“信用卡诈骗”网站，如 Joker’s Stash，出售被盗信用卡和借记卡信息。美国执法部门称，这些网站与数千万美国人被盗财务数据有关。此外，据报道，数百万美元的勒索软件付款和暗网毒品销售已通过与参与此行动的另一名个人伊万诺夫提供的服务相关的加密货币账户流动。

   

  多年来，美国政府一直试图说服俄罗斯对在其领土上活动的网络犯罪分子采取行动，但往往收效甚微。

   

  多年来，Joker’s Stash 一直是俄语犯罪地下世界的主导力量。该犯罪论坛宣传从美国公司重大入侵事件中窃取的数据。司法部声称，Shakhmametov 利用各种在线犯罪论坛来宣传 Joker’s Stash 及其大量被盗数据。

   

  在美国和欧洲执法机构查获了与Joker’s Stash相关的一些计算机服务器后，该论坛于2021年宣布关闭。不过，美国执法部门对这两名俄罗斯男子的追捕仍在继续。

已知的情况

全名：蒂穆尔·卡米列维奇·沙赫马梅托夫 / Тимур Камильевич Шахмаметов

别名： “JokerStash”、“Vega”、“vip”、“v1pee”、“ViperSV”

国籍和公民身份：俄罗斯

身高、体重、头发颜色、眼睛颜色： 5 英尺 9 英寸、180 磅、棕色

这是Shakhmametov运营的网站之一。

然后我们开始进行 OSINTing

我们采取的第一步行动是将注意力从美国特勤局公布的沙赫马梅托夫的照片上转移开。在寻找更近期、更相关的照片时，我们偶然发现了一张他在新西伯利亚周年庆典期间拍摄的迷人照片。这座充满活力的城市是俄罗斯第三大城市，位于哈萨克斯坦北部，文化和历史底蕴深厚，是西伯利亚的重要枢纽。

从已知信息出发

我们利用先进的开源情报技术对 Shakhmametov 进行了广泛搜索。我们的努力使我们发现了 Shakhmametov 的已知别名“JokerStash”，该别名出现在臭名昭著的“CardMafia”数据库中，该数据库于 2021 年遭到入侵。Carding Mafia 是一个因盗窃和交易被盗信用卡信息而臭名昭著的地下论坛，该论坛在当年 3 月和 12 月遭受了严重的数据泄露。这些泄露导致敏感用户信息暴露，包括电子邮件地址、用户名、IP 地址和以加盐 MD5 哈希形式存储的密码。

这些数据为我们提供了两个关键信息。首先，它使我们能够将 Shakhmametov 与一个参与非法活动的知名网站联系起来。其次，我们发现了一个与他相关的新电子邮件地址：jstashhhh@yandex.ru。此外，我们还确定了他使用该帐户在该平台上的最后一次记录活动，发生在 2021 年 2 月 1 日。在另一次入侵中，我们成功地将别名“JokerStash”和新发现的电子邮件地址链接到几个 IP 地址：185.61.137.100 位于荷兰利利斯塔德；185.162.10.129 和 185.162.10.198 均追溯到保加利亚索非亚。我们的调查还发现了关键的个人信息，包括 Shakhmametov 的驾照、国民身份证号码、税号和新西伯利亚列宁区内务部签发的护照。这证实他实际上是居住在新西伯利亚的俄罗斯人。

此外，我们还找到了其他几个电子邮件地址：shahmametov@list.ru、gsgs.2021@list.ru、shaxmametov.timur@bk.ru 和 79139511590@monetnaya-lavka.ru。我们能够将这些电子邮件追踪到不同的平台，包括 Skype、Microsoft 和 Vivino。我们的搜索还让我们找到了两个电话号码：9139511590 和 79133709629，这两个号码都与 WhatsApp、CallApp 和 VK 等消息和社交媒体平台上的帐户相关联。

VK 帐户尤其引人注目，因为它被用作 Spiridon Krasnokonev 别名的傀儡。值得注意的是，该帐户的最后一次活动记录是在 2024 年 3 月 10 日，这为Shakhmametov 的在线状态和活动提供了进一步的背景信息。

在检查我们设法发现的大量电话号码和电子邮件地址列表后，我们发现它们并未用于创建大量帐户，这一点非常有趣。通常，在调查如此大量的个人身份信息 (PII) 时，人们会预期会得到大量数据。这一观察变得更加令人着迷，因为它表明 Shakhmametov 对其运营安全 (OPSEC) 措施有着深刻的理解，展示了他为保持一定程度的匿名性并保护其个人信息免受潜在泄露所做的努力。

沙赫马梅托夫酒店的地址在哪里？

沙赫马梅托夫在俄罗斯西伯利亚地区著名城市新西伯利亚获得了护照和驾照。他获得驾照时，其正式注册地址位于新西伯利亚繁华街区的 Gvardeyskoy Divizii 路 9 号 X 公寓 XXX 单元。这些信息可以揭示他的身份和居住地。

可以合理地假设，大多数人在相对年轻的时候就获得了驾照。这个细节表明，这个地址很可能可以追溯到这个人生命的早期阶段。此外，这栋建筑本身并不具备人们所期望的数百万美元罪犯的藏身之处的特征——它的外观绝对不起眼。

通过调查，我们成功确定了该个人使用的银行服务。我们发现了三个以“Alfa-Bank”名义注册的账户。值得注意的是，2024 年 10 月，著名的乌克兰黑客组织 KibOrg 和 NLB 与乌克兰安全局 (SBU) 合作，对俄罗斯最大的私人金融机构 Alfa-Bank 进行了重大入侵。他们声称已经访问了超过 3000 万客户的个人信息，包括姓名、出生日期、账号和电话号码等敏感数据（https://novayagazeta.eu/articles/2024/01/08/hackers-publish-personal-data-of-20-million-alfa-bank-customers-en-news）。

在根据数据泄露事件构建时间线时，必须谨慎行事。例如，2024 年涉及 Facebook 的一次泄露事件并不一定表明该年创建了一个账户；它可能是在之前的任何时间点创建的。然而，就银行账户而言，一个人拥有一个账户而不积极使用它的可能性似乎很小。这种背景让我们相信，从 Alfa-Bank 泄露事件中检索到的信息很可能是相当近期的，并且准确反映了个人的当前状态。

关联数据后，我们确定了以下地址：Новосибирск, Кедровая улица, 41 和 Новосибирск, улица Галущака，均位于新西伯利亚市中心。 

沙赫马梅托夫运营着价值数百万美元的手机游戏应用程序计划

网络安全专家 Brian Krebs 领导的近期调查揭露了有关 Shakhmametov 的令人不安的信息，Shakhmametov 是一家名为 Arpaplus 的移动游戏应用开发公司的负责人。仅在 2023 年，Arpaplus 就创造了惊人的 1,143,570.87 美元收入，并且仍在继续运营，这表明其在移动应用市场中占有重要地位。作为其受欢迎程度的证据，Arpaplus 在各个平台上的下载量高达 800 万次。

仔细研究用户评论可以发现一个令人担忧的趋势：许多下载来自北欧国家的个人。鉴于 Shakhmametov 臭名昭著的信用卡盗窃和信息窃取者传播背景，这一趋势尤其令人担忧。我们强烈建议在使用 Arpaplus 开发的应用程序时要格外小心，因为存在很大的敏感信息（包括信用卡详细信息）可能被泄露的风险。

对于那些感兴趣的人，可以在https://play.google.com/store/apps/developer?id=ARPAPLUS&hl=da找到由 Arpaplus 开发的移动应用程序，但必须以怀疑和谨慎的态度对待这些下载。

此外，值得注意的是，Arpaplus 网站托管在 IP 地址为 185.193.90.36 的服务器上。该服务器也是 www.fashion.girls.co.com 的所在地，该网站的下载量已达数千万次。我们的调查表明了一种模式，因为几篇评论表明，来自丹麦和其他北欧地区的用户经常使用与 Arpaplus 相关的游戏应用程序。这进一步引发了人们的怀疑，目录中的另一款应用程序 Fashion Girls 也可能由 Shakhmametov 运营。

“ Arpaplus ” 位于新西伯利亚市中心。

介绍 Timur Kamilevich Shakhmametov 的最新照片 

通过对社交媒体情报的全面分析，我们成功找到了沙赫马梅托夫的家人，并找到了他们的 VK 账户和大量从未公开过的照片。

识别 Shakhmametov 的新照片并非易事。我们需要访问他的社交网络和密友圈。尽管目标可能采用严格的操作安全措施，但我们的经验表明，朋友和家人在网上分享的内容通常更为宽松。

我们确定了沙赫马梅托夫以前的一个地址，该地址与他的电话号码相关联。如下面的 Predicta 图表所示，他的电话号码与一家在线鞋店的订单相关联。该订单与沙赫马梅托夫妻子的电子邮件地址相关联。通过深入的社交媒体情报 (SOCMINT)，我们成功发现了沙赫马梅托夫妻子的 VK、OK 和 Instagram 账户。这些账户展示了沙赫马梅托夫的近期照片，为了解他的行踪提供了宝贵的见解。我们在 Predicta 图表上创建了一个图表以进行跟进：

在下面的图片中，我们可以清楚地看到我们的嫌疑人 (POI)，他的妻子坐在右边。然而，我们不会透露她的脸，因为我们的调查中不涉及家庭成员。

在上图中，沙赫马梅托夫正在新西伯利亚森林中心的“ Leto/ Лето ”餐厅享用美食。该餐厅以华丽的装饰和精致的氛围而闻名，散发着奢华和奢侈的感觉，正如其 Instagram 页面上的照片所示。场景设定在 2024 年 4 月。我们分析了社交媒体账户，发现了一张他的一位家人在餐厅庆祝的照片。以下是对象比较。

我们找到了这家餐厅，并找到了其位置的最新卫星图像。

沙赫马梅托夫过着奢侈的生活，沉迷于财富所能提供的最奢华的东西。他奢侈的生活方式以奢华的派对、名牌服装和高端汽车为标志，所有这些都与他造成的苦难形成了鲜明的对比。作为网络犯罪界臭名昭著的头目，他积累了巨额财富，这是他行动黑暗面的令人不寒而栗的证明。数百万无辜的人成为他阴谋的受害者，由于他的恶意活动而直接遭受经济损失和情感困扰。他的行为影响深远，留下的苦难凸显了他贪婪的沉重代价。在这张照片中，我们可以看到沙赫马梅托夫坐在右边，身穿红色衬衫，这是我们通过社交媒体分析发现的。

我们利用过去几年通过 OSINT 在其家人的社交媒体账户上找到的照片制作了一幅拼贴画。