Сергей Павлович - Как я украл миллион. Исповедь раскаявшегося кардера.
Глава 7
Все врут, или тринадцать способов получения PIN-кодов
Надо мыслить. Меня, например, кормят идеи.
Остап Бендер
— Вернемся к нашим баранам, точнее, PIN-кодам, — заявила моя адвокат во время своего следующего визита ко мне. — Итак, где ты брал «пины» к карточкам?
«Пины»… В свое время Воа — лучший в мире кардер — говорил: «Если вдруг в очередной раз вы где-то увидите, что кто-то продает дампы с «пинами», — не верьте глазам своим. Дампы с «пинами» — это все равно что кэш в кармане. А что-то никто пока не продавал $100 за $20. Если $100 отпечатаны в Вашингтоне, конечно, а не в Грозном или Тегеране». Первым, кто это опроверг, стал Dark Elvis.
Все началось с того, что однажды утром моя «аська» буквально взорвалась от кучи практически одинаковых сообщений от моих коллег, партнеров и просто клиентов:
— Ты не знаешь, кто такой Dark Elvis?
— Бро, это не ты, часом, Dark Elvis?
— Плиз, подскажи, где найти Дарк Элвиса.
— Да кто это вообще такой?! — возмутился я. — С чего это он вас всех так интересует? Как с цепи сорвались…
— Кого всех?! — первым ответил мой испанский партнер eNdi.
— Утром andycredit спрашивал, потом Mondeo, сейчас ты…
— Бро, ты случайно не заболел? Обычно ты узнаешь обо всем раньше нас. Элвис продает дампы с «пинами».
— М-м-м, дампы с… «пинами»?! Это было бы слишком хорошо, чтобы быть правдой.
Dark Elvis был все равно что НЛО — таинственный объект, о котором все слышали, но никто его не может найти. О нем было известно только то, что он не сидел в тюрьме, но почему не сидел — неизвестно. Зато все знали, что у Элвиса десятки тысяч дампов с «пинами», кто-то даже видел бин-лист, и, конечно, каждый мечтал первым его найти.
— Auger, поделись контактом Dark Elvis’a, — наудачу написал я в ICQ своему постоянному поставщику дампов.
— Ты шутишь?! — практически мгновенно ответил тот.
— А разве похоже на шутку?
— Ладно, проехали. Контакт не дам, но можешь работать с ним через меня. Тебя что интересует?
— То же, что и всех, — дампы с «пинами».
— Ну давай на мыло зашлю парочку штук на тест. Если о’кей — заплатишь за них $600. Идет?
— Да.
Через несколько часов Auger скинул мне два дебетных американских дампа с PIN-кодами, один Maestro, другой — VISA Classic.
— Когда отработаешь? — последовал вопрос.
— Мгновенно — энкодер под рукой.
Сорок минут спустя я уже потрошил один из киевских банкоматов. VISA не сработала, зато Maestro в два приема «подарил» мне $3 тыс., притом что последние $600 упорно не хотели сниматься — проверка баланса перед началом работы показала, что на карточке было $3600.
Наверное, дневной лимит установлен в размере $3 тыс., — догадался я.
— Что ж, попробую «добить» ее после полуночи, когда банки посчитают, что начался новый день. С этой мыслью я взглянул на свои часы и отправился коротать оставшиеся до полуночи два часа в McDonalds на Крещатике. Почему именно McDonalds?
В Киеве самая большая в мире концентрация красивых женщин. Спускаешься в метро — навстречу девушка… одна, вторая, третья… на четвертой твоя голова против воли заворачивается назад, да так, что можно шею свернуть. И по новой — одна, вторая, третья, четвертая. А в McDonalds на Крещатике прелестных украинских девушек еще больше, чем в метро. Киев — это рай для холостяка. Средняя продолжительность жизни мужчин там — всего пятьдесят шесть лет, и на каждого двадцатилетнего мужчину приходится четыре женщины того же возраста.
После 24:00 моя Maestro уже не работала. Я пробовал в нескольких банкоматах, но везде выбивало DECLINE (отказ). Впрочем, получить трешку «зеленых», затратив всего шестьсот, было тоже очень даже неплохо.
— Ну как результат? — замигало окно моей «аськи» сообщением от Auger, когда я добрался до дома и подошел к компьютеру.
— Нормально. Classic — нерабочий. Maestro — о’кей.
— Жду 300 wmz. Кошель знаешь.
— Лови, — я открыл свой Webmoney Keeper и, не откладывая, перевел Аугеру 300 баксов.
— Ага, есть. Спасибо. Тебе все еще нужен контакт Элвиса?
— Да мне, по большому счету, без разницы, с кем работать, — не хочешь «палить» Элвиса, тогда давай работать с тобой.
— Ну давай, — согласился Auger. — Вот условия.
И тут он меня немного разочаровал: один европейский дамп с «пином» предлагался за $2 тыс., нерабочие не обменивались (в отличие от первой тестовой партии), минимальная партия составляла десять дампов. Хочешь — бери, не хочешь — не бери.
Я взял один раз — на $20 тыс. И все бы ничего, да отсутствие замен свело рентабельность этой работы к нулю. Больше я в эту лотерею не играл.
И все же я думаю, что в роли мифического Dark Elvis’a выступал сам Auger…
— Не поняла, какой Auger? — у Галины Аркадьевны не было доступа к моим воспоминаниям.
— Ну Аугер — мой поставщик дампов, который продавал мне и дампы с PIN-кодами.
— А-а-а. И почему ты уверен, что Элвис и Auger — это одно и то же лицо?
— Когда я только начинал работать с Аугером, тот обмолвился, что его напарник Aizek[797] как раз работал над реверсией…
— ?..
— Расшифровкой «пинов» из их базы с дампами. Да и невозможность установить прямой контакт с Элвисом укрепляла меня в моей догадке. Скорее всего, у Аугера — высококлассного киберпреступника с многолетним стажем — было несколько сетевых имен, которые даже его партнеры по нелегальному бизнесу не связывают друг с другом, а считают их принадлежащими разным людям.
— Он не сидит? — отчего-то поинтересовалась адвокат.
— Нет-нет, такие люди не сидят. Когда я общался с Аугером в последний раз, тот собирался, по его словам, прикупить какое-нибудь комфортное кресло в «Газпроме» — пару миллионов долларов они с Айзеком уже заработали, — и навсегда завязать с кардингом. Если птица не садится на гнездо, а поднимается все выше и выше, она в конце концов попадает в сетку птицелова. Тот, кто не чувствует, когда нужно остановиться, нарушает законы природы…
— Как Айзек расшифровал «пины»? — прервала мои философские рассуждения Галина Аркадьевна.
— Основное требование платежных систем к хранению и передаче PIN-кода: значение PIN должно всегда находиться в зашифрованном виде, начиная от его ввода на клавиатуре банкомата или POS-терминала и заканчивая проверкой в «святая святых» любой платежной системы — защищенном аппаратном модуле шифрования (HSM-модуле) банка-эмитента. Этот модуль хранит ключ генерации PIN-кодов, и проникновение в него повлечет за собой компрометацию всех PINов, когда-либо сгенерированных с помощью этого ключа. Поэтому доступ к HSM-устройствам строго ограничен как физически (применяются взломостойкие модули), так и через Сеть.