Сергей Павлович - Как я украл миллион. Исповедь раскаявшегося кардера.
— А для чего фишеры крадут доступы к аккаунтам в социальных сетях?
— Для заманивания новых лохов, конечно. Вероятность того, что участник социальной сети пройдет по присланной от имени друга ссылке, примерно в десять раз выше, чем если бы эта ссылка пришла к нему по электронной почте.
Для защиты от фишинга производители интернет-браузеров уже встраивают в них антифишинговую защиту, но проверка на фишинг увеличивает время загрузки страниц и многие юзеры ее просто отключают. Невнимательность и наивность по-прежнему остаются главной причиной любых проблем. Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то «потеряны» флешки. Нашедшие их сотрудники, недолго думая, засовывали устройства в рабочие компьютеры — видимо, хотели посмотреть, что на них записано. Вот так, без особых усилий во многие корпоративные сети проник «троян».
— Ну а какое отношение «пины» имеют к фишингу? — недоумевала моя адвокат.
— У многих фишеров скопились просто гигантские массивы карт и PIN-кодов. Заметьте, карт — но не дампов. Зато дампы были у нас, кардеров, и некоторые из баз насчитывали миллионы треков. Мне пришла логичная идея сравнить на соответствие базы карт с базами дампов. Сравнение происходило, понятное дело, по номеру карточки.
— Получилось?
— Еще бы. Процент совпадений не превышал 0,3 %, но, учитывая, что и у фишеров, и у кардеров на руках были миллионы карт, это стало для меня отличным заработком.
Также существует, но сегодня уже начинает «умирать», еще одна тема по получению «пинов». Услышал я о ней от американцев еще осенью 2003-го. Фишка заключалась в генерации дампа при наличии на руках только номера кредитки, срока ее действия и PIN-кода. Здесь вновь выручили фишеры — этого-то добра у них хватало. Самым сложным было написать рабочий дамп.
Любой дамп — а для банкомата достаточно только второй дорожки — содержит номер карты, срок действия, а также некий защитный трех-значный код. В системе VISA он носит название CVV (Card Verification Value), а у Mastercard — CVC (Card Validation Code). Возьмем, для примера, кредитный дамп Fleet Bank: 4 30550 00923 27108=1102 10100 00529, CVV в данном случае 529.
Или любимый многими MBNA Bank: 4 26429 43183 44118=12011 01000 00445 00000, здесь CVV — 445.
Кстати, ввели этот защитный код в начале 1990-х после весьма занятной истории.
В 1990 году Королевский суд Винчестера в Англии осудил двоих преступников, использовавших простую, но эффективную схему. Они стояли в очередях к банкоматам, подсматривали PIN-коды клиентов, подбирали чеки, оставленные клиентами после завершения транзакции, и копировали номера карт с них на пластиковые заготовки с магнитной полосой. Таких людей называли трэшерами (от англ. trash — «мусор»). Эта уловка удавалась потому, что банки печатали на чеке номер кредитки клиента полностью (сейчас большая часть скрыта звездочками), и прекратили это делать лишь с 1993 года, после того как по телевидению и в СМИ журналисты опозорили эти банки, подняв шумиху вокруг таких вопиющих случаев халатности. Тогда же платежные системы и придумали коды CVV/CVC — чтобы полностью исключить возможность того, что злоумышленник создаст работоспособный дамп, если подсмотрит номер карты клиента.
Казалось бы, теперь подобной схеме мошенничества поставлен надежный заслон. Но нет — несмотря на имеющуюся возможность контроля и сегодня полно банков, которые ей пренебрегают. В основном этим грешат американские банки, но вычислить их можно только эмпирическим путем — ни один кардер не поделится подобной информацией. Из-за отключенной проверки CVV американские банки потеряли миллиарды долларов. Агентство Gartner подсчитало, что только за 2004 год американские финансовые институты потеряли из-за этой аферы около $2,75 млрд. И это только за один год! В 2004 году примерно половина американских банков не проверяли CVV при банковских транзакциях, а также транзакциях с использованием дебетных карт, требующих обязательного ввода PIN. Citibank, крупнейшая американская финансовая организация, пострадала сильнее всего. PIN-ы стали святым граалем для кардеров.
— Но все эти способы слишком сложны для обычного человека…
— На каждого мудреца довольно простоты — несмотря на многочисленные предупреждения, многие держатели карт записывают PIN-коды прямо на карточках. В случае утери или кражи в руках вора окажется и карточка, и PIN. Я еще понимаю американцев — у них в среднем около семи карт на душу населения, но наши-то… Если уж и записываете PIN на карте, то делайте это так, чтобы никто не понял, что это он, — запишите его под видом номера телефона, например, где первые или последние цифры номера и будут PIN-кодом. Да, и еще одно: номер службы поддержки банка записан на оборотной стороне карточки. Перепишите его куда-нибудь в мобильник, так как, если карту украдут, начнутся беспорядочные метания в поисках нужного телефонного номера, а этого времени может быть достаточно, чтобы мошенник увел ваши деньги.
И последнее: по правилам платежных систем операции по карте, которые были произведены с вводом PIN-кода, опротестовать невозможно. Когда вы получаете карту, то подписываете документ, где указывается, что вы получили конверт с PIN-кодом. Там написано, что вся ответственность за сохранность этого номера лежит полностью на клиенте. И если клиент этот номер «провтыкал» — это его проблемы. Банк имеет полное право отказать в рассмотрении жалобы о краже денег и будет совершенно прав. Поэтому не сообщайте никому свой PIN-код, равно как и карточку в чужие руки не давайте.
Следующие методы получения PIN-кодов подразумевают определенные физические действия с банкоматом. Для первой аферы нужны ровные руки и суперклей. Заклеиваешь на банкомате клавиши «Ввод», «Очистить», «Отмена» и устраиваешь засаду. Приходит жертва, засовывает карту в щель банкомата, набирает PIN-код, после чего обнаруживает, что нужные клавиши не работают, и уходит — например, в отделение банка за помощью. Тут жулики выскакивают из засады и снимают с карты деньги с помощью тачскрина (почему-то кардхолдеры забывают, что все функции управления продублированы на экране банкомата).
Встречаются также фальшивые платежные терминалы, «посы» и даже банкоматы, которые эмулируют настоящие, но запрограммированы только на сбор дампов и PIN-кодов. Нападения этого вида были впервые описаны в США еще в 1988 году. Мошенники построили машину, которая принимала любую карточку и выдавала пачку сигарет. Данное изобретение было размещено в магазине, а PIN-коды и дампы передавались посредством модема. Трюк распространился по всему миру.
Еще одним источником проблем для банков являются тестовые транзакции. Для одного типа банкоматов использовалась 14-значная ключевая последовательность для тестовой выдачи десяти банкнот. Кроме того, руководство по настройке любой модели банкоматов можно найти в Интернете. В нем подробно объясняется, как перевести банкомат в диагностический режим и перепрограммировать на свое усмотрение — например, убедить машину, что она наполнена однодолларовыми купюрами вместо «двадцаток», и получить не $20, а $400. Конечно, вход в такой режим требует знания специального кода, однако большинство банкоматов используют пароли по умолчанию, которые указаны в руководстве.