— На, ознакомься, — какая-то незнакомая тетка швырнула на стол передо мной газетную заметку.
http://www.securitylab.ru/news/214385.php
Краснодарская милиция искала белорусского кардера по всему миру
22 сентября, 2004
17 сентября в Осиповичах (Беларусь) был задержан кардер, объявленный в международный розыск. Операцию по задержанию проводили Управление по раскрытию преступлений в сфере высоких технологий МВД Беларуси и ГУВД Минска. Молодого человека, подозреваемого в изготовлении и сбыте поддельных кредиток, сотрудники белорусских правоохранительных органов разыскивали с 2002 г. Помимо этого 21-летний белорус успел наследить в Украине, Бельгии, США и других странах. А ГУВД Краснодарского края он был объявлен в международный розыск «за совершение преступлений против информационной безопасности», сообщает «Советская Белоруссия». 21-летний житель поселка Гатово Минского района был задержан в Осиповичах на даче у своих знакомых. Задержание произошло в половине первого ночи. При обыске у кардера были обнаружены более двадцати поддельных банковских кредитных карт.
«Так называемый белый “пластик”, — рассказали в отделе информации и общественных связей ГУВД Мингорисполкома. — То есть карточки были с PIN-кодами, но без “опознавательных знаков” бан- но без “опознавательных знаков” банка-эмитента и платежной системы, голограммы и других степеней защиты». Сам он собирался ими воспользоваться или готовил на продажу, установит следствие. Но ни тем ни другим планам на этот раз не суждено было сбыться.
По сообщению БелТА, задержанный являлся руководителем международной группы хакеров и кардеров, которые похищали реквизиты банковских кредитных карт клиентов зарубежных банков, после чего переписывали их на магнитную полосу карточек. Обналичивались деньги, как правило, с помощью подставных лиц через банкоматы или магазины Беларуси, России и Украины.
— Нормальный такой послужной список. Что это за белый «пластик» и где ты брал PIN-коды к карточкам?
— Начинается… — я с недоверием посмотрел на нее. — Не успели познакомиться, а уже вопросы.
— Сергей Александрович, я, конечно, не следователь, но вопросы буду задавать схожие. Для того чтобы максимально хорошо защитить вас, я должна владеть всей полнотой информации. Понимаю, что вы можете настороженно отнестись к моим вопросам, наверняка в камере уже наслушались, что все адвокаты «шпилят на одну руку с мусорами», «ворон ворону глаз не выклюет» и т. д., — тетка ловко перешла на тюремную «феню», и даже голос у нее не изменился.
Я не был настроен на явку с повинной, и она сама только что назвала причину. Видимо, на моем лице это было написано, потому что адвокат вдруг встала и перетащила стул поближе к свету. Наконец я смог ее рассмотреть. Чуть полноватая женщина где-то под полтинник. Она могла бы по возрасту быть мне мамой. Высокий лоб, интеллигентские очки, старомодная прическа, огромные, наверное, от полумрака зрачки. И смотрит на меня не моргая, как кобра.
— Послушай, Сережа, меня нанял твой брат. Он очень за тебя беспокоится.
Если какие-то слова в этот момент могли выбить меня из равновесия, то моя адвокат их только что произнесла. Я неделю находился в СИЗО и ничего не знал о Диме. Я догадывался, что Катю отпустили сразу — она ведь совсем не при делах, но что с братом, где он, допрашивали ли его, куда повезли после ГУВД — ничего этого я не знал. Может, он вообще сидит в соседней камере и точно так же ничего не знает про меня…
— Значит, с ним все в порядке?
— Да. Ему ничего не угрожает. В отличие от тебя.
Я в который раз за свою жизнь подумал, что со мной происходит что-то нереальное. Прибитая к столу пепельница, лампа в лицо, чужая тетка… А где моя мама? Может, она меня просто обнимет, я расплачусь, как в детстве, попрошу прощения и меня отпустят домой? А может, я просто себя ущипну и проснусь в своей постели? Адвокат, видимо, прочувствовала момент и продолжила властно, уже на «ты», забыв мое отчество:
— Мне надо знать все как есть! Как ты узнал пароли от чужих кредитных карточек?
Я тихонько ущипнул себя под столом. Собрался с силами и посмотрел прямо в глаза моей «кобре»:
— Не так быстро. Можно взглянуть на ваше удостоверение?
— Да, пожалуйста, — она полезла во внутренний карман жилета и достала жетон с номером кабинета, в котором мы находились, и служебную «корочку».
«Нестерович Галина Аркадьевна, — прочел я в книжечке. — Юридическая консультация Центрального района города Минска».
— Ну что, убедился, что я не переодетый милиционер? — с улыбкой спросила Галина Аркадьевна.
— Мало ли…
— Тогда повторяю свой вопрос: как ты узнал пароли от чужих кредиток?
— Какие еще пароли?! Вы хоть какое-то представление имеете о том, что такое кредитная карта?
— Ну, кредитная карта у меня есть…
Адвокат попыталась отшутиться, но сама явно смутилась и наконец отвела взгляд в сторону:
— Если честно, я абсолютно не разбираюсь в компьютерах, а кредитная карточка у меня появилась лишь две недели назад.
Сверкнула молния замка, зашуршали какие-то бумажки, и из недр женской сумочки Галина Аркадьевна извлекла карточку.
— Можете спать спокойно. Это дебетная VISA Electron, самая распространенная карточка в России и Восточной Европе. С такой картой вам ничего не угрожает — ими кардеры типа меня редко интересуются.
— А какими интересуются?
— Теми, на которых есть деньги. Например, VISA Signature — я с них по $9900 за один раз снимал. «Бин» вроде 4 14750 был.
— Нехило! Ты в месяц сколько зарабатывал?
— М-м-м… Ну, где-то $30 тыс. (чуть было не вырвалось реальные сто).
— Значит, ты кардер… — задумчиво произнесла Галина Аркадьевна.
— Да. Карточные воры в своей среде называют друг друга кардерами. Своих жертв мы называем кардхолдерами (от англ. cardholder — «владелец карты»).
— Signature что такое?
— VISA Signature — именная карта для очень состоятельных людей.
— А «бин»?
— BIN (Bank Identification Number) — это первые шесть цифр номера карты, по которым можно определить банк-эмитент, который ее выпустил, и ее тип. Вся информация о «бинах» хранится в специальных базах данных — VISA Interchange Directory, Mastercard Member Directory и др. К примеру, BIN 3 71535 — это American Express CENTURION, а если ввести в базу 4 14750, VISA Signature, о которой я уже говорил, то увидим примерно следующее:
BIN: VISA ® 4 14750
Issuer (эмитент): Merryl Lynch Bank USA
Issuer Phone: 800 — 637-7455
Country (страна): United States
Funding Type (тип счета: Debit, Credit, Prepaid): CREDIT
Card Type (тип карты: Classic, Cold и т. д.): SIGNATURE
Эмитентом пластиковой карты может выступать не только банк. Свои карточки выпускают кредитные союзы и даже крупные магазины (дисконтные карты).
— А что это за «тип счета»? Ты сказал, что моя Electron — дебетная…
— По типу счета все карты разделяются на кредитные и дебетные. На кредитных — деньги банка, которые ты тратишь, а потом раз в месяц возвращаешь. За пользование деньгами банк берет определенный процент. При открытии дебетной карты на счету ноль, и тебе будет доступна только та сумма, что положишь на счет, то есть твои кровные денежные средства. Prepaid-карты, их еще иногда называют gift card (подарочные карты), дают владельцу право на получение товаров или услуг на определенную сумму, указанную на карте. Prepaid переводится с английского как «предоплаченная». По сути, это обычная дебетная карта, только без нанесения на нее имени и фамилии владельца. В странах Советского Союза любую банковскую пластиковую карту часто называют «кредиткой» или «кредитной карточкой», однако это не совсем правильно. Ваша Electron вообще ориентирована на студентов и молодежь, а у нас в основном используется для начисления зарплаты…
— А у моего мужа какая-то другая VISA, классом повыше…
— Выше Electron стоит Classic — карточка для клиентов, уже имеющих опыт обращения с банковскими картами. Аналогичная карта у Mastercard — Mastercard Standard. Это самые распространенные карты в мире. Они, кстати, позволяют рассчитываться через Интернет, в отличие от Electron. Карты серий Gold (золотые) и Platinum (платиновые) — престижные карточки, подчеркивающие солидность их обладателей. Корпоративные карты (Corporate) предназначены для средних и крупных компаний, сотрудники которых часто ездят в деловые командировки. С помощью этих карточек руководство компании может осуществлять эффективный контроль над расходами своих сотрудников. VISA Business — карты для проведения различных ежедневных платежей: расходов на командировки, оплаты представительских расходов, счетов за офисное оборудование, канцелярские товары, программное обеспечение и т. д. Технически карты «классик», «голд», «платинум», «корпорэйт» и другие ничем, кроме дизайна и стоимости выпуска и обслуживания, не отличаются. Владельцам золотых и платиновых карт многие магазины, страховые компании, фирмы по прокату автомобилей предоставляют скидки и бонусы, хотя большинство держателей карт о них даже не знают. Вдобавок нередко бывает, что с американского «классика» удается снять больше денег, чем с «голд» или «платинум».
— Почему так?
— Я думаю, многие американцы, как и русские, стремятся получить карты класса Gold/Platinum больше для «понтов» — для повседневного использования достаточно и Classic. Зато «снять» в баре знойную красотку будет проще, если светануть перед ней кредиткой «платинум». Ну или ключ от «феррари» на стойку положить…
— У меня VISA, ты упомянул Mastercard… Какие еще кредитки суще-VISA, ты упомянул Mastercard… Какие еще кредитки суще, ты упомянул Mastercard… Какие еще кредитки существуют и, особенно, что из них фигурирует в твоем обвинении?
— Ведущая платежная система мира — это VISA, около 57 % банковских карточек в мире приходится на ее долю. Главный конкурент, Mastercard, имеет примерно 26 %, третья система, American Express, лидер в области туризма и развлечений, — чуть больше 13 %. Существуют также карты JCB (Japan Credit Bureau — Японское кредитное бюро), Diners Club и Discover.
— Какие из них пользуются наибольшей популярностью у кардеров?
— Любые, на которых есть деньги. Правда, AmEx, Diners и JCB в меньшей степени — ввиду небольшой распространенности карт данных платежных систем в России и Европе. Discover я вживую вообще не видал. У меня в обвинении фигурируют только VISA и Mastercard.
— А самые престижные кредитки какие? Вот у тебя какая была?
— У меня?! — я даже немного удивился наивности вопроса. — Никакой — банки и платежные системы при всем желании не в состоянии обеспечить сохранность денег на карточках. К тому же это «засвет» — отследить историю твоих покупок, а равно и перемещений труда не составляет. А мы все же бойцы невидимого фронта… Что касается карт VIP-уровня, то это VISA Infinite и Mastercard World Signia, а самые престижные карты — символ принадлежности их владельца к верхушке общества — черного цвета: VISA Black Card, черный Diners и American Express Centurion. Они доступны только ограниченному числу очень состоятельных клиентов. За одно открытие Centurion — самой престижной карточки в мире — придется выложить $5 тыс., ежегодная абонентская плата — $2500. Рассчитывать на получение этой карты могут люди, которые тратят $250 тыс. в год и выше. Конечно, и взамен получаешь немало: всевозможные услуги страхования, скидки до 50 % на отели, билеты и прокат авто, бронирование столиков в ресторанах, даже когда «мест нет», возможность пользоваться залами ожидания первого класса в крупнейших аэропортах мира вне зависимости от категории авиабилета, круглосуточный консьерж-сервис, бесконечный кредитный лимит и многое другое. Получая доступ в закрытые клубы для «сильных мира сего», владелец черного «пластика» переходит на новую социальную ступень. Часто это становится основной причиной приобретения карты класса премиум.
— Все это, конечно, очень интересно, — перебила меня адвокат, — но мы отошли от темы. У тебя в обвинении что написано? «Организовал совершение хищений имущества на предприятиях торговли и сервиса города Минска путем введения в компьютерную систему ложной информации (расчет поддельными банковскими карточками VISA и Mastercard) на общую сумму $9 тыс., руководил при совершении подобных хищений Воропаевым П. В. и Батюком С. Л.». Здесь все понятно, но какую «ложную информацию» ты вводил и куда именно?
— Среди обывателей распространено заблуждение, что баланс находится на кредитке, но это не так — деньги на ней физически не лежат, кредитка является как бы пропуском к карт-счету в том банке, который ее выдал. Иными словами, она проводит идентификацию владельца счета — может ли он забрать деньги из того сундучка, что стоит в банке. Продавец проводит карту через POS-терминал (от англ. Point of Sale — «торговая точка») — устройство, которое считывает информацию, записанную на магнитной полосе карты, и связывается с банком для проведения транзакции, тот соединяется с процессинговым центром и передает туда данные с вашей карты. Далее процессинг связывается с банком-эмитентом, выдавшим карту, и получает подтверждение или отказ в виде кода. Код успешной авторизации — 00 — APPROVED (одобрено). В противном случае получают запрет на сделку, частенько обыгрываемый в голливудских фильмах («извините, ваш счет заморожен» и демонстративное разрезание карты ножницами). Платежная система типа VISA связывает все звенья этой цепочки воедино, за что и берет до 3,5 % с каждой сделки.
— Это понятно. Но причем здесь «ложная информация»?
— Очень просто — карточка поддельная, я не являюсь ее законным держателем, а значит, любой мой платеж априори считается ложным.
— Кассиры не догадывались, что «пластик» ненастоящий?
— Конечно, нет. Дамп-то был реальным, и деньги списывались с реально существующего счета. Поддельной была лишь сама пластиковая болванка, на которую записывался дамп.
— Что есть дамп?
— Дамп — это совокупность информации, записанной на магнитную полосу кредитки. Состоит из трех дорожек (треков). Первые два используются непосредственно для работы карты, а третий трек предназначен для записи различной служебной информации. Самый важный — это второй трек. Первый трек дублирует основные данные второго — номер карты, срок действия, CVV — код, а также содержит имя владельца карты.
Track1: В4 55990 75607 84214^SMITH/JOHN^1 10210 10000 00000 00000 05270 00000
Track2: 4 55990 75607 84214=11021 01000 00527 00000
Код 101 после срока действия карты указывает на то, что карточка является международной. Если вместо него будет, к примеру, 201 — это означает, что карточка является локальной, то есть по умолчанию работает лишь в «родной» стране. Имея на руках track2, можно легко сгенерировать track1, а вот наоборот сделать достаточно сложно. Для получения наличных в банкомате вполне достаточно только второй дорожки.
— Где ты брал дампы?
— На данный момент существует три способа. Изготавливаются либо приобретаются портативные ридеры (англ. cardreader) — инструменты для считывания магнитной дорожки платежной карты. Самые миниатюрные ридеры, что я встречал, были размером со спичечный коробок и изготавливались в Украине инженерами Boa Factory. Дальше устройства раздаются кассирам в бутиках и дорогих магазинах, официантам в ресторанах, валютным проституткам, и они проводят клиентскую карточку не только через легальный POS-терминал, но и через свой ридер.
Взламывается крупный процессинговый центр банка или торговой сети, через который проходят платежи физических (не виртуальных) магазинов, отелей, ресторанов, и достается база их клиентов. Просто покупаются у тех, кто завладел ими одним из вышеперечисленных способов.
— Дампы ведь нужно еще записать на саму кредитку…
— Конечно. Для этого необходимо специальное устройство, называемое энкодером (encoder). Продаются они совершенно легально и стоят $800–1000. Самая распространенная в кардерских кругах модель — MSR 206. Подключил к компьютеру через USB-порт, вбил дамп в нехитрую программку, провел карточкой через прорезь — и у тебя в руках магнитная копия карты какого-нибудь американского «Буратино».
— Теперь можно идти в магазин? — сделала логическое заключение Галина Аркадьевна.
— Нет, в магазин пока рановато, так как дубликат реальной карточки у нас хоть и есть, но он на куске белого «пластика» (обычно марки CR-80). Продавец в магазине сильно удивится, если ты предложишь ему такую карточку.
— И что делать?
— Договариваешься с продавцом в каком-нибудь приличном магазине, типа: «Вася, у меня такая фигня есть, я приду к тебе, возьму ноутбук и “плазму”, потом продадим и бабло пополам». Это работает — владельцы ресторанов, бутиков и казино отдавали нам 40–50 % наличными от той суммы, что «прокатали», а мы им говорили, что нужно отвечать своему банку, если возникнут проблемы.
— Какие, например?
— Рано или поздно реальный кардхолдер (держатель карты) платеж опротестует. Пожалуется в свой банк, те — в VISA, и вот уже в наше казино нагрянули крепкие ребята из службы безопасности банка, который устанавливал в это казино POS-терминал. Придут и скажут: «Что ж ты, негодник, поддельные карты “катаешь”?» Ну, тут наш олигарх должен глаза пошире выпучить и сказать: «Ниче не знаю. Сейчас кассира, что работала в тот вечер, позову». Зовет Машу. Банкиры ей:
— Срок действия карты проверяла?
— Конечно.
— А подпись владельца карты на обороте была?
— А то. Я ее даже с подписью в его паспорте сравнила. И на слипе он точно так же расписался.
— На каком слипе? — Моему адвокату все приходилось объяснять, как первоклашке.
— Чек, который выходит после оплаты товара по кредитке, называется слипом. На нем печатается вся информация о покупке: время, дата, название организации, реквизиты места, где была совершена покупка. Кстати, данные для слипа берутся из первого трека. И если дампу абсолютно все равно, какое имя ты укажешь в первой дорожке — реального владельца карты или имя, которое указано в твоем «левом» паспорте, то номер карты все равно надо писать оригинальный, иначе платеж (транзакция) не пройдет. А то было бы, конечно, неплохо: тупо обзаводишься «левым» паспортом, тупо идешь с ним все равно в какой банк в любой стране и так же тупо открываешь счет с дебетной картой. В результате на руках у тебя кредитка с именем Жени Соколова с $5 на ней и паспорт на то же имя с твоей фотографией. Стираешь на фиг все данные с магнитной полосы, берешь дамп из тех, что у тебя есть, меняешь в первом треке имя на Женю Соколова, пишешь этот дамп на карточку и вперед — хоть в банк, хоть в магазин. Закончились деньги на этом дампе — стираешь его, подготавливаешь и записываешь новый. И так, пока Женю Соколова не станут искать на всем земном шаре все банки и все магазины. Тогда покупаешь новый паспорт и по кругу снова. Ну а если уже в лицо начнут узнавать — то только пластическая операция тогда.
Галина Аркадьевна рассмеялась.
— Банкиры спросят, сверяла ли кассир номер карты и фамилию на чеке и лицевой поверхности карты — кассир ответит, что, конечно, да, добавит, что карта не была повреждена и признаков подделки не было, и на этом «допрос» окончен — при всех подозрениях у банка нет правовых оснований заблокировать платеж.
Конечно, если бы продавцы в минских магазинах проверяли, совпадают ли данные на слипе с цифрами на самой карте, то было бы невозможно превратить уже использованную карту в многоразовую, однако в Беларуси — стране непуганых идиотов — кассиры повсеместно «забивали» на правила по безопасному обслуживанию банковских пластиковых карт и мне нередко удавалось совершать покупки с дампов, записанных на оригинальные, но просроченные, а то и вовсе на дисконтные карты.
В работу с белым «пластиком» нередко вовлекались бизнесмены, которые задолжали криминальным авторитетам и у которых не было выбора. Конечно, мы не «доили» одну точку слишком часто, иначе обслуживающий банк мог отобрать терминал и мы бы остались вообще без работы.
— Погоди, ты сказал белый «пластик». Вот и в обвинении у тебя фигурирует этот «пластик», двадцать штук, которые якобы у тебя нашли…
— Только не у меня нашли, а у Сапрыкина. И он сказал мусорам, что это я ему их передал, назвал PIN-коды и попросил снять кэш в минских АТМ (банкоматах). Надеюсь, что такое PIN — вы знаете?
— Знаю, четыре циферки, без которых наличные в банкомате не получишь.
— Верно. Но я дополню. Во-первых, PIN-код нередко требуется и при оплате покупок. А во-вторых, PIN (Personal Identification Number — «персональный идентификационный код») необязательно состоит из четырех цифр. Его длина должна быть достаточно большой, чтобы минимизировать вероятность его подбора методом проб и ошибок, а с другой стороны — достаточно малой, чтобы кардхолдер мог его запомнить. Поэтому длина PIN-кода варьируется от четырех до две-PIN-кода варьируется от четырех до две-кода варьируется от четырех до двенадцати цифр. Чаще, конечно, четыре.
— «Пины» ты где брал?
— «Пины»… Рядовые кардхолдеры уверены (и банкиры постоянно твердят им об этом), что PIN-код взломать или украсть невозможно, но я знаю способов десять, как это сделать.
— Ого! Рассказывай, — к этой теме Галина Аркадьевна проявила неподдельный интерес.
— Может, не сегодня? Это тема для отдельного разговора, а я устал что-то, пойду в камеру.
— Я могу передать твои письма родственникам…
— О, конечно. Сейчас напишу.
«Малява», небольшая записка, письмо «по-зеленой» (без цензуры)… Написать в ней можно много чего, и даже нужно, но вот безопасно ли это?.. Адвокат, конечно, представляет мои интересы, и в руки к следователю моя записка не попадет… Или попадет? Ведь и адвоката могут прошмонать после того, как он выйдет от меня… Впрочем, выбора особого нет, пишу:
«Здравствуй, Лисичка! Я в порядке, держусь, больше за тебя переживаю. Письмо твое получил и уже написал ответ — скоро получишь. Прошу, каждое свое письмо нумеруй по порядку, и я так же буду — чтоб не пришлось потом гадать, все ли дошло. Передачу получил, спасибо огромное. Свяжись с Кайзером (u26 — мой модератор на DM), он должен нам 10k, пусть тебе отдает. Найдите Питерского — он тоже десятку висит.
По Илье Сапрыкину. Пусть продает офис и возвращает мою часть вложенных денег, отговорки слышать я не желаю.
Диме скажи, чтобы срочно (!) сменил пароли ко всем моим “аськам” (мусора наверняка в них висят) и предупредил всех клиентов, чтобы не велись на мусорские прокладоны. Всем нашим привет. Очень люблю тебя».
— Вот, написал. Спрячьте только понадежнее, — попросил я адвоката.
— Я прочту, о’кей?
Я согласно кивнул. Галина Аркадьевна быстро пробежалась глазами по тексту, сложила «маляву» вчетверо и засунула ее… в свой лифчик.
— Ну кто к старой женщине в бюстгальтер полезет? — видя мое недоумение, сказала она.
Я согласился.
— Завтра приду, продолжим разбираться в твоих похождениях, кардер, — последнее слово она произнесла нарочито медленно, словно старалась его запомнить. — Как тебя тюрьма встретила?
— Да нормально все, спасибо. До завтра.