— Вернемся к нашим баранам, точнее, PIN-кодам, — заявила моя адвокат во время своего следующего визита ко мне. — Итак, где ты брал «пины» к карточкам?

«Пины»… В свое время Воа — лучший в мире кардер — говорил: «Если вдруг в очередной раз вы где-то увидите, что кто-то продает дампы с «пинами», — не верьте глазам своим. Дампы с «пинами» — это все равно что кэш в кармане. А что-то никто пока не продавал $100 за $20. Если $100 отпечатаны в Вашингтоне, конечно, а не в Грозном или Тегеране». Первым, кто это опроверг, стал Dark Elvis.

Все началось с того, что однажды утром моя «аська» буквально взорвалась от кучи практически одинаковых сообщений от моих коллег, партнеров и просто клиентов:

— Ты не знаешь, кто такой Dark Elvis?

— Бро, это не ты, часом, Dark Elvis?

— Плиз, подскажи, где найти Дарк Элвиса.

— Да кто это вообще такой?! — возмутился я. — С чего это он вас всех так интересует? Как с цепи сорвались…

— Кого всех?! — первым ответил мой испанский партнер eNdi.

— Утром andycredit спрашивал, потом Mondeo, сейчас ты…

— Бро, ты случайно не заболел? Обычно ты узнаешь обо всем раньше нас. Элвис продает дампы с «пинами».

— М-м-м, дампы с… «пинами»?! Это было бы слишком хорошо, чтобы быть правдой.

Dark Elvis был все равно что НЛО — таинственный объект, о котором все слышали, но никто его не может найти. О нем было известно только то, что он не сидел в тюрьме, но почему не сидел — неизвестно. Зато все знали, что у Элвиса десятки тысяч дампов с «пинами», кто-то даже видел бин-лист, и, конечно, каждый мечтал первым его найти.

— Auger, поделись контактом Dark Elvis’a, — наудачу написал я в ICQ своему постоянному поставщику дампов.

— Ты шутишь?! — практически мгновенно ответил тот.

— А разве похоже на шутку?

— Ладно, проехали. Контакт не дам, но можешь работать с ним через меня. Тебя что интересует?

— То же, что и всех, — дампы с «пинами».

— Ну давай на мыло зашлю парочку штук на тест. Если о’кей — заплатишь за них $600. Идет?

— Да.

Через несколько часов Auger скинул мне два дебетных американских дампа с PIN-кодами, один Maestro, другой — VISA Classic.

— Когда отработаешь? — последовал вопрос.

— Мгновенно — энкодер под рукой.

Сорок минут спустя я уже потрошил один из киевских банкоматов. VISA не сработала, зато Maestro в два приема «подарил» мне $3 тыс., притом что последние $600 упорно не хотели сниматься — проверка баланса перед началом работы показала, что на карточке было $3600.

Наверное, дневной лимит установлен в размере $3 тыс., — догадался я.

— Что ж, попробую «добить» ее после полуночи, когда банки посчитают, что начался новый день. С этой мыслью я взглянул на свои часы и отправился коротать оставшиеся до полуночи два часа в McDonalds на Крещатике. Почему именно McDonalds?

В Киеве самая большая в мире концентрация красивых женщин. Спускаешься в метро — навстречу девушка… одна, вторая, третья… на четвертой твоя голова против воли заворачивается назад, да так, что можно шею свернуть. И по новой — одна, вторая, третья, четвертая. А в McDonalds на Крещатике прелестных украинских девушек еще больше, чем в метро. Киев — это рай для холостяка. Средняя продолжительность жизни мужчин там — всего пятьдесят шесть лет, и на каждого двадцатилетнего мужчину приходится четыре женщины того же возраста.

После 24:00 моя Maestro уже не работала. Я пробовал в нескольких банкоматах, но везде выбивало DECLINE (отказ). Впрочем, получить трешку «зеленых», затратив всего шестьсот, было тоже очень даже неплохо.

— Ну как результат? — замигало окно моей «аськи» сообщением от Auger, когда я добрался до дома и подошел к компьютеру.

— Нормально. Classic — нерабочий. Maestro — о’кей.

— Жду 300 wmz. Кошель знаешь.

— Лови, — я открыл свой Webmoney Keeper и, не откладывая, перевел Аугеру 300 баксов.

— Ага, есть. Спасибо. Тебе все еще нужен контакт Элвиса?

— Да мне, по большому счету, без разницы, с кем работать, — не хочешь «палить» Элвиса, тогда давай работать с тобой.

— Ну давай, — согласился Auger. — Вот условия.

И тут он меня немного разочаровал: один европейский дамп с «пином» предлагался за $2 тыс., нерабочие не обменивались (в отличие от первой тестовой партии), минимальная партия составляла десять дампов. Хочешь — бери, не хочешь — не бери.

Я взял один раз — на $20 тыс. И все бы ничего, да отсутствие замен свело рентабельность этой работы к нулю. Больше я в эту лотерею не играл.

И все же я думаю, что в роли мифического Dark Elvis’a выступал сам Auger…

— Не поняла, какой Auger? — у Галины Аркадьевны не было доступа к моим воспоминаниям.

— Ну Аугер — мой поставщик дампов, который продавал мне и дампы с PIN-кодами.

— А-а-а. И почему ты уверен, что Элвис и Auger — это одно и то же лицо?

— Когда я только начинал работать с Аугером, тот обмолвился, что его напарник Aizek[797] как раз работал над реверсией…

— ?..

— Расшифровкой «пинов» из их базы с дампами. Да и невозможность установить прямой контакт с Элвисом укрепляла меня в моей догадке. Скорее всего, у Аугера — высококлассного киберпреступника с многолетним стажем — было несколько сетевых имен, которые даже его партнеры по нелегальному бизнесу не связывают друг с другом, а считают их принадлежащими разным людям.

— Он не сидит? — отчего-то поинтересовалась адвокат.

— Нет-нет, такие люди не сидят. Когда я общался с Аугером в последний раз, тот собирался, по его словам, прикупить какое-нибудь комфортное кресло в «Газпроме» — пару миллионов долларов они с Айзеком уже заработали, — и навсегда завязать с кардингом. Если птица не садится на гнездо, а поднимается все выше и выше, она в конце концов попадает в сетку птицелова. Тот, кто не чувствует, когда нужно остановиться, нарушает законы природы…

— Как Айзек расшифровал «пины»? — прервала мои философские рассуждения Галина Аркадьевна.

— Основное требование платежных систем к хранению и передаче PIN-кода: значение PIN должно всегда находиться в зашифрованном виде, начиная от его ввода на клавиатуре банкомата или POS-терминала и заканчивая проверкой в «святая святых» любой платежной системы — защищенном аппаратном модуле шифрования (HSM-модуле) банка-эмитента. Этот модуль хранит ключ генерации PIN-кодов, и проникновение в него повлечет за собой компрометацию всех PINов, когда-либо сгенерированных с помощью этого ключа. Поэтому доступ к HSM-устройствам строго ограничен как физически (применяются взломостойкие модули), так и через Сеть.

— Что же сделал Айзек?

— На разных этапах обработки PIN-коды проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто — на взломанный HSM-модуль устанавливается сниффер — программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.

— Почему производители HSM-устройств не закроют эти дыры? — задала логичный вопрос адвокат.

— Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо — по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.

— Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невоз-PIN-коды невоз-коды невозможно…

— Everyone lies.

— А «пины», которые нашли у Сапрыкина, — перешла к более предметному разговору Галина Аркадьевна, — они откуда?

— В начале 2004 года я познакомился с Black Monarch — одним из модераторов carder.org — первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много — всего штук по пятьсот в месяц.

— Ничего себе! Как вы обналичивали такие количества?

— Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.

— Ты сказал, что Black Monarch «делал» дампы с «пинами». Как он их делал? — оживилась адвокат.

— Вкратце схема такова: берем дамп с оригинальным первым треком — там есть настоящее имя кардхолдера. Заходим на www.accurint.com, вбиваем ФИО жертвы, находим его SSN (Social Security Number — номер социального страхования, который положено иметь всем гражданам США в возрасте от одного года), дату рождения, адрес и телефон — чем больше данных о жертве соберем, тем лучше. Понятно, что если имя холдера будет John Smith, то мы устанем гадать, кто же из тех двух тысяч джонов смитов, что выдаст нам в результатах поиска accurint, и есть наш, поэтому дамп нужно изначально выбирать с редкой для Америки фамилией. Дальше идем на сайт банка, выдавшего карту, «энроллим» ее (от англ. enroll — «регистрировать») — то есть открываем онлайн-доступ к карте — и особым образом меняем PIN-код. Правда, сменить его можно было не на всех картах, тогда такие дампы с уже открытым онлайн-доступом к карте, а значит, известным балансом, мы продавали — за 15 % суммы на карте. Рентабельность моей работы с Black Monarch превышала 300 %.

Когда совсем нечем было заняться, я через Skype звонил «терпилам» и под благовидным предлогом разводил их на «пины». Можно это и в автоматическом режиме замутить: жертве позвонит программа-робот, озвучит заранее записанный текст, предупреждающий о подозрительных операциях с его счетом, и проинструктирует клиента сообщить номер его кредитной карты, срок ее действия и PIN-код.

— А что делать, если нет доступа к конторе типа accurint? Где искать SNN и прочие личные данные владельца карты?

— На кардерских форумах хватает людей, которые поставили поиск личных данных американцев на поток. Стоит все удовольствие $3–5. Почему именно американцев? Дело в том, что подробные базы с полной информацией о гражданах, включая сведения о браках и разводах, судимостях, месте работы, движимом и недвижимом имуществе, зарегистрированном оружии, кредитную историю и т. п., есть только в Штатах. По Евросоюзу единой базы нет, только по отдельным странам. К тому же в Америке проживает 300 млн потенциальных потерпевших, а, к примеру, в Бельгии — всего десять. Есть разница?

— Как еще можно узнать PIN-код?

— В последний год серьезные обороты набрал фишинг (phishing).

— ?..

— Искаженное английское fishing («рыбалка»). Пользователям рассылаются сообщения со ссылками на сайты, как две капли воды похожие на сайты настоящих банков, платежных систем, социальных сетей и т. д., где злоумышленники выуживают у доверчивых пользователей ценные личные данные — логины и пароли, номера кредиток, PIN-коды, доступы к различным платным сайтам и прочее. По сути, фишинг — это классическая разводка, искусство выдавать себя за того, кем не являешься. Он основывается на незнании пользователями элементарных вещей — в частности, того, что банки и различные сервисы никогда не рассылают писем с просьбами сообщить свои учетные данные. Фишинг особенно распространен в США, где высокий уровень законопослушности населения — если банк прислал запрос, то на него надо обязательно ответить.

— А для чего фишеры крадут доступы к аккаунтам в социальных сетях?

— Для заманивания новых лохов, конечно. Вероятность того, что участник социальной сети пройдет по присланной от имени друга ссылке, примерно в десять раз выше, чем если бы эта ссылка пришла к нему по электронной почте.

Для защиты от фишинга производители интернет-браузеров уже встраивают в них антифишинговую защиту, но проверка на фишинг увеличивает время загрузки страниц и многие юзеры ее просто отключают. Невнимательность и наивность по-прежнему остаются главной причиной любых проблем. Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то «потеряны» флешки. Нашедшие их сотрудники, недолго думая, засовывали устройства в рабочие компьютеры — видимо, хотели посмотреть, что на них записано. Вот так, без особых усилий во многие корпоративные сети проник «троян».

— Ну а какое отношение «пины» имеют к фишингу? — недоумевала моя адвокат.

— У многих фишеров скопились просто гигантские массивы карт и PIN-кодов. Заметьте, карт — но не дампов. Зато дампы были у нас, кардеров, и некоторые из баз насчитывали миллионы треков. Мне пришла логичная идея сравнить на соответствие базы карт с базами дампов. Сравнение происходило, понятное дело, по номеру карточки.

— Получилось?

— Еще бы. Процент совпадений не превышал 0,3 %, но, учитывая, что и у фишеров, и у кардеров на руках были миллионы карт, это стало для меня отличным заработком.

Также существует, но сегодня уже начинает «умирать», еще одна тема по получению «пинов». Услышал я о ней от американцев еще осенью 2003-го. Фишка заключалась в генерации дампа при наличии на руках только номера кредитки, срока ее действия и PIN-кода. Здесь вновь выручили фишеры — этого-то добра у них хватало. Самым сложным было написать рабочий дамп.

Любой дамп — а для банкомата достаточно только второй дорожки — содержит номер карты, срок действия, а также некий защитный трех-значный код. В системе VISA он носит название CVV (Card Verification Value), а у Mastercard — CVC (Card Validation Code). Возьмем, для примера, кредитный дамп Fleet Bank: 4 30550 00923 27108=1102 10100 00529, CVV в данном случае 529.

Или любимый многими MBNA Bank: 4 26429 43183 44118=12011 01000 00445 00000, здесь CVV — 445.

Кстати, ввели этот защитный код в начале 1990-х после весьма занятной истории.

В 1990 году Королевский суд Винчестера в Англии осудил двоих преступников, использовавших простую, но эффективную схему. Они стояли в очередях к банкоматам, подсматривали PIN-коды клиентов, подбирали чеки, оставленные клиентами после завершения транзакции, и копировали номера карт с них на пластиковые заготовки с магнитной полосой. Таких людей называли трэшерами (от англ. trash — «мусор»). Эта уловка удавалась потому, что банки печатали на чеке номер кредитки клиента полностью (сейчас большая часть скрыта звездочками), и прекратили это делать лишь с 1993 года, после того как по телевидению и в СМИ журналисты опозорили эти банки, подняв шумиху вокруг таких вопиющих случаев халатности. Тогда же платежные системы и придумали коды CVV/CVC — чтобы полностью исключить возможность того, что злоумышленник создаст работоспособный дамп, если подсмотрит номер карты клиента.

Казалось бы, теперь подобной схеме мошенничества поставлен надежный заслон. Но нет — несмотря на имеющуюся возможность контроля и сегодня полно банков, которые ей пренебрегают. В основном этим грешат американские банки, но вычислить их можно только эмпирическим путем — ни один кардер не поделится подобной информацией. Из-за отключенной проверки CVV американские банки потеряли миллиарды долларов. Агентство Gartner подсчитало, что только за 2004 год американские финансовые институты потеряли из-за этой аферы около $2,75 млрд. И это только за один год! В 2004 году примерно половина американских банков не проверяли CVV при банковских транзакциях, а также транзакциях с использованием дебетных карт, требующих обязательного ввода PIN. Citibank, крупнейшая американская финансовая организация, пострадала сильнее всего. PIN-ы стали святым граалем для кардеров.

— Но все эти способы слишком сложны для обычного человека…

— На каждого мудреца довольно простоты — несмотря на многочисленные предупреждения, многие держатели карт записывают PIN-коды прямо на карточках. В случае утери или кражи в руках вора окажется и карточка, и PIN. Я еще понимаю американцев — у них в среднем около семи карт на душу населения, но наши-то… Если уж и записываете PIN на карте, то делайте это так, чтобы никто не понял, что это он, — запишите его под видом номера телефона, например, где первые или последние цифры номера и будут PIN-кодом. Да, и еще одно: номер службы поддержки банка записан на оборотной стороне карточки. Перепишите его куда-нибудь в мобильник, так как, если карту украдут, начнутся беспорядочные метания в поисках нужного телефонного номера, а этого времени может быть достаточно, чтобы мошенник увел ваши деньги.

И последнее: по правилам платежных систем операции по карте, которые были произведены с вводом PIN-кода, опротестовать невозможно. Когда вы получаете карту, то подписываете документ, где указывается, что вы получили конверт с PIN-кодом. Там написано, что вся ответственность за сохранность этого номера лежит полностью на клиенте. И если клиент этот номер «провтыкал» — это его проблемы. Банк имеет полное право отказать в рассмотрении жалобы о краже денег и будет совершенно прав. Поэтому не сообщайте никому свой PIN-код, равно как и карточку в чужие руки не давайте.

Следующие методы получения PIN-кодов подразумевают определенные физические действия с банкоматом. Для первой аферы нужны ровные руки и суперклей. Заклеиваешь на банкомате клавиши «Ввод», «Очистить», «Отмена» и устраиваешь засаду. Приходит жертва, засовывает карту в щель банкомата, набирает PIN-код, после чего обнаруживает, что нужные клавиши не работают, и уходит — например, в отделение банка за помощью. Тут жулики выскакивают из засады и снимают с карты деньги с помощью тачскрина (почему-то кардхолдеры забывают, что все функции управления продублированы на экране банкомата).

Встречаются также фальшивые платежные терминалы, «посы» и даже банкоматы, которые эмулируют настоящие, но запрограммированы только на сбор дампов и PIN-кодов. Нападения этого вида были впервые описаны в США еще в 1988 году. Мошенники построили машину, которая принимала любую карточку и выдавала пачку сигарет. Данное изобретение было размещено в магазине, а PIN-коды и дампы передавались посредством модема. Трюк распространился по всему миру.

Еще одним источником проблем для банков являются тестовые транзакции. Для одного типа банкоматов использовалась 14-значная ключевая последовательность для тестовой выдачи десяти банкнот. Кроме того, руководство по настройке любой модели банкоматов можно найти в Интернете. В нем подробно объясняется, как перевести банкомат в диагностический режим и перепрограммировать на свое усмотрение — например, убедить машину, что она наполнена однодолларовыми купюрами вместо «двадцаток», и получить не $20, а $400. Конечно, вход в такой режим требует знания специального кода, однако большинство банкоматов используют пароли по умолчанию, которые указаны в руководстве.

По своей сути любой банкомат или POS-терминал — это тот же ком-POS-терминал-терминал — это тот же ком- это тот же компьютер. И если «посы» работают на собственных «операционках» типа Unicapt или Telium, то банкоматы работают под управлением Windows, а значит, их можно успешно заразить вирусом. Правда, в большинстве своем сети банкоматов не подключены к Интернету, и единственный способ инфицировать банкомат — это снять с него крышку и подключить к специальному разъему ноутбук с заранее сконфигурированным программным обеспечением. Как раз недавно группа украинских кардеров разработала вирус, после установки которого в банкомат можно снять все имеющиеся там деньги с помощью специальной карточки доступа. Помимо этого, вирус позволяет ввести на клавиатуре банкомата определенный код и получить распечатку всех дампов и PIN-кодов, прошедших через зараженный аппарат.

— А разве банкоматы не оборудованы видеокамерами, которые заснимут подозрительные манипуляции с открыванием крышки банкомата и т. п.? — задала резонный вопрос Галина Аркадьевна.

— В каждом втором белорусском банкомате видеокамеры отсутствуют. Я и говорю — страна непуганых идиотов…

Есть еще такой способ получения PIN-кодов, как траппинг (от англ. trap — «ловушка»). Ты подходишь к банкомату, вставляешь карту, вводишь свой PIN и… ничего. Тут к тебе подходит незнакомец и спрашивает, в чем дело, банкомат, что ли, не работает? Ты пытаешься объяснить и вводишь PIN-код у него на глазах. Естественно, опять ничего не происходит. Деньги не снять, карту тоже не достать — она застряла. Разозленный, ты идешь ругаться в отделение банка. Тем временем незнакомец быстро дергает за кусочек тонкой фотопленки, которая была внутри приемника для карты и мешала считать информацию, и вытаскивает ее вместе с твоей картой — а PIN он уже подсмотрел. Чтобы избежать этого, пользуйтесь простыми правилами: не давайте никому подходить к банкомату в то время, пока им пользуетесь вы, и не слушайте ничьих советов. Проблемы с картой решайте, не отходя от банкомата, если что — звоните в службу поддержки своего банка или банка, установившего банкомат. Вводя IN-код, прикрывайте клавиатуру свободной рукой. Правда, все эти меры предосторожности не помогут, если мы имеем дело со скиммингом.

— ?..

— Скимминг (от англ. skim — «снимать») — один из самых ненавидимых банкирами всего мира видов кардинга. Скиммер — это незаметное, толщиной всего в несколько миллиметров, устройство, которое вставляется в прорезь для карты и выглядит как обычный считыватель карты, поэтому неискушенному человеку его заметить крайне сложно. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним установлен хорошо замаскированный скиммер, считывающий дамп карты и сохраняющий его во встроенную флеш-память. Существуют и более сложные модели скиммеров со встроенным GPRS-модемом, отсылающие данные по SMS или вообще на «мыло» кардеру. Стоимость подобных устройств на рынке начинается от $8 тыс.

— Постой, а как же PIN-код? Скиммер ведь копирует только дамп…

— Съем PIN-кода в данном случае — тоже искусство. В ход идут замаскированные видеокамеры или даже муляжи клавиатуры, накладываемые поверх настоящей. «Не устанавливайте скиммер в утреннее время, поскольку прохожие более бдительны в это время. Не выбирайте банкомат, через который проходит больше 250 клиентов в день. Избегайте городов с населением меньше 15 тыс. жителей — местные отлично знают, как выглядят их банкоматы, и могут заметить ваш скиммер», — гласила инструкция, прилагающаяся к скиммерам, продающимся на одном из кардерских сайтов.

— Кардеры, фишеры, скиммеры… Неужели все так плохо?

— На самом деле — нет. Просто, совершая любую операцию с пластиковой картой, будь то получение налички в банкомате или же покупка в интернет-магазине, стоит сто раз проверить все окрестности, прежде чем демонстрировать данные вашей карточки. Для компьютерных платежей неплохо бы включить антифишинг и своевременно обновлять антивирусные программы. Когда расплачиваетесь карточкой в магазине (ресторане, гостинице и т. д.), не допускайте, чтобы карта пропадала из виду. К примеру, официант запросто может сказать, что терминал находится там-то и ему нужно отойти, чтобы прокатать вашу карточку. В этом случае идите вместе с ним. После оплаты в сомнительном месте внимательно изучите чек — нет ли там каких-нибудь лишних сумм. Старайтесь не расплачиваться картой в странах повышенного риска — в Турции, Египте, Таиланде, Украине. Особенно это касается кредитных карт, потому что в этом случае вы теряете деньги банка, и на вас будет висеть долг, да еще и с процентами.

Банкоматы лучше использовать те, которые находятся в помещении банка — меньше шансов, что на них будет установлен скиммер. Выработайте у себя привычку внимательно смотреть на прорезь для карты — нет ли там какой посторонней накладки, и на клавиатуру банкомата. Стоит помнить, что здравая толика паранойи способна уберечь ваши деньги лучше, чем ложная скромность и истинная безалаберность.

Кстати, вы не в курсе, в какой хате сидит Паша Воропаев? — я сменил тему разговора.

— Не знаю, но поосторожнее с ним, — предостерегла Галина Аркадьевна. — У них с Батюком один на двоих адвокат, а это возможно, только если их позиция по вашему уголовному делу совпадает. Так что, скорее всего, они «грузят» именно тебя, гляди, еще и организатором сделают. Будут петь в унисон, и будь ты хоть трижды прав, но нашему «правосудию» ничего не докажешь. Надо было тщательнее подельников выбирать, а лучше вообще без них, если это возможно.

«Организатором»… «грузят»… да-а, попал. Наверное, и сдали меня они. Засветились при шопинге в Минске — на них вышли менты. «Где взяли поддельные карточки?» — «У Павловича»… Ни грамма не весело…