Текст книги "Как я украл миллион. Исповедь раскаявшегося кардера"

Глава 5. Рога и копыта

Чифирь оказался о-о-очень крепко заваренным черным чаем. Пили – по старой арестантской традиции – из одной кружки, по два глотка. Каждый глоток хоть и давался мне с трудом – всыпь на 200 мл воды 40–50 г мелколистового черного чая, тогда поймешь, – но давал такую бодрость, что через десять минут у меня даже волосы на руках зашевелились.

– Ждешь кого сегодня? – поинтересовался у меня Игорь, с которым я делил шконку.

– Адвокат обещала прийти, правда, не знаю во сколько. Хотел что?

– Я тебе телефон жены своей напишу. Пусть брякнет ей, скажет, чтобы передачу мне привезла.

– Давай, без проблем.

Через час меня выдернули на кабинеты. Галина Аркадьевна благоухала каким-то дорогим, но слегка старомодным французским парфюмом, чем-то очень знакомым, не то «Фиджами», не то «Пуазоном».

– Здравствуй, Сергей, – первой поздоровалась она.

– Здравствуйте.

– Ну как первая ночь в тюрьме?

– Не первая – я ведь в «отстойнике» уже ночевал. А в хате да, первая. Нормально, выспался хоть, четырнадцать часов спал.

– Кате записку твою передала, она тебе тоже пару строк черканула. У нее все нормально. У Димы тоже.

– Кайзер и Фидель уехали?

– Да, в тот же день, как их всех отпустили.

– Ну слава богу, – я с облегчением вздохнул: моих друзей не задержали.

– Мама сильно за тебя волнуется и спрашивает, почему ей не пишешь.

– Да я не представляю просто, что ей писать. Как-то стыдно, что ли. В тюрьму ведь попал. И по уголовной статье к тому же.

– Ты это брось, – поспешила разубедить меня Галина Аркадьевна, – от сумы да от тюрьмы не зарекаются. Сидят и миллиардеры – вон, Ходорковского недавно «приняли», и генералы, и министры. И не только у нас – по всему миру. И не все из них по политическим статьям.

– Хорошо, передайте ей, что напишу на днях.

– Вот и молодец. На чем мы в прошлый раз остановились?

– На ликвидации вашей безграмотности в сфере применения банковских пластиковых карт.

– Точно. Ты рассказал мне об устройстве банковских пластиковых карточек, о дампах и о том, что белый «пластик» можно было обналичить через знакомых владельцев магазинов, казино и т. п. Как еще вы похищаете деньги с кредиток?

– Шура Балаганов был очень изумлен, когда Остап купил для конторы «Рога и копыта» чернильный прибор: «Остап Ибрагимович, вам не стыдно было платить за этот чернильный набор живые деньги?!» Прав был Шура, поэтому за лицензионный софт, доступ на порносайты и к различным платным ресурсам (интернет-библиотеки, онлайн-игры) я всегда платил только чужими кредитками. Можно, конечно, и фотоаппарат или ноутбук какой в интернет-магазине приобрести – называется это «вещевым» кардингом, но это все тоже баловство.

Для игроков более тяжелого веса – изготавливается чемодан белого «пластика» с записанными дампами, открывается контора а-ля «Рога и копыта», снимается офис, закупается товар – компьютеры там всякие, электроника, и начинаем торговать – по себестоимости или даже себе в убыток. Цены в нашем магазине низкие, молва об этом быстро разносится, поток клиентов увеличивается. Открываем счет в банке, заключаем договор и ставим POS-терминал. Начинаем прокатывать через него карточки клиентов, а также свои собственные свежеоткрытые «креды» разных банков – приучаем банк к большому объему покупок с использованием кредитных карт. В один прекрасный момент прогоняем через него весь этот чемодан белого «пластика», деньги падают на счет, забираем кэш – и к девкам.

Конечно, все не так просто, вначале надо внимательно изучить страну, где собрались это делать (в странах бывшего Союза по многим причинам не стоит), возможные подводные камни, систему безопасности банка, который ставил вашей конторе «United Братва» POS-терминал, сроки зачисления ваших кровно заработанных на счет (чем быстрее – тем лучше), продумать пути отхода, просчитать затраты – много чего еще. Само собой, нельзя открывать такую контору на себя.

– Но это все имеет мало отношения к твоему обвинению. Вас обвиняют в том, что вы по поддельным карточкам скупали товар в минских магазинах…

– О'кей, пойдем дальше – к более сложному. Изначально есть чистый CR-80-«пластик» и дампы. Как бы напечатать и сделать кредитку один к одному, чтобы можно было спокойно идти в любой магазин в любой стране?

Для начала надо приобрести готовый «пластик» с «голубками» или «глобусом» либо же купить эти голограммы отдельно. Потом надо найти типографию либо купить свое оборудование, которое позволит напечатать на чистом CR-80-«пластике» что-то красивое – причем практика показывает, что абсолютно все равно, какой банк там указан и соответствует ли он реальному банку. Печать, понятное дело, двусторонняя. Напечатали с горем пополам. Теперь надо сделать эти вдавленные номер кредитки, имя и прочее – придется покупать эмбоссер (аппарат, который выдавливает символы на картах) и типпер (устройство для нанесения на них серебристого или золотистого покрытия). Дорогие модели эмбоссеров имеют встроенный типпер. Дополнительно к этому всему надо на обратной стороне «креды» наклеить полоску особой бумаги, на которой ставится подпись владельца карты.

– Это ж сколько денег на оборудование уйдет… – рассеянно заметила Галина Аркадьевна.

– Верно. Один хороший эмбоссер, Matika Z3, например, – около «десятки» стоит. Поэтому самостоятельно «пластик» я никогда не изготавливал, а тупо покупал у нужных людей. Низкого качества, пригодного для шопинга только внутри СНГ, – у Boa Factory в Киеве, отличные VISA Electron – у Флинта на realplastic.org и самый лучший офсетный «пластик» – у китайских товарищей, благо Интернет стирает границы. Дампы на полностью готовые болванки, понятное дело, можно было записать и самому – не все доверяли изготовителям «пластика» эту почти интимную процедуру.

Не прошло и полгода, а у тебя уже чемодан дубликатов кредиток, к качеству которых никто не придерется. Какие варианты с чемоданом? Покупаешь билет в Сингапур, например, или в Преторию и плотно там скупаешься, пока не опустеет чемодан. А лучше вообще в Италию – своеобразную Мекку фальшивых кредитных карточек. В Милане, если продавец догадается, что производится покупка по фальшивой карточке, он не будет сообщать в полицию, а наоборот, попросит, что если, мол, есть еще такие кредитки, то пусть покупатель не стесняется. В магазине знают, что банки всегда возместят им убытки. Потом как-то куда-то все это «железо» или серебро-золото пристраиваешь, продаешь, раздаешь. Меняешь страну. И по новой, с другим паспортом и другими кредитками. Мы вот в Минске скупались – зря, конечно, – нельзя красть там, где живешь.

Между покупками дампы необходимо было периодически проверять (по-нашему, «чекать»), поскольку самым неприятным при шопинге было «выбивание» на экране POS-терминала кодов 43 (украденная карта – изъять и позвонить в центр авторизации) или 07 (изъять карту и постараться задержать мошенника). Проверять дампы на работоспособность (валидность) можно было тремя способами: если дело происходит в Европе, то нет ничего проще, чем засунуть кредитку в телефон-автомат, который принимает кредитные карты. В России это таксофоны «Комстар». Можно зайти в аптеку, булочную, любой небольшой шоп с минимумом охраны и отсутствием видеокамер и купить какую-нибудь мелочовку. А не пройдет карта – всегда можно мило улыбнуться продавщице и рассчитаться наличкой. Третий способ предполагает мгновенную авторизацию небольшой суммы ($0,5–2) через любой онлайн-сервис или магазин. Подобное называется checking-сервис (от англ. check – «проверять») и широко используется по сей день. Владельцы «чекеров» в огромных количествах скупают взломанные мерчанты (шлюзы для оплаты кредитками) к интернет-магазинам и берут за проверку одного дампа в среднем $1.

Несмотря на то что большинство торговых точек в мире оборудовано электронными POS-терминалами, в Минске все еще полно и импринтеров – механических устройств, отпечатывающих рельефные данные с карты на бумажный чек. Бумажные чеки, сделанные с помощью импринтера, называют также слипами (от англ. slip – «скользить», «прокатывать»). Они являются документальным подтверждением совершения сделки. Для авторизации кассир надиктовывает информацию из слипа оператору процессингового центра по телефону. Естественно, при оплате через импринтер наличие дампа на магнитной полосе кредитки не требовалось, что, когда до меня это дошло, дало мне неограниченный простор для «работы». В это время в Беларуси и даже в России еще прекрасно работали американские дампы, которые стоили какие-то копейки, а суммы на них бывали очень внушительными.

– Ладно, Сергей, – прервала меня адвокат, – с карточками для шопинга вроде разобрались, давай теперь пройдемся по картам с «пинами». Сапрыкин утверждает, что именно ты передал ему 20 белых карт, написал маркером коды на каждой и попросил обналичить в минских банкоматах. Это правда?

– И да и нет.

– ?!.

– У Сапрыкина самого рыльце в пушку…

– Ладно, роль каждого прояснится по ходу следствия. А пока Сапрыкин является свидетелем. Против тебя.

– Я слышал, что у нас порой свидетели очень быстро переходят в разряд обвиняемых…

– Ну ты же его грузить не собираешься? Как бы там ни было, а «группа лиц» тебе сейчас вовсе ни к чему. Итак, где ты доставал PIN-коды к карточкам?

Глава 6. Дороги

Телевизора в хате не было. Настольных игр, за исключением вылепленных из хлеба шахмат, тоже. В этой камере, 144-й, сидели под следствием в основном наркоманы, алиментщики и те, кому не сиделось спокойно на «химии» (в Союзе это называлось «стройками народного хозяйства»). Смотрящий за камерой, Сергей Макаров, был инъекционным наркоманом с немалым, несмотря на его двадцатипятилетний возраст, стажем и колол в вену все, что было запрещено законом. Наверное, если бы был запрещен аспирин, то Макар бы «вмазывался» и им. От него же я узнал, что если раньше белорусские наркоманы чаще всего употребляли героин, маковую соломку (в сезон) и метадон, то сегодня самым распространенным кайфом стали так называемые бубки – семена опийного мака, какими нормальные люди посыпают булки с маком.

– Пришла эта мода к нам из России, – однажды вечером после выпитой кружки чифиря начал Макар. – Вместе с технологией экстракции опия. По закону весь пищевой мак, продающийся в торговой сети, должен проходить термообработку, которая разрушает содержащийся в нем опий. В реальности же обрабатывают не больше 10 % всего мака.

– Сколько сейчас героин в Минске стоит? – перебил я Макара.

– Герыч и «витамин» – по 40 баксов за грамм, метадон – 140.

– А «бубки»?

– Три года назад, в 2001-м, когда еще никто в Минске не знал, что пищевым маком можно колоться, его цена составляла около $3 за 1 кг. Сегодня – от тридцати и выше. Для кого-то это крупный бизнес.

– А что такое «витамин»? – полюбопытствовал я.

– Амфетамин. Синтетический аналог кокаина. Неплохо «ускоряет», но мне не нравится – это больше для дискотек. Подельники есть у тебя? – переключился на другую тему Сергей Макаров.

– Да, – я вздохнул, – к сожалению. Один под подпиской о невыезде, другой здесь где-то плавает.

– Подельники – это плохо, – глубокомысленно изрек Макар. – Хуже нет, когда каждый начинает одеяло на себя тянуть и грузить других. Мусорам это только на руку. Если уж занимаешься криминалом – не важно каким, – делай все один. Одному оно и надежнее, и безопаснее. В какой он хате?

– Кто?

– Ну, подельник твой.

– Пока не знаю. Если увижу его где на коридоре или кабинетах, так спрошу.

– Можешь поисковую написать, – посоветовал мне Макаров. – Эта «малява» по всем хатам централа пройдет, может, и найдется кент твой.

Я написал так называемую поисковую «маляву», тщательно упаковал ее в несколько слоев целлофана от сигаретной пачки и оплавил зажигалкой – «дорога» в нашей хате работала «по-мокрой», через унитаз. Как устроена эта самая «дорога» – тюремная почта, о которой ты наверняка слышал? Для начала нужно сплести «коня» – самодельную веревку из заранее распущенных вязаных вещей. Делается это методом кручения: четыре-пять тонких ниток складываются вместе и перекручиваются между собой, затем складываются пополам и еще раз перекручиваются – получается тонкая и относительно прочная веревка. К одному ее концу прикрепляются «ежи» – сделанные из спичек колючки, или «поплавки»– туалетная бумага, запаянная в целлофан. В соседней хате делают то же самое. Затем два «коня» опускаются в дольняк и с помощью большого количества воды попадают в канализационную трубу, где спутываются между собой. Все, «дорога» наведена. После сработки один из «коней» убирается, а на другом гоняются «малявы» и грузы – в основном чай и сигареты.

По всем хатам централа поисковая «малява» проходит в среднем за два дня. Я отправлял ее дважды, и ни в одной из хат, через которые она прошла, не оказалось моего подельника и когда-то доброго знакомого Паши Воропаева.

– Макар, – обратился я к смотрящему за хатой, – поисковая дважды ни с чем вернулась.

– Такое случается. Посмотри на эту «маляву» внимательно: там отмечены номера всех хат, через которые она прошла. Значит, в этих хатах твоего кореша нет. Но здесь ведь отмечены, – он взял в руки мою «маляву», – далеко не все хаты, которые есть на тюрьме. Есть ведь еще и нерабочие, где навести дорогу по разным причинам невозможно, и откровенно «красные» хаты, где сидят коммерсанты, таможенники, менты и всякое сучье – не исключено, что твой Воропаев в одной из таких хат. Это у нас тут братский ход… В других камерах срабатываются по воздуху. Это если в соседних хатах окна недалеко друг от друга находятся. Одна хата делает «ружье» – полую трубку из плотной бумаги, чаще всего из журнальных листов, и клейстера – самодельного клея из пережеванного и пропущенного через простыню черного хлеба, а также волан – конусообразный дротик из бумаги, утяжеленный тем же хлебом. К волану привязывается «контролька» – тонкая плетеная нить из синтетического носка. Волан из этого самодельного духового ружья выстреливается в сторону соседней хаты. А там уже ловят его «причалом» – самодельной палкой, сделанной из тех же журнальных листов и клейстера. Сработались, потом «конь» запускается, и все как обычно. «Дорога» – это святое, кровеносная система любой тюрьмы, без «дорог» прекращается общение, не решаются общие вопросы, не знаешь даже, что творится на соседнем корпусе – вдруг мусора или суки бьют кого, а от одной «малявы» часто судьба человека зависит – мало ли какие показания с подельниками нужно согласовать или еще какой вопрос серьезный решить. От показаний зависит очень многое в твоем уголовном деле. Вот взять, к примеру, дачу взятки. Сунул «десятку» гаишнику, стало об этом каким-то образом известно – все, держи дачу взятки. Ан нет, всегда можно сказать – если диктофонной или видеозаписи нет, конечно, – что гаишники у тебя деньги вымогали, сказали: «Не дашь лавэ – заберем права». Взятка, данная под угрозой или вымогательством, таковой не считается. Или еще пример: статья 214 УК РБ, «Угон». Скажешь, что хотел автомобиль на запчасти разобрать и так продать – это уже не угон, а кража, и часто за нее наказание меньше, чем за «просто покататься». Тут уже надо в зависимости от стоимости автомобиля смотреть, чтоб не вышла кража в особо крупном…

Глава 7. Все врут, или тринадцать способов получения PIN-кодов

Надо мыслить. Меня, например, кормят идеи.

Остап Бендер

– Вернемся к нашим баранам, точнее, PIN-кодам, – заявила моя адвокат во время своего следующего визита ко мне. – Итак, где ты брал «пины» к карточкам?

«Пины»… В свое время Boa – лучший в мире кардер – говорил: «Если вдруг в очередной раз вы где-то увидите, что кто-то продает дампы с «пинами», – не верьте глазам своим. Дампы с «пинами» – это все равно что кэш в кармане. А что-то никто пока не продавал $100 за $20. Если $100 отпечатаны в Вашингтоне, конечно, а не в Грозном или Тегеране». Первым, кто это опроверг, стал Dark Elvis.

Все началось с того, что однажды утром моя «аська» буквально взорвалась от кучи практически одинаковых сообщений от моих коллег, партнеров и просто клиентов:

– Ты не знаешь, кто такой Dark Elvis?

– Бро, это не ты, часом, Dark Elvis?

– Плиз, подскажи, где найти Дарк Элвиса.

– Да кто это вообще такой?! – возмутился я. – С чего это он вас всех так интересует? Как с цепи сорвались…

– Кого всех?! – первым ответил мой испанский партнер eNdi.

– Утром andycredit спрашивал, потом Mondeo, сейчас ты…

– Бро, ты случайно не заболел? Обычно ты узнаешь обо всем раньше нас. Элвис продает дампы с «пинами».

– М-м-м, дампы с… «пинами»?! Это было бы слишком хорошо, чтобы быть правдой.

Dark Elvis был все равно что НЛО – таинственный объект, о котором все слышали, но никто его не может найти. О нем было известно только то, что он не сидел в тюрьме, но почему не сидел – неизвестно. Зато все знали, что у Элвиса десятки тысяч дампов с «пинами», кто-то даже видел бин-лист, и, конечно, каждый мечтал первым его найти.

– Auger, поделись контактом Dark Elvis'а, – наудачу написал я в ICQ своему постоянному поставщику дампов.

– Ты шутишь?! – практически мгновенно ответил тот.

– А разве похоже на шутку?

– Ладно, проехали. Контакт не дам, но можешь работать с ним через меня. Тебя что интересует?

– То же, что и всех, – дампы с «пинами».

– Ну давай на мыло зашлю парочку штук на тест. Если о'кей – заплатишь за них $600. Идет?

– Да.

Через несколько часов Auger скинул мне два дебетных американских дампа с PIN-кодами, один Maestro, другой – VISA Classic.

– Когда отработаешь? – последовал вопрос.

– Мгновенно – энкодер под рукой.

Сорок минут спустя я уже потрошил один из киевских банкоматов. VISA не сработала, зато Maestro в два приема «подарил» мне $3 тыс., притом что последние $600 упорно не хотели сниматься – проверка баланса перед началом работы показала, что на карточке было $3600. Наверное, дневной лимит установлен в размере $3 тыс., – догадался я.

– Что ж, попробую «добить» ее после полуночи, когда банки посчитают, что начался новый день. С этой мыслью я взглянул на свои часы и отправился коротать оставшиеся до полуночи два часа в McDonalds на Крещатике. Почему именно McDonalds?

В Киеве самая большая в мире концентрация красивых женщин. Спускаешься в метро – навстречу девушка… одна, вторая, третья… на четвертой твоя голова против воли заворачивается назад, да так, что можно шею свернуть. И по новой – одна, вторая, третья, четвертая. А в McDonalds на Крещатике прелестных украинских девушек еще больше, чем в метро. Киев – это рай для холостяка. Средняя продолжительность жизни мужчин там – всего пятьдесят шесть лет, и на каждого двадцатилетнего мужчину приходится четыре женщины того же возраста.

После 24:00 моя Maestro уже не работала. Я пробовал в нескольких банкоматах, но везде выбивало DECLINE (отказ). Впрочем, получить трешку «зеленых», затратив всего шестьсот, было тоже очень даже неплохо.

– Ну как результат? – замигало окно моей «аськи» сообщением от Auger, когда я добрался до дома и подошел к компьютеру.

– Нормально. Classic – нерабочий. Maestro – о'кей.

– Жду 300 wmz. Кошель знаешь.

– Лови, – я открыл свой Webmoney Keeper и, не откладывая, перевел Аугеру 300 баксов.

– Ага, есть. Спасибо. Тебе все еще нужен контакт Элвиса?

– Да мне, по большому счету, без разницы, с кем работать, – не хочешь «палить» Элвиса, тогда давай работать с тобой.

– Ну давай, – согласился Auger. – Вот условия.

И тут он меня немного разочаровал: один европейский дамп с «пином» предлагался за $2 тыс., нерабочие не обменивались (в отличие от первой тестовой партии), минимальная партия составляла десять дампов. Хочешь – бери, не хочешь – не бери.

Я взял один раз – на $20 тыс. И все бы ничего, да отсутствие замен свело рентабельность этой работы к нулю. Больше я в эту лотерею не играл.

И все же я думаю, что в роли мифического Dark Elvis'а выступал сам Auger…

– Не поняла, какой Auger? – у Галины Аркадьевны не было доступа к моим воспоминаниям.

– Ну Аугер – мой поставщик дампов, который продавал мне и дампы с PIN-кодами.

– А-а-а. И почему ты уверен, что Элвис и Auger – это одно и то же лицо?

– Когда я только начинал работать с Аугером, тот обмолвился, что его напарник Aizek[797] как раз работал над реверсией…

– ?..

– Расшифровкой «пинов» из их базы с дампами. Да и невозможность установить прямой контакт с Элвисом укрепляла меня в моей догадке. Скорее всего, у Аугера – высококлассного киберпреступника с многолетним стажем – было несколько сетевых имен, которые даже его партнеры по нелегальному бизнесу не связывают друг с другом, а считают их принадлежащими разным людям.

– Он не сидит? – отчего-то поинтересовалась адвокат.

– Нет-нет, такие люди не сидят. Когда я общался с Аугером в последний раз, тот собирался, по его словам, прикупить какое-нибудь комфортное кресло в «Газпроме» – пару миллионов долларов они с Айзеком уже заработали, – и навсегда завязать с кардингом. Если птица не садится на гнездо, а поднимается все выше и выше, она в конце концов попадает в сетку птицелова. Тот, кто не чувствует, когда нужно остановиться, нарушает законы природы…

– Как Айзек расшифровал «пины»? – прервала мои философские рассуждения Галина Аркадьевна.

– Основное требование платежных систем к хранению и передаче PIN-кода: значение PIN должно всегда находиться в зашифрованном виде, начиная от его ввода на клавиатуре банкомата или POS-терминала и заканчивая проверкой в «святая святых» любой платежной системы – защищенном аппаратном модуле шифрования (HSM-модуле) банка-эмитента. Этот модуль хранит ключ генерации PIN-кодов, и проникновение в него повлечет за собой компрометацию всех PINob, когда-либо сгенерированных с помощью этого ключа. Поэтому доступ к HSM-устройствам строго ограничен как физически (применяются взломостойкие модули), так и через Сеть.

– Что же сделал Айзек?

– На разных этапах обработки PIN-коды проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто – на взломанный HSM-модуль устанавливается сниффер – программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.

– Почему производители HSM-устройств не закроют эти дыры? – задала логичный вопрос адвокат.

– Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо – по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.

– Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невозможно…

– Everyone lies[1]1
  «Все врут» (англ.)


[Закрыть].

– А «пины», которые нашли у Сапрыкина, – перешла к более предметному разговору Галина Аркадьевна, – они откуда?

– В начале 2004 года я познакомился с Black Monarch – одним из модераторов carder.org – первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много – всего штук по пятьсот в месяц.

– Ничего себе! Как вы обналичивали такие количества?

– Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.

– Ты сказал, что Black Monarch «делал» дампы с «пинами». Как он их делал? – оживилась адвокат.

– Вкратце схема такова: берем дамп с оригинальным первым треком – там есть настоящее имя кардхолдера. Заходим на www.accurint.com, вбиваем ФИО жертвы, находим его SSN (Social Security Number – номер социального страхования, который положено иметь всем гражданам США в возрасте от одного года), дату рождения, адрес и телефон – чем больше данных о жертве соберем, тем лучше. Понятно, что если имя холдера будет John Smith, то мы устанем гадать, кто же из тех двух тысяч Джонов Смитов, что выдаст нам в результатах поиска accurint, и есть наш, поэтому дамп нужно изначально выбирать с редкой для Америки фамилией. Дальше идем на сайт банка, выдавшего карту, «энроллим» ее (от англ. enroll – «регистрировать») – то есть открываем онлайн-доступ к карте – и особым образом меняем PIN-код. Правда, сменить его можно было не на всех картах, тогда такие дампы с уже открытым онлайн-доступом к карте, а значит, известным балансом, мы продавали – за 15 % суммы на карте. Рентабельность моей работы с Black Monarch превышала 300 %.

Когда совсем нечем было заняться, я через Skype звонил «терпилам» и под благовидным предлогом разводил их на «пины». Можно это и в автоматическом режиме замутить: жертве позвонит программа-робот, озвучит заранее записанный текст, предупреждающий о подозрительных операциях с его счетом, и проинструктирует клиента сообщить номер его кредитной карты, срок ее действия и PIN-код.

– А что делать, если нет доступа к конторе типа accurint? Где искать SNN и прочие личные данные владельца карты?

– На кардерских форумах хватает людей, которые поставили поиск личных данных американцев на поток. Стоит все удовольствие $3–5. Почему именно американцев? Дело в том, что подробные базы с полной информацией о гражданах, включая сведения о браках и разводах, судимостях, месте работы, движимом и недвижимом имуществе, зарегистрированном оружии, кредитную историю и т. п., есть только в Штатах. По Евросоюзу единой базы нет, только по отдельным странам. К тому же в Америке проживает 300 млн потенциальных потерпевших, а, к примеру, в Бельгии – всего десять. Есть разница?

– Как еще можно узнать PIN-код?

– В последний год серьезные обороты набрал фишинг (phishing).

– ?..

– Искаженное английское fishing («рыбалка»). Пользователям рассылаются сообщения со ссылками на сайты, как две капли воды похожие на сайты настоящих банков, платежных систем, социальных сетей и т. д., где злоумышленники выуживают у доверчивых пользователей ценные личные данные – логины и пароли, номера кредиток, PIN-коды, доступы к различным платным сайтам и прочее. По сути, фишинг – это классическая разводка, искусство выдавать себя за того, кем не являешься. Он основывается на незнании пользователями элементарных вещей – в частности, того, что банки и различные сервисы никогда не рассылают писем с просьбами сообщить свои учетные данные. Фишинг особенно распространен в США, где высокий уровень законопослушности населения – если банк прислал запрос, то на него надо обязательно ответить.

– А для чего фишеры крадут доступы к аккаунтам в социальных сетях?

– Для заманивания новых лохов, конечно. Вероятность того, что участник социальной сети пройдет по присланной от имени друга ссылке, примерно в десять раз выше, чем если бы эта ссылка пришла к нему по электронной почте.

Для защиты от фишинга производители интернет-браузеров уже встраивают в них антифишинговую защиту, но проверка на фишинг увеличивает время загрузки страниц и многие юзеры ее просто отключают. Невнимательность и наивность по-прежнему остаются главной причиной любых проблем. Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то «потеряны» флешки. Нашедшие их сотрудники, недолго думая, засовывали устройства в рабочие компьютеры – видимо, хотели посмотреть, что на них записано. Вот так, без особых усилий во многие корпоративные сети проник «троян».

– Ну а какое отношение «пины» имеют к фишингу? – недоумевала моя адвокат.

– У многих фишеров скопились просто гигантские массивы карт и PIN-кодов. Заметьте, карт – но не дампов. Зато дампы были у нас, кардеров, и некоторые из баз насчитывали миллионы треков. Мне пришла логичная идея сравнить на соответствие базы карт с базами дампов. Сравнение происходило, понятное дело, по номеру карточки.

– Получилось?

– Еще бы. Процент совпадений не превышал 0,3 %, но, учитывая, что и у фишеров, и у кардеров на руках были миллионы карт, это стало для меня отличным заработком.

Также существует, но сегодня уже начинает «умирать», еще одна тема по получению «пинов». Услышал я о ней от американцев еще осенью 2003-го. Фишка заключалась в генерации дампа при наличии на руках только номера кредитки, срока ее действия и PIN-кода. Здесь вновь выручили фишеры – этого-то добра у них хватало. Самым сложным было написать рабочий дамп.

Любой дамп – а для банкомата достаточно только второй дорожки – содержит номер карты, срок действия, а также некий защитный трехзначный код. В системе VISA он носит название CVV (Card Verification Value), а у Mastercard – CVC (Card Validation Code). Возьмем, для примера, кредитный дамп Fleet Bank: 4 30550 0092327108=110210100 00529, CVV в данном случае 529.

Или любимый многими MBNA Bank: 4264294318344118=1201101000 0044500000, здесь CVV – 445.

Кстати, ввели этот защитный код в начале 1990-х после весьма занятной истории.

В 1990 году Королевский суд Винчестера в Англии осудил двоих преступников, использовавших простую, но эффективную схему. Они стояли в очередях к банкоматам, подсматривали PIN-коды клиентов, подбирали чеки, оставленные клиентами после завершения транзакции, и копировали номера карт с них на пластиковые заготовки с магнитной полосой. Таких людей называли трэшерами (от англ. trash – «мусор»). Эта уловка удавалась потому, что банки печатали на чеке номер кредитки клиента полностью (сейчас большая часть скрыта звездочками), и прекратили это делать лишь с 1993 года, после того как по телевидению и в СМИ журналисты опозорили эти банки, подняв шумиху вокруг таких вопиющих случаев халатности. Тогда же платежные системы и придумали коды CVV/CVC – чтобы полностью исключить возможность того, что злоумышленник создаст работоспособный дамп, если подсмотрит номер карты клиента.

Казалось бы, теперь подобной схеме мошенничества поставлен надежный заслон. Но нет – несмотря на имеющуюся возможность контроля и сегодня полно банков, которые ей пренебрегают. В основном этим грешат американские банки, но вычислить их можно только эмпирическим путем – ни один кардер не поделится подобной информацией. Из-за отключенной проверки CVV американские банки потеряли миллиарды долларов. Агентство Gartner подсчитало, что только за 2004 год американские финансовые институты потеряли из-за этой аферы около $2,75 млрд. И это только за один год! В 2004 году примерно половина американских банков не проверяли CVV при банковских транзакциях, а также транзакциях с использованием дебетных карт, требующих обязательного ввода PIN. Citibank, крупнейшая американская финансовая организация, пострадала сильнее всего. PINы стали святым Граалем для кардеров.