Kingpin. Глава 11. Дампы по $20 от Скрипта.

Весной 2001 года, в одном из ресторанов украинского портового города Одесса собрались сразу около 150 человек. Все они были русскоязычными киберпреступниками, и всех их объединяла общая цель –обсудить запуск революционного в своем роде веб-сайта. Из присутствующих хотелось отметить Романа Вегу, 37 лет от роду, который подпольно продавал кредитки через свою площадку BOA Factory, онлайн мошенника известного под ником «Король Артур», и человека, который впоследствии станет их лидером, украинского кардера, именовавшего себя Script.

           Съезд был вызван невиданным успехом британского сайта, созданного в 2000 году, под названием Counterfeit Library, который решил один из главных недостатков ведения криминального бизнеса в IRC чатах. Дело в том, что как так только чат закрывался, огромное количество ценной информации от опытных пользователей просто исчезало. Основанная горсткой западных хакеров, Counterfeit Library хранила большое количество туториалов на абсолютно разные темы, а также, имела свой форум, где юзеры имели возможность обмениваться советами, покупать или продавать «новые» удостоверения личности. «Новые» – эвфемизм, искаженный в том же духе, что и проститутки ходят на «свидания».

           Counterfeit Library больше напоминала электронную доску объявлений довебовского времени, чем IRC. Участники могли публиковать свои сообщения в тематических обсуждениях, имели ники и репутацию. Когда уголовники со всего земного шара обнаружили этот островок в темном эфемерном море андеграунд торговли, сайт резко начал расти, сначала до сотен, а потом и тысяч уникальных пользователей с Северной Америки и Европы. Они были хакерами, фишерами, спамерами, фальшивомонетчиками, кардерами, работавшие в своих домах и складах, слепые, до этого момента, когда их взору открылась сила и разнообразность тайного братства.     

           Кардеры из Восточной Европы не без зависти наблюдали за успехом Counterfeit Library. Теперь они собрались для того, чтобы взять все лучшее и создать свою собственную обитель киберпрестуников всех мастей.

           В июне 2001 года был объявлен результат одесского саммита: создание Международного Альянса Кардеров, или же просто Carderplanet.com, строго организованный, переосмысленный ресурс, который будет обслуживать все постсоветское пространство. В то время как Counterfeit Library была беспечным форумом, BOA Factory незамысловатым магазином, Carderplanet был жестко дисциплинированным онлайн-рынком, на подобии торговой биржи.

           Не стесняясь своих целей, сайт ввел иерархию по примеру итальянской мафии. Простой пользователь был «sgarrista» – солдатом без особых привилегий. На ступеньку выше был «giovane d`honore», который помогал модерировать чаты под надзором «capo». И на вершине этой пищевой цепочки находился «don», роль которого взял на себя Script.

           Все больше и больше русскоязычных пользователей стекались на новый сайт, дабы предложить свои услуги, или возможно, использовать чьи-то, список коих был крайне разнообразен и пополнялся с каждым днем. Номера кредиток, разумеется, были основным ходовым товаром, но только по началу. Вскоре появились продавцы, которые специализировались на продаже «фулл инфо» – номер карточки с именем ее владельца, адрес, номер социального страхования и девичья фамилия матери, стоило это около 30 баксов. Взломанные аккаунты eBay стоили порядка 20. Более амбициозные покупатели могли потратить 100 долларов чтобы «изменить счет» или COB (close of business), украденный счет кредитной карты, где адрес для выставления счета может быть изменен на почтовый ящик покупателя. Другие продавцы могли продать поддельные чеки и деньги, или арендовать дроп-адреса в Соединенных Штатах, куда без шумихи доставят купленные товары, а уже затем переправят их мошеннику.

           В предложениях также можно было найти физический пластик, например, чистые пластиковые карточки с магнитной полосой, или же новые, на то время, ИД карточки в комплекте с голограммами, которые продавались по цене от 75 до 150 долларов в зависимости от качества. За 500 долларов можно было купить сразу 10 ИД удостоверений личности с одной фотографией, но разными именами.

Зарегистрироваться на CarderPlanet.com мог абсолютно каждый, но, чтобы иметь возможность продавать свой товар или услуги, человеку нужно было пройти определенную инспекцию. Для новых продавцов иногда требовалось подтверждение от Скрипта или определенный залог в фонд чрезвычайных ситуаций, который использовался для выплат тем покупателям, которые не получали своего товара/услуги после оплаты. Продавцы обязаны были информировать администрацию о предстоящем отпуске, защищать личные данные покупателей от хакерских атак и отвечать на жалобы клиентов. «Рипперы», или попросту кидалы, банились как и любой другой продавец, который имел на своем счету 5 жалоб от клиентов.

Вскоре за CarderPlanet появился еще один схожий сайт, но рассчитанный на англоязычный мир – Shadowcrew. В сентябре 2002 года, после того как он стал свидетелем ошеломительного успеха регламентированной иерархии CarderPlanet, кардер под никнеймом Kidd привлек всю «тяжелую артиллерию» сайта Counterfeit Library с целью начать свой бизнес повторив успех русских ребят из CarderPlanet. Эта новость быстро распространилась через чаты IRC и тюремные дворы, и к апрелю 2003 года у Shadowcrew насчитывалось уже 4 тысячи зарегистрированных пользователей.

С девизом «Для тех, кто любит играть в тени», ShadowCrew был одновременно и домашним колледжем и онлайн супермаркетом, где не продавались разве что обнаженные фото Анджелины Джоли. А хотя… В тамошних учебных пособиях находились уроки о том, как использовать украденный номер кредитной карты, подделать водительские права, обойти охранную сигнализацию или приглушить выстрел оружия. Также имелась вики, которая отслеживала, какие государственные водительские права были поддельными. Надежные продавцы по всему миру могли предоставить головокружащий набор незаконных товаров и услуг: отчеты о кредитных операциях, взлом онлайн аккаунтов банков, имена, даты рождения и номера социальных страховок потенциальных жертв кражи личных данных.

Как и на Carderplanet, у каждого вида продукта имелись свои специалисты, а каждый новый продавец должен был пройти проверку доверенного участника сайта, прежде чем получить разрешение на продажу. Споры разрешались быстро и насколько это возможно, объективно. Администраторы и модераторы ресурса работали в режиме 24/7, чтобы предотвратить возможное наебалово и вовремя банить рипперов.

С течением времени, торговля вышла за пределы продажи данными, и на сайте начали появляться такие товары как скиммеры банкоматов, мануалы по приготовлению наркотиков в домашних условиях, и услуги вроде распределенных атак типа «отказ в обслуживании» или DDoS, стоимостью порядка 200 долларов, и кастомизация вредоносов для обхода антивирусов. Один из проверенных продавцов предлагал услугу по получению технических сертификатов в течении буквально нескольких дней. Поставщик под именем UBuyWeRush предлагал широкий ассортимент устройств для записи магнитных полос, а также мастхев вещей по типу чековой бумаги и картриджей с чернилами для подделки чеков.

Детская порнография была строго запрещена. А одного персонажа, который просил разрешения на продажу порно с животными засмеяло все комъюнити. Но почти все остальное на Shadowcrew было в рамках дозволенного.

К этому времени, CarderPlanet открыл несколько сабфорумов для преступников из Азии, Европы и Штатов, но именно Shadowcrew стал настоящим международным рынком: нечто среднее между Чикагской товарной биржей и таверной Мос Ейслей из Звездных войн, территория, где представители разных сфер криминала могли прийти, и обсудить свои дела. Хакер с Денвера, который занимался кражей личных данных, мог купить номера кредитки у такого же хакера с Москвы, отправить их в Шанхай для записи поддельных карт, затем получить поддельное водительское удостоверение у фальсификатора документов из Украины, и только потом сесть в авто, и попасть в торговый центр.

Макс поделился своим открытием с Крисом, и теперь они вместе восхищались, и думали, как они не наткнулись на эти сайты раньше. Крис быстро зарегистрировался на форумах и начал учиться по ним, будто по печатным учебникам, как в молодости. Он заметил, что некоторые вещи все же не претерпели особых изменений с тех пор, как он пробовал себя в кардинге в 1980-х. Но большинство преобразились до неузнаваемости.

Некогда было время, когда мошенники могли добывать номера кредиток буквально из мусора, или с отпечатков на барабанах печатающих машин. Сейчас же, механическая печать была мертва, Visa и MasterCard запретили печатать на чеках полные номера кредитных карт. Но даже если у вас и получиться заполучить тот самый номер, то и этого уже не будет достаточно для изготовления поддельной карты. Теперь банки добавляют на магнитную полосу специальной код, вроде ПИН-кода, но который неизвестен даже кардхолдеру.

Код проверки подлинности карты, или в простонародье CVV-код, это набор чисел, полученный путем извлечения их из других данных на магнитной полосе карты, то бишь главным образом из номера счета и даты истечения срока действия, а также из того самого секретного кода, который известен только банку-эмитенту. Когда карточка проводится через POS-терминал торговой точки (например, супермаркет), CVV-код вместе с другими данными карты отправляется в банк для верификации. В случае если данные не совпадают, транзакция отклоняется.

Когда CVV-код был впервые введен, сделала это к слову Visa в 1992 году, процент утраченных из-за кардинга денег от всех транзакций VISA уменьшился с 0.18% до 0.15% всего за один год. Эта технология также спасла немало денег в 2000-х когда особо популярными стали фишинговые атаки. Тогда спамеры отправляли тысячи электронных писем, направленных на то, чтобы доверчивые пользователи ввели номера своих кредитных карт на специально созданных фейковых страницах банков. Но без CVV-кода на магнитной полосе, – о котором потребители даже не знали, а поэтому и не могли никак его засветить, – эти украденные номера были бесполезны в реальных кассовых аппаратах. Никто не сможет войти в одно из казино Вегаса, пафосно передать карту, записанную в результате фишинговой атаки, и получить кучу черных фишек, чтобы поставить их в рулетке или блек-джеке.

MasterCard последовала примеру Visa и представила собственный Код Защиты Карты или CSC (Card Security Code). В ответ на это Visa в 1998 году выкатила CVV2, еще один код, который и сейчас печатается на обратной стороне карты, с помощью которого можно безопасно оплачивать покупки в интернете. Это еще больше сократило убытки от мошенничества и позволило преодолеть великую китайскую стену между кардингом в онлайне и оффлайне: аккаунты, похищенные через фишинговые сайты могли использоваться только в интернете, и наоборот, данные магнитных полос можно было использовать только оффлайн, так как у хакера не было CVV2-кода.

К 2002 году меры безопасности превратили необработанные данные магнитных полос в один из самых ценных товаров на нелегальном рынке и еще больше приблизили точку компромисса к потребителю.

Хакеры начали взламывать системы обработки транзакций для данных, но самым простым способом для незаурядного хакера украсть данные кредитки – это нанять такого же жадного к деньгам сотрудника ресторана и снабдить его карманным скиммером, устройством, считывающим магнитную полосу и имеющим встроенную память. Размером с зажигалку и будучи легко скрываемым в кармане фартука работника фаст-фуда или в пиджаке высококлассного метрдотеля, не важно, скиммер может хранить в памяти данные сотен карт, которые в последствии будут без особых затруднений считаны через USB порт. Все что нужно, это провести карточку клиента через устройство. 

В конце 90-х преступники начали разносить деньги по большим городам по всей территории Соединенных Штатов. Они подыскивали еще больше официантов и официанток, и колесили по городам предлагая небольшой заработок, обычно 10 баксов за один свайп картой. Несмотря на то, что это было рискованней, руководители АЗС и работники розничной торговли также могли принять участие и заиметь дополнительные деньги, требовалось всего лишь установить крошечные платы скиммера в переносные POS-терминалы и в терминалы точек продаж. Некоторые из этих данных будут использоваться локально, но большая их часть отправлялась в Восточную Европу, где дампы продавались онлайн по десять, сто или даже тысячами одновременно.

Немного осветим ранее звучавшее кардерское понятие – «дампы». Каждый дамп содержит всего две строки текста, по одной на каждую дорожку на магнитной полосе карты длиной 3 дюйма.

Дорожка 1: B4267841463924615^SMITH/

JEFFREY^04101012735200521000000

Дорожка 2: 4267841463924615=041010127352521

Дамп стоил порядка 20 долларов за стандартную карту, 50 долларов за золотую, и 80-100 долларов за корпоративную карту с высоким лимитом.

Крис решил опять взяться за кардинг. Он сразу понял, что Script, крестный отец CarderPlanet, был одним из наиболее надежных источников дампов в мире. Он заплатил украинцу 800 долларов за пак из двадцати карт Visa Classic, и еще 500 отдал за всеми любимый энкодер пластиковых магнитных карт MSR206.

После того, как MSR206, размером с коробку с под обуви, был подключен к его компьютеру и было установлено требуемое программное обеспечение, Крис мог взять анонимную подарочную карту Visa или одну из своих кредитных карт и записать на нее один из дампов Script`а всего-то два раза проведя через устройство.

С перезаписанной картой, которая буквально прожигала дыру в его кармане, Крис осмотрел местный магазинчик с кино и видеоиграми Blockbuster, и еще парочку магазинов в своем районе, присматриваясь. Простая покупка с чужих карт может и самый дешевый и легкий способ мошенничества с картами, но и он имеет свои ограничения. Прогулявшись по разным шопам, Крис сделал заключение: покупать электронику или дорогую одежду дело не из простых. В престижных магазинах есть свои определенные меры предосторожности. Например, последние 4 цифры номера карты вводит кассир, и в случае, если они не совпадут, терминал не примет карту, или еще чего хуже. Перезаписанная карта была хороша только в тех местах, где сотрудники никогда возлагали рук на пластик, например, заправки или аптеки.

Крис двинул в супермаркет неподалеку его дома. Он без разбора доверху загрузил свою тележку, подошел к кассе и… момент истины… через мгновение на дисплее кассового аппарата мелькнуло «одобрено», и где-то в Америке, ничего не подозревающий гражданин только что заплатил 400 баксов за продукты.

Крис отдал все незаконно полученные продукты одной знакомой паре из Оранж Кантри, у которых с деньгами сейчас было плохо, а затем отвел мужа, – строителя, у которого недавно украли инструменты, – в местный Walmart, и расплатился за его новое строительное оборудование своей картой. Распространилась информация, что у Криса появилось несколько кредиток, и он раздал перезаписанный пластик нескольким друзьям, которые никогда не забывали сделать для Криса парочку небольших покупок в качестве «спасибо».

Он отчетливо увидел очертания нового бизнес-плана в своем, циркулирующем между друзей, пластике.

«Бросай все, Макс», – говорил он, – «Настоящие бабки, вот они, в дампах».