Как я украл миллион. Исповедь раскаявшегося кардера.
Шрифт:
Или любимый многими MBNA Bank: 4 26429 43183 44118=12011 01000 00445 00000, здесь CVV — 445.
Кстати, ввели этот защитный код в начале 1990-х после весьма занятной истории.
В 1990 году Королевский суд Винчестера в Англии осудил двоих преступников, использовавших простую, но эффективную схему. Они стояли в очередях к банкоматам, подсматривали PIN-коды клиентов, подбирали чеки, оставленные клиентами после завершения транзакции, и копировали номера карт с них на пластиковые заготовки с магнитной полосой. Таких людей называли трэшерами (от англ. trash — «мусор»). Эта уловка удавалась потому, что банки печатали на чеке номер кредитки клиента полностью (сейчас большая часть скрыта звездочками), и прекратили это делать лишь с 1993 года, после того как по телевидению и в СМИ
Казалось бы, теперь подобной схеме мошенничества поставлен надежный заслон. Но нет — несмотря на имеющуюся возможность контроля и сегодня полно банков, которые ей пренебрегают. В основном этим грешат американские банки, но вычислить их можно только эмпирическим путем — ни один кардер не поделится подобной информацией. Из-за отключенной проверки CVV американские банки потеряли миллиарды долларов. Агентство Gartner подсчитало, что только за 2004 год американские финансовые институты потеряли из-за этой аферы около $2,75 млрд. И это только за один год! В 2004 году примерно половина американских банков не проверяли CVV при банковских транзакциях, а также транзакциях с использованием дебетных карт, требующих обязательного ввода PIN. Citibank, крупнейшая американская финансовая организация, пострадала сильнее всего. PIN-ы стали святым граалем для кардеров.
— Но все эти способы слишком сложны для обычного человека…
— На каждого мудреца довольно простоты — несмотря на многочисленные предупреждения, многие держатели карт записывают PIN-коды прямо на карточках. В случае утери или кражи в руках вора окажется и карточка, и PIN. Я еще понимаю американцев — у них в среднем около семи карт на душу населения, но наши-то… Если уж и записываете PIN на карте, то делайте это так, чтобы никто не понял, что это он, — запишите его под видом номера телефона, например, где первые или последние цифры номера и будут PIN-кодом. Да, и еще одно: номер службы поддержки банка записан на оборотной стороне карточки. Перепишите его куда-нибудь в мобильник, так как, если карту украдут, начнутся беспорядочные метания в поисках нужного телефонного номера, а этого времени может быть достаточно, чтобы мошенник увел ваши деньги.
И последнее: по правилам платежных систем операции по карте, которые были произведены с вводом PIN-кода, опротестовать невозможно. Когда вы получаете карту, то подписываете документ, где указывается, что вы получили конверт с PIN-кодом. Там написано, что вся ответственность за сохранность этого номера лежит полностью на клиенте. И если клиент этот номер «провтыкал» — это его проблемы. Банк имеет полное право отказать в рассмотрении жалобы о краже денег и будет совершенно прав. Поэтому не сообщайте никому свой PIN-код, равно как и карточку в чужие руки не давайте.
Следующие методы получения PIN-кодов подразумевают определенные физические действия с банкоматом. Для первой аферы нужны ровные руки и суперклей. Заклеиваешь на банкомате клавиши «Ввод», «Очистить», «Отмена» и устраиваешь засаду. Приходит жертва, засовывает карту в щель банкомата, набирает PIN-код, после чего обнаруживает, что нужные клавиши не работают, и уходит — например, в отделение банка за помощью. Тут жулики выскакивают из засады и снимают с карты деньги с помощью тачскрина (почему-то кардхолдеры забывают, что все функции управления продублированы на экране банкомата).
Встречаются также фальшивые платежные терминалы, «посы» и даже банкоматы, которые эмулируют настоящие, но запрограммированы только на сбор дампов и PIN-кодов. Нападения этого вида были впервые описаны в США еще в 1988 году. Мошенники построили машину, которая принимала любую карточку и выдавала пачку сигарет. Данное изобретение было размещено в магазине, а PIN-коды и дампы передавались посредством модема. Трюк распространился по всему миру.
Еще одним источником проблем для банков являются тестовые транзакции. Для одного типа банкоматов использовалась 14-значная
По своей сути любой банкомат или POS-терминал — это тот же ком-POS-терминал-терминал — это тот же ком- это тот же компьютер. И если «посы» работают на собственных «операционках» типа Unicapt или Telium, то банкоматы работают под управлением Windows, а значит, их можно успешно заразить вирусом. Правда, в большинстве своем сети банкоматов не подключены к Интернету, и единственный способ инфицировать банкомат — это снять с него крышку и подключить к специальному разъему ноутбук с заранее сконфигурированным программным обеспечением. Как раз недавно группа украинских кардеров разработала вирус, после установки которого в банкомат можно снять все имеющиеся там деньги с помощью специальной карточки доступа. Помимо этого, вирус позволяет ввести на клавиатуре банкомата определенный код и получить распечатку всех дампов и PIN-кодов, прошедших через зараженный аппарат.
— А разве банкоматы не оборудованы видеокамерами, которые заснимут подозрительные манипуляции с открыванием крышки банкомата и т. п.? — задала резонный вопрос Галина Аркадьевна.
— В каждом втором белорусском банкомате видеокамеры отсутствуют. Я и говорю — страна непуганых идиотов…
Есть еще такой способ получения PIN-кодов, как траппинг (от англ. trap — «ловушка»). Ты подходишь к банкомату, вставляешь карту, вводишь свой PIN и… ничего. Тут к тебе подходит незнакомец и спрашивает, в чем дело, банкомат, что ли, не работает? Ты пытаешься объяснить и вводишь PIN-код у него на глазах. Естественно, опять ничего не происходит. Деньги не снять, карту тоже не достать — она застряла. Разозленный, ты идешь ругаться в отделение банка. Тем временем незнакомец быстро дергает за кусочек тонкой фотопленки, которая была внутри приемника для карты и мешала считать информацию, и вытаскивает ее вместе с твоей картой — а PIN он уже подсмотрел. Чтобы избежать этого, пользуйтесь простыми правилами: не давайте никому подходить к банкомату в то время, пока им пользуетесь вы, и не слушайте ничьих советов. Проблемы с картой решайте, не отходя от банкомата, если что — звоните в службу поддержки своего банка или банка, установившего банкомат. Вводя IN-код, прикрывайте клавиатуру свободной рукой. Правда, все эти меры предосторожности не помогут, если мы имеем дело со скиммингом.
— ?..
— Скимминг (от англ. skim — «снимать») — один из самых ненавидимых банкирами всего мира видов кардинга. Скиммер — это незаметное, толщиной всего в несколько миллиметров, устройство, которое вставляется в прорезь для карты и выглядит как обычный считыватель карты, поэтому неискушенному человеку его заметить крайне сложно. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним установлен хорошо замаскированный скиммер, считывающий дамп карты и сохраняющий его во встроенную флеш-память. Существуют и более сложные модели скиммеров со встроенным GPRS-модемом, отсылающие данные по SMS или вообще на «мыло» кардеру. Стоимость подобных устройств на рынке начинается от $8 тыс.
— Постой, а как же PIN-код? Скиммер ведь копирует только дамп…
— Съем PIN-кода в данном случае — тоже искусство. В ход идут замаскированные видеокамеры или даже муляжи клавиатуры, накладываемые поверх настоящей. «Не устанавливайте скиммер в утреннее время, поскольку прохожие более бдительны в это время. Не выбирайте банкомат, через который проходит больше 250 клиентов в день. Избегайте городов с населением меньше 15 тыс. жителей — местные отлично знают, как выглядят их банкоматы, и могут заметить ваш скиммер», — гласила инструкция, прилагающаяся к скиммерам, продающимся на одном из кардерских сайтов.