Мошенничество с кредитными картами

Как известно, пластиковая карта состоит из куска пластика с нанесенными на него изображением, голограммой, полосой подписи и магнитной ленты (а сейчас все чаще и чипом). Нанесенное на пластик изображение, голограмма и полоса подписи служат для визуального контроля того, является ли карта поддельной либо нет. Но необходимо помнить о том, что карту в момент оплаты физически видит лишь продавец, ее принимающий. Банки же физически карту не видят и поэтому по ее внешнему виду не могут определить, является ли она поддельной или нет.

Магнитная полоса и чип являются хранилищем набора цифр и знаков, являющегося своеобразным «ключом от квартиры, где деньги лежат». Этот набор цифр и знаков, записанный на магнитной полосе часто называют «дампом», поэтом в статье я буду употреблять именно это название. Дамп состоит из нескольких дорожек (как правило, двух).

На первой дорожке обычно хранится информация, которая используется для печати чека, выдаваемого при покупке (имя держателя карты, номер карты, срок окончания срока ее действия) а также частично дублируется служебная информация со второй дорожки.

Вторая дорожка имени не содержит и, собственно, и является тем самым «ключом» от пресловутой квартиры, который при каждой транзакции передается в банк, где у держателя карты открыт счет. На второй дорожке содержится номер карты, срок истечения ее действия, а также служебная информация, в том числе и трехзначный CVV – card verification value (у Мастеркарда он называется CVC — card verification code). Эти же значения иногда называют CVV1/CVC1.  Данное значение получается путем сложного шифрования некоторых данных карты и служит для проверки банком того, подлинным ли является дамп либо он сгенерен злоумышленником, которому стал известен номер карты и срок окончания ее действия.

Кстати: те, кто оплачивал покупки своей картой в интернете, сталкивались с CVV2 и CVC2, которые напечатаны на полосе подписи. Эти данные не являются тем же, что и CVV/CVC, хотя и имеют схожее название.

То же самое и с чипом – те же две (как правило) дорожки, та же структура дампа и те же проблемы, что и у магнитной полосы, несмотря на все заверения платежных систем в абсолютной безопасности чипа. Правда, чиповые карты не будут затрагиваться в данной статье.

Во время проведения транзакции терминал, установленный в магазине (либо банкомат), считывает вторую дорожку дампа, добавляет данные о транзакции, и отправляет ее в процессинговый центр того банка, который обслуживает этот магазин (банкомат). Далее процессинговый передает эту информацию в процессинговый центр соответствующей МПС, откуда информация ретранслируется в процессинговый центр банка, выдавшего карту. Здесь запрос обрабатывается и выдается ответ – можно ли магазину выдать товар (то есть будут ли ему перечислены деньги за покупку) или нет. При этом на счету держателя карты блокируется сумма, на который пришел запрос (это, конечно, в случае выдачи положительного ответа). Этот ответ возвращается магазину тем же путем, которым шел запрос.

Как известно, средства обороны и нападения развиваются друг за другом. Когда-то самым мощным оружием были стрелы и меч. В ответ были придуманы доспехи. Но люди придумали огнестрельное оружие и доспехи стали бесполезны. Зато другие люди придумали обшивать средства передвижения стальными щитами, которые обычные пули пробить не могли. В ответ появились снаряды, а в ответ на них – более эффективная броня, которую эти снаряды не могли пробить, и так далее… Та же самая гонка вооружений происходит и в области защиты денежных средств/методов изъятия этих же средств.

Кредитные карты появились и получили свое распространение в 50-х годах прошлого века. Тогда они представляли собой кусок пластика с нанесенным изображением, на которых были выдавлены номер карты, срок окончания ее действия и имя держателя карты. Никакой магнитной полосы не было, а транзакции производились на импринтерах, которые представляли собой ручной пресс, которым проводили по карте для того, чтобы выдавленная информация отпечаталась через копирку на квитанции.

После проведения транзакции торговые точки выдавали покупателю товар, а свои копии квитанций складывали в стопочку, чтобы в конце дня отнести накопившиеся за день квитанции в банк. Вполне естественно, что долго такой безалаберный подход к деньгам безнаказанно продолжаться не мог, и злоумышленники стали подделывать краденные/утерянные карточки, которые клиенты заблокировали, просто срезая выдавленные символы номера карты и наклеивая другие – ведь проверить, существует ли вообще карта с таким номером, торговцы попросту не могли.

Убытки от мошенничества неумолимо росли и МПС ввели, как рекламировалось в то время, суперзащищенную технологию – стали наклеивать на карты магнитную полосу, на которой были записаны только те данные, которые были выдавлены на карте. Торговцев оснастили электронными терминалами, способными читать эту полосу и передавать ее в банк для получения информации о том, существует ли такой номер карты и есть ли на нем деньги.

Злоумышленники при тогдашнем развитии доступных технологий (на свободном рынке отсутствовали необходимые для создания устройств чтения/записи магнитной полосы карты микросхемы) эту систему обойти не могли и мошенничество с картами на некоторое время происходило лишь на торговых точках, которые еще работали по старинке, с импринтерами. Тогда же появились и банкоматы, которые прежде не

 могли возникнуть из-за отсутствия возможности авторизовать карту в режиме реального времени, и пин-коды к картам. 

В конце 80-х годов Великобританию захлестнула волна мошеннических снятий наличности с карт в банкоматах. При этом обманутые владельцы денежных средств своих карт не теряли и возмущенно демонстрировали их банкам при выяснении вопроса куда же делись деньги. Банки поначалу грешили на своих клиентов – кого подозревали в мошенничестве, кого в том, что те снимали деньги, будучи навеселе, и просто забыли о том, что снимали деньги, кому советовали присмотреть за детьми, которые могли получить доступ к карте с пин-кодом и снять тайком от родителей деньги. Однако обманутых клиентов приходило все больше и больше, к делу подключилась пресса, и банки признали, что таинственные злоумышленники каким-то образом получают дубликаты карт и узнают пин-коды к ним.

Скотланд-Ярд потратил почти 2 года на то, чтобы вычислить злоумышленников, но поймали их случайно – парень и девушка, входившие в преступную группу, поссорились, девушка принялась заливать свое горе алкоголем в клубах, в процессе утешения у нее произошла драка с другой посетительницей клуба, и ее забрали в полицию, где обнаружилось, что дамская сумочка набита белым пластиком. Детективы надавили на пьяную девушку, и она раскололась. Технология мошенничества оказалась проста: преступники вооружились фотоаппаратами с мощными объективами и не менее мощными биноклями, снимали квартиры в домах, расположенных напротив банкоматов с высоким уровнем посещения, и фотографировали карту в тот момент, когда клиенты вставляли в банкомат свои карты; второй злоумышленник в бинокль смотрел какой пин-код набирает клиент.

В конце 80-х годов прошлого века уровень развития микроэлектроники уже достиг того уровня, когда любой желающий мог из имеющихся в свободной продаже деталей собрать устройство, способное записывать необходимую информацию на магнитную полосу кредитных карт, а на магнитную полосу карт нужно было нанести только ту информацию, которая была выдавлена на карте, поэтому когда фотография карты была в руках у злоумышленников, а пин-код к этой карте был записан, ничего не препятствовало тому, чтобы изготовить на обычной болванке с магнитной полосой полноценный клон карты, с помощью которого можно снять деньги с банкомата.

После этого случая МПС (международные платежные системы — Прим.Ред.) ввели требование расширить служебную информацию на магнитной полосе карт с тем, чтобы злоумышленники, даже имея фотографию карты, по нанесенным на карту данным не могли сгенерировать работающую магнитную полосу. Так появился CVV (CVV) код, который нигде, кроме магнитной полосы, не был записан, и который можно было проверить при прохождении транзакции путем шифрования определенных данных карты с помощью ключа, хранящегося в банке, и сравнения получившегося значения с пришедшим CVC (CVV) кодом дампа. Не имея физического доступа к магнитной полосе карты, чтобы считать ее, злоумышленники теперь не могли изготовить клон карты. К тому же несколько ранее были введены голограммы на картах. На некоторое время кривая мошенничества с пластиковыми картами пошла вниз…

Однако довольно скоро, уже с начала-середины 90-х годов прошлого века, преступники освоили подделку голограмм, а также поставили на поток производство портативных приборов размером с пейджер, проведя через который картой, можно скопировать ее магнитную полосу. Такой прибор называется скиммер, а способ получения дампов с помощью них – скиммингом. Преступники стали снабжать скиммерами официантов, работников автозаправочных станций, продавцов магазинов – всех, кто имел доступ к обслуживанию клиентов и их карт. 

МПС довольно быстро научились вычислять людей, скиммящих карточки в торговых точках, путем анализа статистических данных. По всем случаям мошенничества проводится анализ на предмет того, где каждая жертва скимминга расплачивалась своей картой. В случае многочисленных совпадений проведенных транзакций у разных клиентов в одной и той же торговой точке, можно с большой долей уверенности утверждать, что скиммер работает именно там.

Дальше уже дело полиции. Однако следует отметить, что подобные методы борьбы позволяют выявить злоумышленника после совершения им преступления, но не помогают предотвратить мошенничество с картами, поэтому скимминг до сих пор остается довольно значительной проблемой для МПС, поскольку всегда находятся люди, считающие, что их «пронесет» и они останутся безнаказанными. Что же – логическое мышление развито не у всех; кроме того, сложно требовать от официанток или работников автозаправочных станций знаний того, как легко их могут вычислить специалисты служб безопасности МПС.

В США до сих пор традиционно развит способ добывания дампов с помощью скимминга. Это достаточно легко понять: преступник, живущий в США и решивший заняться мошенничеством с кредитными картами, вырос в этой стране, за время его жизни у него появилось множество приятелей – ребята, с кем он в детстве играл в бейсбол или баскетбол на улицах, школьные друзья, приятели из колледжа, бывшие и нынешние герл-френды…

Видя, что кто-то из них нуждается в деньгах и готов пойти ради этого на «небольшое правонарушение», преступник вручает такому человеку скиммер и убеждает, что, если делать все чисто, то никто ничего никогда не узнает. Полученные дампы такой «друг скиммера» обычно перепродает. Естественно, что стоимость таких дампов для преступника, непосредственно использующего поддельные карты, высока – ведь, помимо того, что в цепочке, как правило, несколько посредников, и скиммер, и «друг скиммера» хотят получить свою «премию за риск».

Стоимость дампов, полученных от скиммеров, в США начинается от 200 долларов. В Европе скиммнутые дампы стоят 300-500 евро – там этим бизнесом занимаются, как правило, турецкие, сербские и албанские преступные группировки, хотя в последнее время к ним подтянулись и румыны. Но с распространением интернета в России о том, что с помощью кредитных карточек можно скрыто похищать деньги, узнали и в странах бывшего Советского Союза (в дальнем зарубежье всех выходцев из стран бывшего СССР называют «русскими», поэтому и мы не будем отходить от этого «общепринятого правила» и не будем разделять наших бывших и нынешних соотечественников на украинцев, белорусов, евреев, татар и т.д.).

Поскольку к моменту появления интернета кредитные карточки в странах бывшего СССР принимались фактически только в магазинах «Березка» и отелях «Интурист», то мошенничество с так называемым «реальным пластиком» — то есть с физическими клонами магнитных карт – было просто невозможным. Кроме того, бурное развитие электронной торговли в интернете и ее практически абсолютная незащищенность в то время, позволяло зарабатывать деньги гораздо более легкими способами.

Русскими взламывались слабо защищенные интернет-магазины, сохранявшие карты у себя на сервере в незашифрованном виде, и полученные карточки использовались в других магазинах, чтобы заказывать товары. Естественно, заказывались наиболее ликвидные здесь товары – только появившиеся и ставшие показателями высокого статуса ноутбуки, материнские платы, память, жесткие диски и т.д. В буквальном смысле вагонами эта продукция потекла в бывший СССР. Магазины слали товары без всякой проверки и на любые адреса, а кардеры пользовались этим и зачастую заказывали товары на свои домашние адреса. Особенно отличались своими объемами заказов в области так называемого «вещевого кардинга» белорусы.

Во второй половине 90-х годов Минск был в буквальном смысле завален комплектующими для компьютеров, предложение превышало спрос в десятки раз, поэтому традиционно избыток товара потек на самый большой рынок сбыта в бывшем СССР – в Москву. Но товара было столько (и каждый день прибывали новые партии), что и Москва не могла переварить его полностью. Цены на комплектующие упали настолько, что были значительно ниже отпускных цен заводов-производителей для самых крупных дистрибьюторов.

Кстати, следует признать, что деятельность «вещевиков» внесла весомый вклад в ликвидацию отставания стран бывшего СССР от Запада в области информационных технологий, поскольку резко снизившиеся из-за кардеров цены на компьютеры позволили быстро компьютеризироваться значительной части нищего тогда населения. Такую же роль в преодолении цифрового неравенства между странами бывшего СССР и Запада сыграли и пираты, выпускавшие дешевое и доступное каждому современнейшее программное обеспечение, однако это уже тема другой статьи. Такая ситуация, естественно, долго продолжаться не могла. Один за другим интернет-магазины вводили в свои правила запрет на отсылку товаров в страны бывшего Союза, запрещали транзакции с IP-адресов российских, украинских, белорусских и т.д. провайдеров…

Согласно правилам МПС риски мошеннических операций при приеме карт в интернете несли магазины и вполне понятно, что последним легче было запретить отсылку товаров в целые страны, нежели пытаться отфильтровать столь мощный поток мошеннических транзакций. Но «русские», «почувствовав свежую кровь», не собирались останавливаться, тем более перед таким пустяковым препятствием. В ход пошли размещения объявлений на сайтах, предлагающих работу, в которых людям предлагался хороший заработок при надомной работе на «одну из ведущих посылторговых компаний».

Работа в общем-то была пустяковая – необходимо было принимать посылки и отсылать их на указанный работодателем адрес. Множество безработных (они там тоже пользуются интернетом), а также просто любителей получать деньги не особо напрягаясь, откликнулось на эти объявления. Такие люди, на которых посылался украденный с помощью мошеннического использования карт товар, на жаргоне лиц, занимающихся мошенничеством с расчетными картами (кардеров) называются  «дропами», или «мулами».

Посылки из интернет-магазинов все также продолжали приходить в бывший СССР, только чуть более долгим путем. МПС в ответ ввели дополнительное средство верификации онлайновых покупок – на полосе подписи стали печатать трехзначный CVV2 (у Мастеркарда – CVC2) код. Этот код генерируется с помощью ключа, хранящегося в банке, из некоторых данных карты способом, аналогичным генерации CVV (CVC) коду, только данные карты, которые берутся для генерации, несколько другие. Теперь для покупки в интернет-магазине помимо номера карты, имени покупателя и срока истечения действия карты необходимо было ввести этот код. МПС предполагали, что только лишь владелец карты может посмотреть на полосу подписи и прочитать этот код. Данная мера, конечно, отсекла часть мошенничеств, которые совершались людьми, которые рылись в мусорных баках около магазинов, выискивая выброшенные чеки, на которых были напечатаны номер карты, срок истечения ее действия и имя владельца, но на бизнесе русских это никак не сказалось. Поскольку, во-первых, «русские» и ранее не имели возможности порыться в мусорных ящиках около американских магазинов, а, во-вторых, даже если бы они и имели возможность это делать, то наверняка не делали бы из-за лени (да и на мой взгляд: не сильно гигиенично это – рыться в мусорных ящиках…).

«Русские» пошли другим путем, более логичным: если раньше они получали базы данных карт путем взлома интернет-магазинов, но там вводили карты без CVV2/CVC2 кода, то теперь ведь эти же самые магазины стали требовать этот код. В чем же разница?! «Русские» подождали пару месяцев, полезли в те же самые дырки в «своих» интернет-магазинах, и взяли оттуда базы карт, но уже с требуемым CVV2/CVC2 кодом. Удивительно,почему МПС не просчитали источник карт для самого опасного для них, русского направления! Неужели они всерьез полагали, что карты пересылают злоумышленникам их знакомые-эмигранты, которые все свое свободное время копаются в мусорках? Ведь если бы сотрудники МПС провели анализ того, откуда «русские» берут карты, то они бы поняли, что ввод CVV2/CVC2 кода никак не повлияет на уровень мошенничества в сети. Скорее всего, это связано с банальной неспособностью МПС предложить эффективное решение проблемы. Кстати, следует заметить, что и сейчас сотрудники МПС удивительным образом игнорируют очевидные вещи, связанные с «русскими» кардерами – это будет показано ниже. Ну ладно, спишем это на особенности американского менталитета и их хроническую неспособность понять загадочную русскую душу…

Практически одновременно с введением CVV2/CVC2 стандартом в электронной торговле наиболее развитых в области электронной коммерции стран (прежде всего в США) де-факто стала проверка транзакции с помощью AVS (Address Verification Service – система проверки адреса, которая сопоставляла биллинговый адрес, то есть адрес клиента для доставки ему выписок по карточному счету, хранящийся в банке, выпустившем карту, с адресом доставки товара, который был указан при совершении транзакции в электронном магазине; если адреса не совпадали, для электронного магазина это было сигналом того, что транзакция имеет повышенный риск). Эта мера также не помогла, поскольку кардеры научились менять в банке биллинговый адрес на адрес «дропа», на которого они посылали «скарженный» товар. Этот способ, как уже, наверное догадались уважаемые читатели, также разработали «русские» кардеры.

Та же участь постигла и широко рекламируемую и поныне как панацею от онлайнового мошенничества с картами систему Verified by Visa (VbV) и MasterCard Secure Code (MSC) – «русские» приспособились к новым правилам безопасности ранее, чем они получили широкое распространение в электронной торговле. Способы смены биллингового адреса в банках, выпустивших карты и кодов VbV и MSC оригинальны и эксплуатируют фундаментальные уязвимости карт МПС – то есть не какие-то технические ошибки реализации этих систем, а то, что карты МПС являются не подлежащим полной модернизации продуктом середины прошлого века и попытки сделать безопасным процесс оплаты ими в интернете похож на оснащение телеги образца начала прошлого столетия реактивным двигателем. Однако описание способов современного онлайнового мошенничества с картами выходит за тему данной статьи и будет рассмотрен в других статьях.

Тем не менее процесс совершения покупок в интернете с помощью краденых кредитных карт стал все-таки более затрудненным, чем ранее. Если раньше новообращенный кардер мог почитать 2-3 недели форумы кардерской тематики и начать успешно заказывать товар в электронных магазинах, то теперь для этого ему приходится получать более серьезное «образование». Та же участь постигла и способы мошенничества с онлайновыми платежными системами, использующими в качестве средства пополнения счета кредитные карты. Одновременно в России и других странах СНГ появилось достаточно большое количество кредитных и расчетных карт МПС, а также мест, принимающих эти карты в виде оплаты за товары либо услуги. И поскольку «русские» кардеры, пока легко «кардились»электронные магазины и онлайновые платежные системы, практически не обращали внимания на мошенничество с реальными пластиковыми картами, карты МПС в своем «пластиковом» виде чувствовали себя на просторах бывшего Советского Союза в относительной безопасности.

Однако уже в 2002 году ситуация изменилась и мошенничество с «реальным пластиком» стало модным в кардерской среде.

Рассветало. Очередная ночь пролетела за чтением кардерских форумов. «Да… Хорошая вещь, конечно, кредитные карты, — подумал Вася, — много бабла срубить можно. Использовать их, конечно, в родном Нерчинске негде, Сибирь все-таки, глухомань, но вон скольким людям нужны дампы – можно же ими торговать… Только где же их взять???»

Вася почесал затылок и загрустил… «Хорошо американцам, у них куча знакомых в Америке, одноклассники, дворовые друзья, однокурсники из колледжа, коллеги по прежней работе, герл-френды бывшие и настоящие, наконец. Вон Ленка, продавщица из минимаркета через дорогу, тоже наверняка согласилась бы дампы скиммить, но какие нафиг дампы в Нерчинске? А деньги так нужны… Даже за интернет в следующем месяце нечем заплатить…»

Вы думаете, что Вася отказался от сладкой мысли о незаконных заработках от торговли дампами??? Да??? «Так поезжайте и спросите!!!», как говаривал незабвенный Паниковский (упокой Господи его душу). Да-да! Поезжайте и спросите!.. Поезжайте к Задорнову и спросите, верит ли он в то, что Вася из сибирской глубинки отказался от мысли торговать дампами только лишь потому, что у него нет ни одного знакомого в Америке, он не знает английского языка (и не проявляет желания его выучить) и что в Нерчинске нет кредитных карт и ни одного POS-терминала или банкомата!

Задорнов,как истинный знаток русской души и неоднократно описывающий парадоксальную и одновременно гениальную русскую «соображалку», ни за что не поверит в это! Все это мелочи, если наш Вася действительно загорелся какой-то идеей! Мыслительный процесс у Васи пошел следующим путем, подкрепленный знаниями о процессинге кредитных карт, полученных на carderplanet.com, bankir.ru и других полезных сайтах на просторах Рунета (ведь по-английски наш Вася практически ни бум-бум…): «Где вообще водятся дампы? На магнитной полосе карты – раз. Этот вариант отпадает, поскольку знакомых в Америке нету… Жаль…

В POS-терминале или банкомате – два. Но они не сохраняют информацию (кроме POS-терминалов, соединенных с компьютерами в отелях и в пунктах проката автомобилей, поскольку и тем, и другим, может потребоваться дополнительное списание денег с карты за повреждение на

арендованном автомобиле или за выпитый мини-бар, например… – но Вася-то недавно приобщился к волшебному миру кредитных карт и таких нюансов пока не знает). В процессинговом центре, который обслуживает упомянутые ранее POS-терминалы и банкоматы… О!!!

Давай-ка запустим несколько эксплоитов по сеткам IP-адресов, принадлежащих процессинговым центрам, которые удалось разыскать!.. Вот она, наша «дырочка»…

Срочно идем к Пете, у него папа крутой, три самых крутых ларька в Нерчинске держит, у него выделенка есть, побыстрее, чем мой диалап будет, а базу данных тяжело на диалапе тащить… Лишь бы в ней дампы были… Ого – да там не просто дампы, а ТРИ МИЛЛИОНА ШТУК ДАМПОВ!!! Ура!!! Пин-коды, правда, не хранятся там в открытом виде – только их хэши (зашифрованные значения, поскольку даже сам банк, выпустивший карту, не знает пин-кода карты, а имеет только хэш пин-кода, который сравнивает с хэшем, пришедшим с банкоматной транзакции). Аккуратненько удалим все следы нашего пребывания, заделаем нашу «дырочку», она еще пригодится – через месяц надо будет за обновлением базы зайти…»

Если читатель считает, что автор выдумал эту историю, то он глубоко заблуждается. Конечно, процесс попадания многомиллионной базы дампов из недр американских процессинговых центров на винчестер Васи значительно упрощен и описан схематично, да и Вася не один такой умный, но поверьте – дело происходило и происходит именно так.

Вася начал торговать дампами, купил себе навороченную тачку, заматерел. Но вот вопрос: кому нужны 3 миллиона дампов? Это сколько же кардеров должны бегать по магазинам с поддельными картами, чтобы использовать такое количество дампов? Может, расширить круг клиентов? Попробуем… Будем мыслить логически: где чаще всего используют американские дампы? Ответ один: в Америке…

Еще в начале 2002 года американские и «русские» кардерские сообщества жили изолированно друг от друга и многие кардеры даже не задумывались о том, есть ли у них коллеги по ту сторону океана. Однако значительный переизбыток американских дампов, номеров кредитных карт для использования их в интернете, а также потребность в вербовке все большего количества дропов подтолкнула сначала отдельных «русских» кардеров, а затем и остальных, к поиску зарубежных форумов кардерской тематики и размещению там своих коммерческих предложений. Помните сколько стоит на американском рынке дамп, добытый с помощью скимминга? Я об этом писал выше, но повторюсь: ОТ ДВУХСОТ ДОЛЛАРОВ США ЗА ОДНУ ШТУКУ.

А когда на американские кардерские форумы вышли «русские» Васи со своими дампами, то цены на дампы при покупке относительно небольшой партии в несколько десятков штук упали до СЕМИ ДОЛЛАРОВ США ЗА ОДНУ ШТУКУ! Американцы долго не могли поверить, что эти «fucking Russians» действительно продают дампы по такой цене, а не пытаются их «кинуть». Что поделать – действуют законы рынка.

Все-таки и у нас, и у них капитализм… Спрос гораздо ниже гигантского предложения «русских» дампоторговцев, поэтому и цены такие… Дальше цену опускать «совесть не позволяет, да и жаба задушит», кроме того, дампоторговцы тратят свое время на сидение в аське, обеспечивают «support» покупателей, заменяя несработавшие по каким-то причинам дампы. В итоге «русские» монополизировали рынок торговли дампами во всем мире, и подобная ситуация существует и поныне.

Те редкие дампоторговцы-американцы, которые встречаются на рынке являются реселлерами «русских» — все же неудобно в аське общаться на ломаном английском, которым отличаются онлайновые переводчики, а американцы все же английский худо-бедно знают. Кстати, многие дампоторговцы были бы не против «скинуть» свои базы  дампов целиком тем же МПС по цене 1-1,5 доллара за штуку. Ведь платят же МПС кассирам по 25-50 долларов за каждую изъятую поддельную карту. А здесь и цена ниже, и профилактика мошенничества…

С 2003 года кардерский мир по обеим сторонам океана охватила самая настоящая золотая лихорадка. Самый первый вопрос любого новичка, приходящего в кардинг, высказывает золотую мечту каждого кардера: «А где можно купить дампы с пинами, чтобы пойти к банкомату и снять денег с карточки?» Новичку такому говорили, чтобы он «выпил йаду» либо «ехал в Бобруйск» учить матчасть, но в 2003 году ситуация изменилась.

Этому способствовала безграмотность в карточном отношении одного американского кардера. Как Александр Флеминг открыл пенициллин, наплевательски отнесясь к своей работе по выращиванию бактериальной культуры, просто не закрыв чашку, в которой эта культура выращивалась, из-за чего в нее попали споры пенициллина из окружающей среды (во всем мире такого лаборанта сразу бы уволили, а вот Флеминг случайно совершил открытие и получил за это Нобелевскую премию), так и этот американский кардер проигнорировал все мануалы по кредитным картам, в которых пишется о том, что в дампе существует CVV/CVC код, который обязательно проверяется эмитентом при транзакции и который невозможно воспроизвести без секретного ключа, хранящегося в банке.

«Выловив» с помощью фишинга несколько номеров карт со сроками истечения их действия и пин-кодами, он решил из имеющихся у него данных сгенерировать рабочий дамп и обналичить его в банкомате. И, к превеликому удивлению людей, разбирающихся в карточной безопасности, это ему удалось. Как мы помним, после поимки в Великобритании местных кардеров, фотографировавших карты и подглядывающих их пин-коды, МПС ввели в свои правила обязательную проверку всеми эмитентами CVV/CVC кода по всем транзакциям. Это было в 80-х годах прошлого века.

Спросите у любого банковского сотрудника, занимающегося пластиковыми картами, может ли быть так, что CVV/CVC при транзакции не будет проверяться? Он вам ответит, что это невозможно, потому что такого не может быть. Однако, как оказалось, быть такое может… Не во всех банках, а в некоторых, но все же…

Не знаю, чем была вызвана столь вопиющая ошибка в безопасности транзакций – то ли ненадлежащей настройкой программного обеспечения в банке, то ли еще чем-то, но факт остается фактом: в ряде банков при проведении банкоматных транзакций CVV/CVC не проверялся, что позволяло злоумышленникам, зная номер карты, срок истечения сроков ее действия и пин-кода, генерировать недостающую часть дампа и

обналичивать карту в банкоматах. Новость о том, что такое возможно, моментально распространилась в узких кругах, а через некоторое время стала известна всем кардерам.

Те, кто знал, что CVV/CVC код для поддельных дампов на самом деле генерировался «от фонаря», срочно разработали для остальной кардерской общественности легенду, что «лучшими математическими умами кардерского сообщества был расшифрован алгоритм генерации CVV/CVC, используемый некоторыми банками», и большинство кардеров начало охоту за этими несуществующими алгоритмами. Сделано это было для того, чтобы основная масса кардеров, которые являются больше «ремесленниками», чем «исследователями», не накинулись на курицу, несущую золотые яйца, и не «убили тему» преждевременно.

К слову, на американских кардерских форумах до сих пор самый популярный вопрос: «У кого можно купить рабочие «алгосы» для генерации дампов?» Кардеры стали в спешном порядке методом перебора проверять карты разных банков на предмет наличия этой уязвимости. Банков таких оказалось не очень много – всего пара десятков. За номерами этих карт с пин-кодом началась настоящая охота, и фишинговые сайты росли как на дрожжах. Оказался среди этих банков и Райффайзенбанк.

Так уж сложилось, что наиболее сильная «школа» в области «реального пластика» среди стран бывшего СССР оказалась в Украине. Большинство сильных специалистов в области использования уязвимостей карточных систем, применяемых в оффлайне, живет в Украине либо являются выходцами оттуда. Поэтому неудивительно, что, получив исходные данные для генерации дампа с пином, народ бросился снимать деньги в банкоматы, расположенные поблизости от места их проживания. А поскольку большая часть этого народа жила в Украине, то именно украинские банкоматы внесли наиболее весомый вклад в укрепление благосостояния кардеров.

Следует сказать, что карты европейских банков более предпочтительны для «русских» кардеров, чем карты американских банков. Связано это с большей географической близостью Европы. Транзакция на другом континенте всегда вызывает больше подозрений у банковских работников, чем транзакция в соседней стране, поэтому американские дампы «умирали» обычно после одного-двух использований в банкоматах, расположенных в странах бывшего СССР, а вот европейские дампы «жили» дольше. А ведь чем дольше «живет» дамп, тем больше денег можно с него снять – это связано с тем, что у большинства банков выставлены достаточно скромные лимиты на снятие наличных в течение суток и  за один раз невозможно «подчистить карту» до нуля, если на ней лежит значительная сумма. Поэтому «русские» кардеры отправляли, как правило, американские дампы с пином на обналичку в США местным кардерам, которые за определенный процент бегали по тамошним банкоматам, а вот европейские дампы предпочитали обналичивать сами.

Райффайзенбанк, как известно, является европейским банком, поэтому его дампы с пином активно использовались в украинских банкоматах. Слабо верится в то, что специалисты Райффайзенбанка не понимали происхождения этих дампов с пином – что они получены не от скимминга в POS-терминалах с пин-падом и банкоматах, а в результате фишинга и использования их, специалистов, халатности. Возможно, это понимание пришло не сразу, а через некоторое время, потому что во второй половине 2005 года «дырку» закрыли, реализовав, наконец, корректную проверку CVV/CVC, прикрыв кардерам их почти двухгодовой период золотой лихорадки, но обратить внимание на то, что деньги в украинских банкоматах снимались по картам, большинство владельцев которых даже и не думали посещеть Украину, невозможно.

Однако в Райффайзенбанке предпочли повесить все на якобы имевший скимминг в Украине, дабы скрыть от общественности свои собственные грубейшие ошибки, которые, несомненно, оказали бы влияние на имидж учреждения. Конечно, я не отрицаю, что случаи скимминга в POS-терминалах с пин-падом и банкоматах, наверняка, имели место и в этот период (как это происходит во всех без исключения странах и сейчас – можно вспомнить даже ), но совершенно не в том масштабе, о котором заявлял Райффайзенбанк, громогласно объявляя Украину бандитской страной, запрещая все банкоматные транзакции в целой стране и через прессу призывая перевыпустить свои карточки тех клиентов, которые пользовались ими в Украине.

Нехорошо, господа банкиры, скрывать собственную халатность, обливая грязью целую страну… Если уж не можете вовремя закрывать свои «дырки», то хотя бы не вините в их существовании крупную европейскую страну с 50 миллионами населения, а сообщайте о проблеме своим клиентам как тот же «Ситибанк», который просто объявил об участившихся случаях банкоматного мошенничества со своими картами, перевыпустил проблемные карты и, никого не обвиняя, быстро ликвидировал свою «дырку».