Правда и вымысел про кардеров | RusCreditCard.ru

Правда и вымысел про кардеров

Правда и вымысел про кардеров

Не секрет, в России деньги с карточек воруют. Например, 22 апреля в Москве была задержана группа студентов, похитивших с банковских счетов граждан более $700 тыс. Снимали так: в гнездо приема карточки банкомата вставляли устройство, считывающее магнитную полосу карт; в верхней части банкомата устанавливалась миниатюрная камера, снимавшая, как законный держатель карты (кардхолдер) набирает на клавиатуре банкомата пин-код.
Есть и другие очень простые способы нажиться с помощью карточек. У тех же кардеров через интернет покупается фальшивый российский паспорт ($200-300), который от настоящего банковскому специалисту не отличить. На этот паспорт открывается настоящая карта Visa Classic или Mastercard Mass. С нею вы едете, например, в Австрию, предварительно приобретя фальшивые водительские права ($100) — этого документа достаточно для предъявления кассирам,— и спокойно покупаете товары по подлимитным операциям (когда со счета может списываться сумма больше той, что на нем находится) на несколько тысяч долларов в день. Этим можно заниматься две недели, ни о чем не беспокоясь. Нужно только выбирать торговые точки с импринтером — считывающим устройством, которое, в отличие от POS-терминала, не имеет онлайновой связи с процессингом.
Бывает, что мошенники расплачиваются в магазинах с помощью поддельных карт — иногда по сговору с кассиром. Или создают фальшивые интернет-магазины, в которые посредством ворованных номеров карт идут платежи (заведению «Политшоп» к моменту задержания его руководителей в 2000 году удалось заработать $300 тыс.).
Однако в России объем потерь от кардинга относительно невелик. Причин несколько. Например, жесткий контроль со стороны российских эквайринговых компаний (они осуществляют процессинг платежей в пунктах приема карт), которые, по словам их сотрудников, работают эффективнее западных. Лев Аршанский, руководитель службы безопасности «Компании объединенных кредитных карточек» (обслуживает ряд российских банков и более 7 тыс. предприятий, оборот более $1 млрд в год): Мы обслуживаем около 70% всех трансакций по карточкам в России, и у нас фродовых операций (fraud — мошенничество) не более 0,06%. Это очень низкий уровень по сравнению с общемировым. Западным структурам иногда дешевле списать сумму, чем вести расследование, мы же разбираемся в любом случае, невзирая на сумму. Кроме того, каждый кассир материально заинтересован в выявлении и даже задержании мошенника.
Другая причина — в России карточками в интернете почти никто не расплачивается, а именно на интернет-платежи приходится львиная доля $1 млрд мировых потерь от кардинга.
И, наконец, самое главное — карточки российских банков (точнее, карточки клиентов российских банков) кардеров просто не интересуют. С западными картами работать выгоднее и проще.
Карточная мануфактура
О кардерском бизнесе ходит много историй. Например, считается, что значительная часть номеров карт попадает к кардерам через специально созданные порносайты. Однако сами кардеры уверяют, что эта информация недостоверна. Во-первых, прибыль от посещаемого платного порносайта достаточно велика, нет смысла воровать; во-вторых, если речь идет о слабо раскрученных сайтах, то общая реальная отдача будет небольшой — пять-шесть номеров с каждой тысячи посещений. Порносайты для получения номеров карт используют в основном новички.
Говорят также, что часто в сговор с мошенниками вступают кассиры учреждений, где принимаются для расчета кредитные карты, сотрудники онлайновых магазинов и процессинговых компаний. Так действительно бывает. Например, в конце прошлого года в этом был уличен начальник службы безопасности Union Card. Примерно тогда же Абрам Абдала, 32-летний официант из Бруклина, снял нескольких миллионов долларов со счетов топ-менеджеров крупных компаний. Но это скорее исключение, нежели правило. Ворующий карты таким образом является, по сути, камикадзе — его обнаруживают практически всегда и очень быстро.
Настоящие кардеры действуют с большим размахом и более безопасно для самих себя, залог тому — четкая специализация. Сергей Хренов, эксперт по безопасности ЗАО «Соник Дуо», в прошлом сотрудник отдела по борьбе с киберпреступлениями одной из российских спецслужб: Одни взламывают интернет-магазины, процессинговые и биллинговые компании с целью получения доступа к базам данных — то есть к номерам кредитных карт и информации, записанной на магнитной полосе, так называемым дампам. Это хакеры. Номера кредитных карт используются для покупок через интернет — на этом специализируются уже другие. Они либо просто «обналичивают» карты через подставные онлайновые магазины — то есть контактируют с третьим видом мошенников, либо совершают покупки в интернет-магазинах, обеспечивая схемы про приему «накарженных» фотоаппаратов, ноутбуков и прочих дорогих, но компактных вещей, удобных для пересылки. Приемом товара и его пересылкой заняты так называемые дропы, это четвертая разновидность участников кардерских операций. Еще несколько видов мошенников занимаются «пластиком». Одни, используя дампы, изготавливают фальшивые аналоги настоящих карт для операций в офлайне. Другие у них эти карты покупают и на свой страх и риск пытаются ими расплатиться.
Взломщики
Взлом карточных баз данных является основой кардинга, именно взломщики обеспечивают «сырьем» этот криминальный бизнес. Однако случаи, когда взлом был обнаружен, можно пересчитать по пальцам.
Самый известный произошел в конце 1999 года, когда хакер, известный под кличкой Максус, украл из базы данных покупателей крупного американского виртуального торгового центра CD Universe информацию о номерах 300 тыс. кредиток. Известным этот случай стал по той простой причине, что Максус, вместо того чтобы продавать номера субподрядчикам по кардерскому бизнесу, попросил CD Universe выплатить ему $100 тыс. отступных. Компания отказалась, после чего информация о номерах карточек 25 тыс. ее клиентов была вывешена в интернете в свободном доступе.
Если бы Максус не известил CD Universe о взломе, скорее всего, о нем бы узнали еще не скоро. В большинстве случаев владельцы баз данных пластиковых карт осознают, что к ним кто-то подключился, далеко не сразу, некоторые об этом не знают до сих пор. То есть они понимают, что что-то не так, но найти источник утечки порой просто не в состоянии.
Кстати, по данным ФБР, настоящее имя Максуса — Максим Иваньков. Львиная доля хакеров, снабжающих мировой кардинг качественным «сырьем», являются бывшими гражданами СССР.
Григорий Яклюшин, заместитель директора компании 3d-pay (специализируется на создании ПО для обеспечения безопасности интернет-платежей): Мы изучаем фрод уже почти три года. Естественно, я общаюсь и с кардерами. Основными мировыми поставщиками как карт для кардинга в интернете, так и дампов для записи их на поддельные карты действительно являются русские. Крупнейшие потребители этого товара — американцы сами заявляют, что русский товар — лучший по качеству, цене и ассортименту.
Мне известны пять российских хакерских групп, каждая ежедневно продает дапмов на $2-4 тыс.— дамп может стоить $30-100. Сведений для операций в интернете продается на порядок больше, но они значительно дешевле — номер карты с полной биллинговой информацией (имя владельца и его адрес, на который банк отсылает выписки по трансакциям) стоит $2-4, в итоге в денежном выражении получается примерно столько же, сколько и от дампов. Вот и считайте — только по продаже первичной информации ежедневный оборот составляет около $30 тыс., или порядка $10 млн в год.
Номер карты и биллинговая информация позволяют кардерам подменять адрес доставки товаров, купленных в интернет-магазине. Подноготная любого американца — номер социального страхования, адрес проживания и проч.— стоит всего $5. Имея на руках такие данные, поменять адрес, привязанный к карточке, можно с помощью обычного телефонного звонка — достаточно произнести (либо набрать на телефоне в тоновом режиме) номер карты социального страхования либо «секретный пароль», в качестве которого американцы, как правило, используют девичью фамилию матери. Узнать ее также не составляет проблемы — в интернете эти сведения покупаются у тех, кто взламывает базы данных по родильным домам.
Примерно по той же схеме можно подменить информацию по так называемому дампу с первой дорожкой — то есть с полной информацией о кардхолдере. Этот дамп стоит уже не $100, а от $200 — с ним можно снимать деньги с банкомата (потратившись дополнительно на «пластик»), правда, встречается подобный товар крайне редко. Самые дорогие дампы — с информацией о количестве денег на счете. Их продают за 15-20% от суммы средств на счете, но не дешевле $500.
Сетевой кардинг
Видов интернет-кардинга, то есть способов заработать в сети по купленным номерам карт, существует не меньше десятка.
Самый испытанный и надежный связан с использованием дропов — людей, которые согласны принимать товары, купленные через интернет, на свой адрес. В США, как правило, это небогатые граждане, уверенные, что работают в абсолютно легальной посылторговой компании — только на дому. Дроп функционирует не больше месяца — потом к нему всегда приходят федеральные агенты. Говорят, что именно благодаря дроп-схемам в Москве — на «Горбушке» и в интернет-магазинах — такое богатое предложение ноутбуков и цифровых фотоаппаратов по демпинговым ценам. Кстати, самыми активными кардерами-вещевиками считаются белорусы.
Еще один способ заработка связан с интернет-казино. Можно просто играть с чужим номером карты. Проиграешь — деньги списываются с чужого счета, выиграешь — перечисляются уже на твой счет. Некоторые зарабатывают в покерных комнатах, где игра идет не против казино, а между реальными людьми. Например, играют четыре человека. Трое — кардеры, сидящие в одном помещении,— против одного настоящего игрока.
Иногда в онлайновые казино заглядывают и хакеры — в свободное от взлома баз данных время. Известен случай, когда они перенастроили работу одного из интернет-заведений таким образом, что в течение двух часов все, кто там играл, непрерывно выигрывали — и хакеры (на этот раз они использовали свои настоящие карты), и обычные посетители. Выигрыш выплатили именно потому, что злоумышленников невозможно было отличить от честных игроков.
Еще кардеры делают ставки в букмекерских конторах, которых много в интернете. Ставят на все исходы крупные суммы — денег-то не жалко, они чужие. Одна ставка выигрывает, разумеется. Некоторые зарабатывают на интернет-аукционах. Но такая работа считается грязной, так как в этом случае от действий кардеров страдают не банки и страховые компании, а реальные люди.
Пластиковых дел мастера
Если в деле взлома баз данных кредитных карт русские — вне конкуренции, то в сфере изготовления «пластика» конкуренция существует, и весьма серьезная. Помимо России карты в больших объемах изготавливают в Юго-Восточной Азии, Прибалтике и на Украине. При этом используется промышленное оборудование, и выявить подделку подчас не могут даже в банках.
Корреспондент побеседовал с одним из производителей поддельных карт.
— Прибыльное дело?
— В среднем выпускаем по 500 карт в месяц, продаем их оптом по $80. Одна карточка стоит $180. Это без стоимости дампа, потому что дамп клиент присылает сам. Себестоимость — $1,5-3 за штуку.
— Сколько стоит оборудование?
— Весь комплекс — офсетная печать, голограммы, аппарат для эмбоссирования (выдавливание имени и номера) стоит порядка $1 млн. Но мы, естественно, его не покупали. Используем мощности для производства дисконтных карт магазинов, например.
— Кто ваши клиенты?
— Практически все они проживают в США. Россиянам тоже продаем — если едут за границу. Если карточка покупается для России, можем и отказать. Много начинающих кардеров, жаль ломать им жизнь, попадутся ведь. Все-таки за рубежом контроль не такой серьезный. Так что моральный аспект для нас тоже важен. Кто в итоге страдает от наших карт на Западе? Да практически никто, все оплачивают страховые компании. В России же убытки могут повесить, например, на кассира — такое случается сплошь и рядом.
— Не опасаетесь, что вас накроют?
— Чисто технически вычислить нас очень сложно. Моего реального имени и местонахождения никто не знает, заказы и платежи принимаем только через интернет, готовые карточки высылаем по почте.
— Совсем недавно на Кипре арестовали владельца сайта boafactory.to, известного под ником Боа. А он ведь занимался тем же самым…
— Он, насколько я знаю, неоднократно использовал не очень качественные карточки собственного производства, на чем и попался. Его вообще давно уже «пасли». Говорят, что Боа сдала органам Mastercard.
Щит и меч
В магазинах используют не только искусно изготовленные дубликаты, но и настоящие карты. Андрей Чумаков, руководитель проекта платежной системы «Рапида»: Недавно я был в Чехии и в гостинице случайно познакомился с карточным мошенником — разумеется, русским. Он рассказал, как работает их коллектив. Один — карманник — вытаскивает карту, второй — специалист по документам — быстро, буквально за 10 минут делает пластиковое удостоверение личности на имя владельца карты, третий — спец по подделке подписей — срочно отправляется с нею и удостоверением по магазинам. А четвертый идет за человеком, у которого карту украли. Его цель — ни на секунду не упускать клиента из вида, чтобы зафиксировать момент, когда он обнаружит пропажу. В этом случае идет звонок тому, кто ходит по магазинам, и карта скидывается. В день удается таким образом освоить шесть-семь карт, а ежедневный доход составляет около $10-15 тыс. Пока этот метод активно используется в Европе — таких групп только в Праге около десяти, все русскоязычные. Но дело идет к тому, что скоро они появятся и в России. Между прочим, эти мошенники никогда не используют карты, на которых есть фотография кардхолдера,—лишний риск им ни к чему. Они их просто выкидывают.
Также следует ожидать появления в России бутафорских банкоматов — по стопам США, где эта афера очень популярна. Такой переносной аппарат не подключен ни к одной из платежных систем, просто собирает дампы и пин-коды карт и денег, естественно, не выдает (говорят, подобную технику можно купить у европейских «специалистов» за $3,5 тыс.).
Один кардер-технарь сообщил корреспонденту, что недавно ему поступил заказ на дистанционное перепрограммирование банкоматов — выдаваемая сумма будет увеличиваться в десять раз. Уверяет, что задача вполне выполнимая. В общем, складывается впечатление, что управы на кардеров нет и не будет.
Сергей Хренов: Антифродовые системы постоянно совершенствуются, но и кардеры не стоят на месте. Суть кредитной карты в ее нынешнем виде такова, что абсолютной защиты по операциям с ней добиться невозможно без существенного усложнения правил ее использования. На это платежные системы вряд ли пойдут, поскольку американцы — а США являются самым большим рынком пластиковых карт — за несколько десятков лет привыкли пользоваться картами в торговой сети без введения пин-кода, а просто подписывая чек. Кстати, платежные системы прямо запрещают торговым точкам требовать введения пин-кода. По большому счету карточное мошенничество мало трогает зарубежных кардхолдеров, поскольку по правилам тех же платежных систем все риски берут на себя банки-эмитенты. У нас, к сожалению, другая ситуация.
По мнению некоторых независимых экспертов, способность российских банковских служащих противостоять кардингу крайне невелика. Григорий Яклюшин: Уже сейчас можно было бы существенно снизить риски по тому же эквайрингу интернет-магазинов. А банки просто отказываются их обслуживать, между тем гигантские обороты зарубежных кардхолдеров вполне могли бы пройти через российскую банковскую систему. Причина — полное непонимание большинством банковских специалистов, как контролировать риски при работе на этом рынке. На самом деле, если нет доверия к интернет-магазину, можно просто каждый день проверять трансакции, хотя бы 10-30%. Зарубежные эмитенты отвечают на такие запросы очень охотно и оперативно — в течение пары дней. Служащие банков брезгуют даже ходить на кардерские форумы, где могли бы существенно поднять свой профессиональный уровень. Противника нужно знать в лицо.
Кардеры, кстати, изучают действия банкиров с гораздо большим энтузиазмом.

(с)www.kommersant.ru


Опубликовано 13 лет назад

Похожие записи

©2012-2023, ruscreditcard.ru | Mail: ruscreditcard@ya.ru | About site

Yandex.Metrika