Кардинг: российский опыт от журнала «Хакер»

Каким бы ты крутым кардером ни был, тебе все равно далеко до нашего родного правительства, Центрального банка и других российских банков. Самая крупная кардерская акция была проведена 17 августа 1998 года.

Схема такова: Банки эмитируют (выпускают то бишь) свои собственные карты. Граждане открывают счета в банках и несут туда свои кровные. Через некоторое время правительство объявляет, что временно приостанавливает выплаты по внешним долгам и ценным бумагам, банки вслед за правительством объявляют, что временно приостанавливают операции по счетам и пластиковым картам. А, как известно, нет ничего более постоянного, чем временное…

В результате банки получают твои денежки, а у тебя остается пара-тройка красивых сувениров в виде карточек с магнитной лентой и красивыми выдавленными на пластике буковками. Так что чего же хакерам бояться, если на самом верху сидят такие крутые взломщики. Всем бы такую крышу!

Российский опыт. Много, много говорилось у нас о кардинге. А если взять Интернет, то там вообще каждый человек, сгенеривший себе номер кредитки, уже считает себя кардером. На самом деле, кардинг, это скорее наука, со своей спецификой, постоянными открытиями, построенная на изучении платежных систем разных государств.

В этой статье мы попытаемся описать некоторые случаи мошенничества с расчетными (a.k.a. кредитными, пластиковыми) картами, специфические именно для России. Цель статьи — конечно же, сугубо профилактическая, показать, как несовершенны и небезопасны расчеты с использованием карт.

Для начала назовем вещи своими именами: воровство есть воровство и, как все воровство, — уголовно наказуемое. И хоть кража с использованием компьютера совсем не то же, что кража кошелька из сумки в магазине, нужно помнить, что это присвоение чужого, а, соответственно, припроигрыше в этой игре “кто умнее, милиция или я», тебя ждет тюрьма.

Первое, что говорят любые грамотные хакеры — нужно по возможности лучше разбираться в технологии функционирования платежной системы, использующей расчетные карты.

Почему возникли расчетные карты? Потому что людям удобно не ходить с крупной суммой денег, а использовать некий инструмент, позволяющий снимать со счета именно ту сумму, которую хочется потратить. Кроме того, уменьшится привлекательность грабежей: чужой картой воспользоваться трудно, так как ее блокируют по первому же звонку потерпевшего.Немного технологии.

Что происходит, когда ты совершаешь покупку по карте? Сначала продавец регистрирует параметры карты (номер, срок действия, иногда сверяет имя на карте с документом). Затем он обращается в центр обработки карт (так называемый процессинговый центр) за так называемой авторизацией транзакции. Как это выглядит: продавец сообщает, что он собирается совершить по данной карте транзакцию на сумму, скажем, $475. В ответ он либо получает так называемую авторизацию, либо отказ (возможны и другие варианты развития событий — например, приказ изъять карту). В данном случае авторизация — это просто число.

Продавец регистрирует это число, и для него оно — гарантия того, что деньги он получит несмотря ни на что. При этом (почти всегда) требуемая сумма считается уже потраченной тобой, даже если ты вдруг решишь не совершать эту покупку. То есть эти деньги будут на твоем счету заморожены. Только в конце расчетного периода (обычно — 30 дней) ты снова сможешь распоряжаться этой суммой.

Обращение в центр обработки карт может быть самым разнообразным — касса может сделать все сама или продавец может позвонить туда голосом. Это два крайних случая, возможно множество промежуточных вариантов. Все вышесказанное справедливо как для покупки по карте “живьем”, так и для покупки через internet или по телефону/факсу.

Подытожим. Важно понимать следующее:

1. Продавец обращается не в банк, выдавший карту, а в местный центр обработки карт. Банк, выдавший карту, может быть хоть в Парагвае. Центр обработки находится, как правило, в одном из местных банков.

2. Продавец не может узнать, сколько денег у тебя на счету. Он даже не может узнать, есть ли у тебя нужная ему сумма. Все, что он может, это попытаться получить авторизацию на нее.

3. Если продавец получил авторизацию на требуемую сумму, эта сумма на карточном счету замораживается. В случае легального использования карты это всего лишь мелкая неприятность, но становится проблемой при нелегальном использовании карты — уменьшается сумма, которую можно потратить, потому что аннулировать авторизацию — большой геморрой, и продавцы редко соглашаются это делать.

Где хакеры берут карты. Вариант с копанием в мусоре (по-английски это называется trashing от trash = мусор) — в местных условиях им не подходит. Вообще хакеры не любят связываться с картами местных банков — здесь у банков фашистские условия, игра не стоит свеч.

Самый простой способ — это попросить друга в Америке “списать” у знакомого бармена/официантки/продавщицы несколько номеров и имен с чужих карт. Второй распространенный способ — взламывают какой-нибудь internet site, где недоумки оставляют номера своих карт (правда, для этого надо либо самому быть компьютерным взломщиком, либо иметь друзей-взломщиков, причем настоящих, а не болтунов, которых 99%). Или — самый распространенный способ, которым пользуются грамотные хакеры: они открывают собственный сайт в Интернете, чаще всего порно-сервер. Все это делается с заголовками типа «У нас самые большие сиськи во всем Интернете и всего за $5,95 на 3 месяца!». Оплату доступа, естественно, делают по карте.

Самое удивительное — это то, что идиотов хватает, уж поверь! Правда, для этого нужно уметь делать internet-site’ы и как следует поработать. В общем, главное в любом деле — думать и работать. Кстати, надо добавить, что из-за фантастических масштабов мошенничества многие организации, принимающие карты по телефону/факсу/internet’у (то есть не имеющие возможности лично удостовериться в том, что ты — действительно владелец карты), требуют какую-нибудь специальную личную информацию, которую мошенник знать не должен бы. Например, его почтовый индекс (zip code). Или девичью фамилиюматери. Таких мест мошенники избегают.

Вот мы и подошли к следующей части. Где кардеры покупают и как посылают. Да везде, где получится! Нет плохих мест, если предыдущий пункт выполнен с умом. Здесь есть одна тонкость — при получении посылки местная таможня потребует заплатить аж 50% от заявленной стоимости товара. А покупая у крупной фирмы, фиг их упросишь снизить заявленную стоимость.

Но не зря говорят, что русские — очень изобретательная нация. Нашли таки способ! Объясняю. Технология покупки такова — они звонят (или — факсмилируют) в нужную фирму и требуют (именно требуют под угрозой отказа в оплате за покупку!), чтобы при отправке груза курьерской компанией (FedEx / DHL / TNT / UPS) фирма обязала курьеров оплатить таможню. Делают это так: на посылке пишется CUSTOMS DUTY 50% PAID.

При этом курьерская компания в месте отправки выставляет магазину счет на сумму (сумма за перевозку + 50% от объявленной стоимости). Магазин добавляет эту сумму в общий счет и снимает ее с карты.

А курьерская компания в месте получения расплачивается с местной таможней самостоятельно. При этом получается, что таможенный сбор оплачен по той же карте! Разумеется, нужно свободно говорить по-английски (а мошенник, не говорящий свободно по-английски, вызывает разве что вздох сочувствия).

Правда, не все так сладко. Наша страна тоже сюрпризы делать умеет. А именно, придумывать заморочки с разделением таможенных платежей — НДС там разный, пошлина и таможенный сбор, так что даже это не гарантирует безболезненного прохождение экономической границы РОДИНЫ.

Как делают грамотные кардеры* Становятся “своими” в курьерской фирме! Отправляют посылку на произвольный адрес и фамилию и тут же — бегом в офис курьерской фирмы. Там спрашивают об отправлении на указанное имя. Конечно, в ответ им сообщают, что посылка в пути.

Но они заходят на следующий день и снова спрашивают о ней. И так каждый день, даже по два раза. Спустя какое-то время их уже начинают узнавать в лицо, весь офис им сопереживает, и когда посылка доходит, ее отдают без проверки документов, так как и так считают кардера этим самым адресатом.*

Грамотные кардеры покупают мелкие и дорогие вещи. Слова PENTIUM и RAM так и просятся на язык, но на компьютерах зацикливаются только новички в кардинге. Есть много других замечательных вещей — драгоценности, например.

Очень любят покупать мелкие автозапчасти на заказ. Или что-то для сотовых телефонов. А знаешь, почему так много народу занимается кардингом, а сажают только единицы, в сравнении с этой толпой? Да потому, что когда кардеров ловят (а их обязательно ловят, если они занимаются этим регулярно), то они ни в чем не сознаются.

Любой кардер понимает, что у милиции есть только то, что сам кардер им скажет. Нет, ну, конечно, оперативники начинают говорить “МЫ ВСЕ ЗНАЕМ!”, “ТВОИ ДРУЗЬЯ СОЗНАЛИСЬ!”, “ТЕБЯ ПОСАДЯТ, ЕСЛИ НЕ СОЗНАЕШЬСЯ!”. Только ведь это вранье! Это даже в фильмах показывают. Даже Legion Of Doom об этом писал, и в учебнике террористов ИРА были прямые инструкции «как вести себя на допросе».

Ну, и уж раз говорим начистоту, то скажем честно, что, естественно, когда кто-либо отказывается говорить с нашей доблестной милицией, то обязательно получает по морде, часто ногой. Но это гораздо лучше, чем получить статью и получать по морде уже каждый день. Так что правосудие отдыхает очень часто, когда имеет дело с опытными кардерами.

Вот теперь и думай, что удобнее и безопаснее — наличные или карточка!

Все, наверное, хотять как можно больше обезопасить себя. В первую очередь вы скорее всего подумали об адресе получателя, т.е. кому придет посылка. Нет ребятки, самое главное это IP адрес и ваш телефонный номер.

Итак, в самую первую очередь вас ищут по IP-адресу. Так что чтобы было безопасно, в первую очередь надо не показывать свой IP ардес, а если уж показывать, то неверный.

Есть много предложенных способов, но пока я не видел ни одного, чтобы он действительно работал. Есть там один, и работает, что поставив “чужой” proxy (т.е. не родной вашего провайдера), ты показываешь IP адрес этого самого proxy. Но вычислить тебя как расплюнуть.

Полиция идет на этот proxy (первые две-три цифры сразу говорят что это именно он), они говорят твой реальный IP адрес. Ну а тут тебя ловят по стандартной процедуре — думаю вы все знаете. Подробности смотрите в FAQ’е.

А чтобы действительно вас никогда не заловили хоть на 10 000 долларов, надо выходить не со своего телефона, а с АТС или телефонного аппарата. Не знаю как в других странах, но в Эстонии у некоторых телефонных аппаратов сверху прямо видны телефонные линии.

Второй немаловажный компонент — это пользуемый ACCOUNT. Автор категорически запрещает пользоваться своим. Также нельзя совершать покупки в ВУЗах, школах, на работе.

Коэфициент ловли значительно велик, т.к. найдя ваш ACCOUNT, они будут смотреть в контракты, а не в ЛОГах ваш телефон, предоставленный АОНом. А что со школами, ВУЗами и работой — очень много свидетелей. Все вас видели, и хоть один найдеться, который все расскажет.

А вообще, все зависит от пострадавшего. Если это будет скупой бюргер, который считает все по копейкам, то ествественно он будет разбиратся. Тем более если он последние пять лет копил на машину, а тут пол этой суммы пропало. Ну а если это какой нибудь Билл Гейтс, то он даже 10 000 долларов и не заметит.

В принципе если вы как-нибудь спрячите свой IP или позвоните не со своего телефона, и закажите на человека, у кого нет компьютера, то все пройдет. Вы конечно можете покупать и на себя, если уверены, что по IP и ACCOUNTу вас не вычислят.

С покупкой вы как-нибудь отмажитесь — мол друг в Америке подарил. Это не проблема. Cистема скрытия ЛОГов, поддельные IP адреса не будут описываться в этом документе нарочно. Это уже дело хакеров!

У нас в Эстонии другая ситуация. Фирма-провайдер одновременно и телефонная компания, причем единственная. Я у них как-то спрашивал, сколько логи хранятся, они с радостью ответили: “…с 92 года…”, — причем в то же время провайдер и открылся.

Мои рекомандации — не тратить с карты более 100 долларов, если вы себя полностью не обезопасили.

Порносайты — это только для дурачков, думаю не стоит… Хотя если вы отважились, то за 2 доллара вас не будут искать…

Ключи к софту — существуют т.н. крэки, думаю вы все знаете, но не стоит рисковать, ведь можно просто скопировать на AstaLaVista. Не думайте что вы купили регистрированную версию, значит вы легальный пользователь. Ведь за вами “черненькое” прошлое :-).

Рассылка факсов и телефония — вот это стоит попробовать. Телефонией я пользуюсь, а факс я не знаю как отсылать. В Internet Phone 5 фирма телефонии (Biztrans) написала, что отсылает факс, но я ничего не нашел. Кстати, а на DeltaThree довольна низкая оплата, что увеличивает шансы остаться живым ;-).

Прошу заметить, что в государстве, сущетсвуют налоги. Например, в Эстонии если груз превышает 1000 крон (1 доллар = 14,3 кроны), то приходится платить таможне 200 крон хоть как, и плюс 18 % от груза с учетом доставки. То есть у нас, если приходится разтамаживать, меньше 400 крон не платят.

Все посылки по AIR мэйл шли 1-2 недели. По DHL — до 6 дней. Если разтаможка — то лучше выбирать AIR mail (если выбор вообще будет), т.к. с DHL мы разтамаживали более 3 недель. Про время доставки я говорил об Эстонии. Правда недавно, у нас в городе (а может и по Эстонии) произошла смена индексации на пятизначную систему.

Результат — посылка с CDnow пришла за 5 (пять) дней, т.е. быстрей DHL! Очень много фирм требуют подтверждения: фотокопии карты, голосом, факсом, иногда надо отсылать по почте свою роспись. Даже такое бывает на пяти-долларовые покупки. Один раз возмущались даже по поводу 2 долларов! Так что пользуйтесь JFax и DeltaThree!

FAQQ: Как можно воспользоваться И-нет телефоном с помощью сгенерированной карты? Или это можно только зная параметры настоящей карты?

A: У тебя шансы 1 на 1000000. Если только программа снятия денег ошибется. Там “программа” прямо в Online проверяет и некоторые сразу снимают. Нужна реальная карта.

Q: Неужели действительно можно нахаляву че-нить заказать и не попасться? Ты сам пробовал?

A: Да можно, и я сам пробовал. А вот насчет безопасности — надо почитать сверху.

Q: Ну хорошо. Существует сайт www.cdnow.com, где много добра выложено. Согласно моему опыту они даже от генеренных кредиток не отказываются.

A: Они во время заказа проверяют только синтаксис (как раз что делает генератор), а потом через день проверяют реальность вручную и снимают, если все ОК.

Q: Но вот как только дело доходит до указания адреса для получения посылки, я спотыкаюсь. Во-первых, не знаю, какой/чей адрес лучше указать.

A: Если укажешь чужой, и если вся каша начнется, то тебя просто дольше будут искать (на дня 2).

Q: Во-вторых, не подставлю ли я этого человека. Или он всегда сможет отбрехаться, что это кто-то нарочно его адрес указал.

A: Нет, если найдут заказчика (т.е. вас), то ему ничего не будет. А если вас не найдут, то друга я думаю отпустят, если он достойную отмазку придумает.

Q: Потом, наверняка DHL требует расписки в получении посылки…

A: Ну и что, распишись. Они же смотрят на фамилию получателя, а не платильщика. У DHL надо будет написать отчетливо фамилию и расписаться.

Q: А как они выйдут на меня?

A: Расскажу подробно. Фирма (например CDnow) по запросу пострадавшего смотрит на ваш бывший IP адрес. Например увидели они 194.126.101.104. Делают они Traceroute или еще что-нибудь. Видят, что вас обслуживает например proxy.estpak.ee (traceroute даст это). Заходят они на www.estpak.ee (главная страница), берут контактный телефон и звонят на ваш провайдер. Далее CDnow говорит время мошенничества и IP адрес.

Провайдер смотрит в ЛОГи и видит что да, такой IP-адрес действительно выходил в такое время. В основном на провайдерах стоят АОН. Ну они и дают ваш телефон, адрес выесняется по провайдерским контрактам. Тут вас и нашли.

А если у провайдера нет АОНа, то говорят телефон dial-up’а и время, и говорят их телефонной компании. Они тоже роются в ЛОГах, и говорят ваш телефон и адрес. Далее заносят вас в Интерполовский стоп-лист и …

Q: Да и вообще всегда можно отбрехаться, что твоим аккаунтом кто-то злоумышленно воспользовался.

A: Факт — телефонный звонок.

Q: А что Интерполу есть дело до такой ерунды? Я-то думал они всяких там Япончиков и Михасей ловят…

A: Вообще, последнего Япончика заловила ФБР. А carding это не ерунда. Кстати, кардинг — самое караемое преступление (среди компьютерных), чтоб знали!

Q: А как определить, есть ли у провайдера АОН?

A: Просто звонишь им на телефон ИНФО. Прямо так и спроси, стоит ли у них АОН. Они обычно дурачки, все говорят. Естественно не надо кричать о том что ты кардер и зафига тебе.

Q: Ну это да. А как-нибудь иначе определить можно? Например, по сигналу вызова при прозвонке?

A: Можно, но это будет не 100 %. Может у них какая-нибудь новая технология. Лучше спросить у них. Кстати, если узнаешь, что у них нет АОНа, то не думай, что тебе все сойдет. См. выше как ловят.

Q: Боязно мне на свой адрес заказывать. Может, тогда уж не DHLом, а простой бандеролью… Вообще все англоязычные тексты по кардингу КАТЕГОРИЧЕСКИ не советуют использовать свой адрес. У них даже понятие такое есть — “drop site”, т.е. то, куда будет достваляться “купленный” товар.

A: DHL или нет — нет разницы. DHL только на 20-30 долларов дороже, вот и все. Курьер не будет же вас спрашивать, кардер ты или нет! А что англоязычные тексты — фак с ними!!! Англия, Австралия, США и т.д. — везде ФБР. ФБР — это …, они чуть заметят покупку на 10 долларов, сразу за вами!!!

У Интерпол… пофиг. Кстати, на Эстонию одно здание Интерпол в столице (Таллинн) и примерно 5 человек, которые действительно ходят за мошенниками. Ну а я живу в ~180 км.

Поедут ли они? Нет конечно!!! Они просто звонят в местную полицию, и к тебе приходит какой-нибудь невыспавшийся полицейский и начнет тебе читать лекции, придуряясь “знатоком”. Ну ему любую отмазку скажешь (естуственно компьютерной тематики) ну и он отвяжиться.

Q: Что будет считаться географическим местом правонарушения, под какую юрисдикцию подпадет?

A: Если тебе больше 18, то тебя могут засадить спокойно в ту страну, где проживает потерпевший. Если тебе больше 18, та страна где проживает потерпевший не обращает внимания, то страна где ты живешь сразу тебя по УК!!!

Q: Можно ли заказать что-нибудь по сгенерированной карте?

A: За все время я видел только один раз чтоб заказывали по сгенерированной. Диск был “Red Hat Linux 5.0″. Продавцы просто вначале отослали, а потом пытались снять деньги. Сейчас все проверяют реальность. Тем более последние технологии типа “Прамая связь с вашим банком”…А все генераторы как я заметил — ерунда. Ни один не выдает Expiration Date и верную информацию. Так, методом подбора…

Q: Какими методами фирмы снимают деньги?

A: Самый популярный и желаемый — снятие денег в On-Line. А вообще на нормальных серверах производиться т.н. авторизация, когда проверяется существование той или иной карты с проверкой информации (адрес, город и т.д.).

А на некоторых серверах производятся авторизация и транзакция. Транзакция (”Transaction” — по англ.) это когда производится снятие денег. Т.е. есть сервера где производяться снятие денег и проверка одновременно.

Ну а есть и немного левые в своем роде компании, которые проверяют вручную. Вы просто заполняете форму и она отсылается прямо по Е-Мэйлу. Как только они проснутся, сразу начнут снимать и проверять.

Для авторизации в Интернете пригодны все карточки, которые выпускаются с “кредитным” лэйблом, т.е. для VISA это не VISA electron/PLUS (отличается от “нормальной” визы тем, что цифры на ней делаются не выдавливанием, а термопечатью), а для Eurocard/Mastercad — карты, несущие логотип EC/MC (т.е. не Cirrus/Maestro/Eurocheck).

Кредитные карты отличаются от дебетовых в частности тем, что по ним можно проводить транзакции без физического считывания второй дорожки карты, а также транзакции типа Mail Order/ Phone Order (не требующие подписи клиента на чеке), на чем, собственно, и основано применение их в электронной торговле (в т.ч. и в Интернете).

Транзакции по дебетовым картам должны проводиться обязательно а) в онлайне и б) в авторизационном запросе должна присутствовать вторая (иногда первая) дорожка карты.

В случае невыполнения этих условий процессинговый центр, выпустивший карту, имеет полное право отклонить (или оспорить, если вдруг она пришла в оффлайне) такую транзакцию, т.е. контора, оказавшая услугу по такой карте, понесет в итоге финансовые потери.

Нормальные Acquirer’ы (точки приема) либо проводят авторизацию в реальном времени, имея интерфейс к обслуживающему их процессинговому центру, который, в свою очередь, в онлайне подключен к сетям VISA/Europay, либо имеют таблицу префиксов карт (распространяются платежными системами Europay/VISA соответственно), которая позволяет отличить кредитку от дебетовки.

Если точка приема карты не проводит такой проверки и принимает все без разбору, то либо она рискует разориться (т.к. “халявщикам” несть числа), либо ничего ценного там не купить (порнушные сайты, например 😉 ), либо цель этого сайта — получить номер вашей кредитки.

Бизнес-подробности“Кредитки” в Москве эмитируются практически любым уважающим себя банком.

Сумма страхового депозита — от 250$ (см. регулярно печатаемую сравнительную таблицу в журнале “Деньги”).

Заводить карту КАТЕГОРИЧЕСКИ имеет смысл в банке, имеющем свой процессинговый центр, выполняющий процессинг по международным картам — это МОСТ, СБС-АГРО, РосКредит (вероятно также Инком, ОНЭКСИМ, Сбербанк — хотя через кого у них процессинг сейчас, точно не знаю). Это позволит более оперативно отслеживать состояние вашего счета, прикрепеленного к карте, и более оперативно производить

Ряд крупных банков процессируется через центры других банков, а некоторые еще и обновляют лимиты только раз в месяц — все это может породить массу проблем, но об этом ниже…

Кстати, сумма страхового депозита у большинства банков-эмитентов поддается снятию через ближайший банкомат.

Не верьте некомпетентным сотрудникам банков, которые утверждают, что “…больше чем остаток по счету на вашей карте — вы не снимете. Наши кредитки — дебетовые (!) (с) МостБанк”

Так называемые “дебетовые” кредитки (т.е. карты с кредитным лэйблом, по которым, как уверяют банки-эмитенты, можно проводить операции только в пределах остатка на счете) на самом деле являются дебетовыми только в случае онлайновой авторизации. Большинство же авторизаций на Западе (особенно на небольшие суммы) проводится в оффлайне, так что если реквизиты вашей карты попали в руки хакерам или нечистоплотным дельцам, за пару дней у вас может вырасти овердрафт в пару тысяч американских рублей (поверьте, это не голословное утверждение). Кстати, поскольку транзакции через интернет проводятся без бумажных документов, оспорить их чрезвычайно трудно, т.е. бремя разборок ложится на клиента.

Технических деталей этого безобразия раскрывать не буду,дабы не вводить народные массы в искушение.

Итак — если вы все-таки хотите пользоваться кредиткой вИнтернете, то:

1. Открывайте карточку в крупном банке, имеющем свой процессинговый центр, и позволяющем оперативно

контролировать остаток на счете (например, через банкомат — как в СБС или в Мосте — через банкомат для выписок).

2. Не храните все ваши деньги на этой кредитке (не пользуйтесь зарплатной кредиткой!!!), вы рискуете потерять все, что имеете ;-). Наилучший вариант — держать там долларов 100 — 200 (в зависимости от ваших фин. возможностей, интернетовской активности и желания часто посещать банк).

3. Не заводите карту с “револьверным” кредитом — когда вы один раз в месяц оплачиваете все, что накопилось за месяц — о том, что вас “обули”, вы имеете шанс узнать слишком поздно…

4. По возможности контролируйте остаток по счету. В случае электронной авторизации сумма остатка уменьшается в реальном времени, в случае оффлайновой — должна быть списана в течении примерно двух недель с момента совершения операции.

5. Если вы чувствуете, что с вашей картой происходит что-то неладное, сразу же возьмите банковскую выписку — в комментарии к проводкам должны быть указаны реквизиты торговой точки, позволяющие ее идентифицировать (хотя бы примерно). Если вы не можете опознать “свои” транзакции, а) попросите ваш банк их оспорить и б) поставьте карточку в стоп-лист (затраты, которые вы при этом понесете, несравненно меньше того, что вы можете потерять). Впрочем, решайте сами — вполне может быть, что вы просто не помните, где вы были две недели назад.

Кстати, обычно “атаки” на счет в виде потока транзакций на небольшую сумму продолжаются несколько дней и наносят ущерб владельцу от нескольких сотен, до нескольких тысяч долларов.

6. Избегайте сомнительных сайтов. Часто сайт — это ловушкадля номеров карточек. “Выстрелить” это может и через месяц, и через полгода.

7. Я бы все-таки предпочел пользоваться “электронной наличностью”. Более контролируемо, да и риска меньше.

Кредитные карточки отличаются от дебитных тем, что дебитная карточка представляет ваш банковский счет, т.е. попросту ваши деньги, которые вы заработали неважно, честным или нечестным трудом. А кредитная карточка представляет вашу кредитную линию. Т.е. попросту говоря, это деньги, которые вам дает банк под проценты по вашему запросу и которые вы потом согласно договору обязуетесь ему вернуть.

С дебитными карточками понятно, смысл в них, только как в электронных деньгах, т.е. это ваши деньги, которые удобнее носить в кошельке в виде карточки, чем в виде пачки наличных. А вот кредитки. Кредитки бывают двух типов: secured и unsecured.

Что это значит?

Первая карточка. Это когда банк не очень уверен в вас, как в надежном клиенте, предлагает вам заморозить некую сумму на вашем счету, на случай, если вы вдруг станете неплатежеспособным, он заберет деньги, которые он заморозил на вашем счету.

Эти деньги называются secured deposit. Подчас бывает, что банк может дать вам кредит только на сумму депозита. Такая карточка полностью бессмысленна в России, поскольку, если у вас есть эти деньги, зачем вам замораживать их и брать под них другие деньги?

И при этом потом надо будет отдавать их с процентами. Но вы спросите, зачем вообще такая глупость нужна? А я не зря оговорился о России, поскольку во всех, скажем развитых странах есть такое понятие, как кредитная история.

Специальное бюро хранит информацию обо всех ваших кредитах и их выплатах. Насколько гладко проходили у вас выплаты, настолько гладко вы потом получите второй тип карточек. Второй тип. Unsecured Credit Card. Чем она отличается от первого типа?

Тем, что банк, на основании вашей кредитной истории делает вывод, что вы надежный клиент, и дает вам деньги просто так, под честное слово, доверяя вам. Вот мы и подошли к тому, для чего нам нужна первая карточка. Чтобы получить хорошие записи в кредитную историю и тем самым вызвать доверие у банка, который, в свою очередь даст вам настоящую кредитную карточку.

В России такое невозможно, покольку, там нет кредитных бюро и следовательно никто не ведет кредитных записей.

Настоящие же кредитные карточки отличаются не только названиями но и банковским интересом. Чем короче ваша кредитная истори, тем большие проценты вам придется выплачивать за кредит. Получается, вы как бы платите банку за его риск.

Это логично. Чем длинее и благополучнее ваша кредитная история, тем охотнее банки дают вам кредиты и тем меньше на них проценты и больше суммы, которые вы можете получить. Кто вообще выдает карточки?

Ну во-первых, конечно это банки. Поскольку это их бизнес. Вы держите в банке счет, банк дает вам карточку, что бы вы могли своими деньгами распоряжаться где угодно. И они делают деньги на процентах, которые вы им выплачиваете за пользование их деньгами.

Во-вторых магазины. Они дают вам кредит, чтобы вы на него могли что-нибудь купить у них, а потом еще и заплатить им проценты. Скажем вам нужен холодильник, но денег на него собрать у вас как-то не получается.

Слишком большая сумма, да и потом жить два года без холодильника противно. А так вы идете в магазин, забираете у него холодильник и платите ему каждый месяц сто рублей два года подряд. А через два года холодильник ваш.

Получается за два года вы скопили 24000 руб., но при этом, все это время у вас был холодильник. Конечно, он скорее всего стоит не 24000, а скажем 15000, но за удовольствие надо платить.

И конечно, это хорошая запись в вашу кредитную историю. Через два года, вы сможете купить в кредит машину и при это платить не так много процентов, как с холодильником.

В-третьих карточки дают инвестиционные фонды, у которых денег много, и нельзя, чтобы они лежали просто так, они опять же на них делают деньги. Есть еще так называемый предоплаченные карточки.

Это когда вы приходите куда-нибудь, скажем в телефонную компанию, даете им 10 долларов, а они вам за это дают карточку, которую вы можете использовать в телефонных автоматах, и за то, что вы им заплатили деньги вперед, телефонный разговор будет стоить дешевле, чем обычно. Но это все равно разновидность дебетных. Т.е. выпользуетесь деньгами, которые вы уже положили на эту карточку.

Транзакции по дебетовым картам должны проводиться обязательно а) в онлайне и б) в авторизационном запросе должна присутствовать вторая (иногда первая) дорожка карты.

В случае невыполнения этих условий процессинговый центр, выпустивший карту, имеет полное право отклонить (или оспорить, если вдруг она пришла в оффлайне) такую транзакцию, т.е. контора, оказавшая услугу по такой карте, понесет в итоге финансовые потери.

Нормальные Acquirer’ы (точки приема) либо проводят авторизацию в реальном времени, имея интерфейс к обслуживающему их процессинговому центру, который, в свою очередь, в онлайне подключен к сетям VISA/Europay, либо имеют таблицу префиксов карт (распространяются платежными системами Europay/VISA соответственно), которая позволяет отличить кредитку от дебетовки.

Если точка приема карты не проводит такой проверки и принимает все без разбору, то либо она рискует разориться (т.к. “халявщикам” несть числа), либо ничего ценного там не купить (порнушные сайты, например 😉 ), либо цель этого сайта — получить номер вашей кредитки.

Поскольку на западе за эти пару лет произошла тотальная телефонизация всех стран, то 99.9% всех торговых карточек проводятся в он-лайне. Это практически полностью исключает возможность перерасхода денег на счету. Если там денег нет, автомат не произведет авторизацию.

Как я уже говорил, это было пару лет назад. Вы могли пойти, скажем в магазин, где нет онлайнового автомата, при покупке, они делают пресскопию вашей карточки, затем, вечером отправляют это в банк, который производит транзакцию. При этом вы можете купить на 1000 долларов, хотя денег у вас на счету 10 долларов.

Сейчас же на Западе, все делается только в онлайне и никак больше. Оффлайн заменили чеки, но и то, уже есть приборы онлайновой авторизации персональных чеков.

Уже вот как год все западные банки используют 128-битное криптирование, которое раскодировать в принципе возможно, но что для этого надо?

Не много не мало, как сеть одновременно работающих пары-тройки сотни компьютеров не меньше года. Что это значит? Это значит, что вы теперь можете не беспокоится даже о паре сотен тысяч долларов на вашем счету, у хакеров теперь затраты побольше будут и им теперь на меньше миллиона смотреть даже не стоит, чтобы окупить затраты такого раскодирования.

Что будет с украденой карточкойБез шифр кода можно что-либо купить только в очень ораниченных местах. Скажем только на некоторых заправках остались аппараты, которые не спрашивают код, но такие еще надо поискать, да и сколько бензины вы там купите?

В некоторых магазинах, тоже только если сумма у вас не больше 20 баксов. Вообще в некоторых магазинах не спрашивают штрихкод вообще, но при этом они заставляют вас расписаться в копии чека и если сумма большая, то заставят показать документ-удостоверение личности.

В США, везде введена он-лайновая авторизация. Не важно интернет это или магазин. Офф-лайновые операции по карточке сейчас сделать невозможно, банки этого попросту не поддерживают. Так называемый оффлайн можно сделать только при помощи чеков. Т.е. при открытии счета в банке вам выдают персональную чековую книжку с почти такой же защитой, как у денег.

При выписывании чека, вы ставите свою подпись и показываете свой документ, иначе его у вас не примут. И еще, во многих магазинах сейчвс появляются аппараты онлайновой верификации чеков. Т.е. по-просту это сканер с модемом, который сканирует ваш чек и отправляет данные в банк, а тот отвечает, что все ОК, такая сумма на счету есть.

По кредитной карточке еще хуже, там без шифр кода и документа вы вообще ничего не купите, такой закон. Поэтому если у вас украли кредитку, вероятность того, что они смогут на нее что-то купить очень маленькая.

Поэтому, тут если вы потеряли кошелек с кредитками, вероятность того, что вам его в этот же день вернут целым и невредимым просто огромная.

В интернете вводите не секретный шифр, а ваш Social Security Number, который тоже как-бы секретный (никому его говорить нельзя) и в интернете он является кодом доступа.

Ведь вы говорите номер не тому сайту, на котором вы что-то покупаете, а банку, через который этот сайт работает. Т.е. покупая что-то где-то, вас попросту пересылают на защищенный сайт какого-нибудь банка, где вы и вводите свои секретные данные.