Как я украл миллион. Исповедь раскаявшегося кардера. Сергей Павлович

Чтение книги онлайн.

СКАЧАТЬ проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто – на взломанный HSM-модуль устанавливается сниффер – программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.

      – Почему производители HSM-устройств не закроют эти дыры? – задала логичный вопрос адвокат.

      – Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо – по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.

      – Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невозможно…

      – Everyone lies[1].

      – А «пины», которые нашли у Сапрыкина, – перешла к более предметному разговору Галина Аркадьевна, – они откуда?

      – В начале 2004 года я познакомился с Black Monarch – одним из модераторов carder.org – первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много – всего штук по пятьсот в месяц.

      – Ничего себе! Как вы обналичивали такие количества?

      – Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.

      – Ты сказал, что Black Monarch «делал» дампы с «пинами». Как он их делал? – оживилась адвокат.

      – Вкратце схема такова: берем дамп с оригинальным первым треком – там есть настоящее имя кардхолдера. Заходим на www.accurint.com, вбиваем ФИО жертвы, находим его SSN (Social Security Number – номер социального страхования, который положено иметь всем гражданам США в возрасте от одного года), дату рождения, адрес и телефон – чем больше данных о жертве соберем, тем лучше. Понятно, что если имя холдера будет John Smith, то мы устанем гадать, кто же из тех двух тысяч Джонов Смитов, что выдаст нам в результатах поиска accurint, и есть наш, поэтому дамп нужно изначально выбирать с редкой для Америки фамилией. Дальше идем на сайт банка, выдавшего карту, «энроллим» ее (от англ. enroll – «регистрировать») – то есть открываем онлайн-доступ к карте – и особым образом меняем PIN-код. Правда, сменить его можно было не на всех картах, тогда такие дампы с уже открытым онлайн-доступом к карте, а значит, СКАЧАТЬ