[Из песочницы] Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 15. «UBuyWeRush»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».
В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров.
Начало и план перевода тут: «Шкворень: школьники переводят книгу про хакеров».
Логика выбора книги для работы со школьниками у меня следующая:
- книг про хакеров на русском языке мало (полторы)
- книг про кардинг на русском нет вообще (UPD нашлась одна)
- Кевин Поулсен — редактор WIRED, не глупый товарищ, авторитетный
- приобщить молодежь к переводу и творчеству на Хабре и получить обратную связь от старших
- работать в спайке школьники-студенты-специалисты очень эффективно для обучения и показывает значимость работы
- текст не сильно хардкорный и доступен широкому кругу, но затрагивает вопросы информационной безопасности, уязвимости платежных систем, структуру кардингового подполья, базовые понятия инфраструктуры интернет
- книга иллюстрирует, что «кормиться» на подпольных форумах — плохо заканчивается
Книгу полностью перевели, сейчас переводим статьи Пола Грэма. Кто хочет помочь — пишите в личку magisterludi.
Глава 15. «UBuyWeRush»
(за перевод спасибо хабраюзеру ungswar )
Захудалый торговый центр был расположен в том обширном равнинном интерьере Лос-Анджелеса, который вряд ли бы напечатали на открытке. Далеко от океана и так далеко от холмов, что приземистые оштукатуренные строения могли бы стать Голливудской сценой, где невыразительное голубое небо за ними играло бы роль хромакея, который заполнят горами или деревьями во время пост-продакшна.
Крис припарковал машину на стоянке усеянной мусором. На маркизе перед входом верхняя вывеска рекламировала салун «Страна ковбоев», ниже шел обычный для юга Лос-Анджелеса набор: винный магазин, ломбард, маникюрный салон. Еще одна была не совсем обычной: UBuyWeRush (ТыПокупаешьМыВрываемся) — единственная магазинная вывеска в Лос-Анджелесе, которая так же являлась ником на сайтах CarderPlanet (Планета кардеров) и Shadowcrew (Теневая команда).
Он прошел внутрь офиса, где пустое окно ресепшна предлагало в аренду помещения бывшей медицинской клиники по 60 центов за квадратный метр. На стене висела карта мира в проекции Меркатора ощетиненная канцелярскими кнопками. Криса тепло встретил лично UBuy — Цезарь Карренза.
Цезарь пришел в подполье окольным путем. В 2001 году он закончил институт DeVry по специальности программирование и надеялся найти работу в Интернете. Когда найти такую не удалось, он решил попробовать себя в качестве самостоятельного предпринимателя в сети.
Из объявления в газете Daily Commerce он узнал о предстоящем аукционе, где владельцы публичного склада в Лонг Бич продают содержимое контейнеров, брошенных арендаторами. Придя на этот аукцион, он обнаружил, что там соблюдается весьма специфический ритуал. Управляющий, вооружившись внушительным болторезом, перерезал замок недобросовестного владельца на глазах у участников аукциона и открывал дверь. Участники — их было около двадцати — старались оценить содержимое стоя на отдалении нескольких метров. Победитель мог закрыть контейнер своим навесным замком и должен был очистить его от содержимого в течение 24-х часов.
Опытных участников аукциона было легко определить по свисающим с их поясов замкам и фонарикам, чтобы вглядываться в темные контейнеры. Цезарь не был так подготовлен, но был полон энтузиазма. Он был единственным, кто сделал ставку на первый лот аукциона, заполучив за 1 доллар контейнер полный старой одежды.
Он продал одежду на гаражной распродаже и на eBay на сумму около 60 долларов. Осознавая, что он нашел неплохую нишу, Цезарь стал посещать больше аукционов на складах и ликвидациях бизнесов подламывая большие лоты и реализовывая их на eBay с довольно неплохой прибылью. Он вкладывал полученные деньги обратно в бизнес и открыл собственную витрину в торговом центре Лонг Бич, чтобы принимать товары от соседей: офисную мебель, шезлонги, джинсы неизвестных производителей, и продавать их онлайн.
Это была хорошая, честная работа — не то, что его последний бизнес. На протяжении большинства лет в 90-х, Цезарь занимался мошенничеством с кредитными картами. Он был гораздо счастливее сейчас, когда занимался продажами через eBay, но воспоминания о прошлом заставили его задуматься: что если бы существовал специализированный магазин оборудования, которое он использовал, как мошенник. Он заказал несколько MSR206 (энкодер карт с магнитной полосой, снят с производства, — прим. редактора) у производителя и разместил их в своем магазине UBuyWeRush на eBay. Он был впечатлен тем, как быстро их расхватали.
Один из его новых покупателей рассказал ему о сайтах, где он действительно мог продавать. Он представил Цезаря Скрипту (Script), который утвердил UBuyWeRush в качестве продавца на CarderPlanet. Цезарь разместил свое вступительное слово 8 августа 2003: «Я решил обеспечить всем необходимым всех вас, ребята, кто делает действительно много баксов» — написал он. «Так что если я вам нужен, я продаю принтеры для карт, эмбоссеры, типперы, кодировщики, небольшие считыватели и прочее. Я знаю, это звучит как реклама, но это для вас, БЕЗОПАСНОЕ место для покупок».
Бизнес взлетел той же ночью. Цезарь создал собственный сайт, начал торговать на Shadowcrew, получил телефонный номер 800 и стал принимать e-gold — излюбленную анонимную онлайн-валюту кардеров. Он заслужил репутацию за отличный клиентский сервис. С клиентами любого часового пояса он был очень щепетилен и отвечал на телефонные звонки когда бы они не случались — днем или ночью. На другом конце провода всегда были деньги.
Будучи ответственным бизнесменом, он гарантировал отправку в день заказа и выстраивал отношения со своими конкурентами, так что если вдруг у него образовывался дефицит одного из товаров, он мог пополнить запасы у конкурента, чтобы выполнить заказы и оставить своего покупателя довольным. Подобные стратегические ходы скоро сделали UBuyWeRush топовым поставщиком оборудования для хакеров и похитителей персональных данных по всему миру.
«Действительно хороший человек, с которым приятно иметь дело», — написал кардер, именующий себя Страх (Fear), консультируя новичка сайта Shadowcrew. — «Не кидай UBuyWeRush, потому что он классный парень и будет держать информацию о тебе в тайне».
Скоро Цезарь расширил ассортимент на сотни единиц: скиммеры, специальные камеры для фото на документы, прессы для тиснения фольгой, чистый пластик, принтеры для печати штрих-кодов, эмбоссеры, чековая бумага, картриджи с магнитными чернилами, даже дешифраторы для кабельного ТВ. Торговля оборудованием сама по себе была законной до тех пор, пока он не использовал его в криминальных целях. У него были даже законопослушные клиенты, которые покупали его технику для изготовления удостоверений компании и школьных талонов на обед.
Заваленный заказами, Цезарь дал объявление о поиске помощников в соответствующий раздел и начал нанимать работников для ведения учета, упаковки и отправки товаров. Когда открылись помещения по соседству, он присоединил их в качестве дополнительного склада, удвоив, а затем утроив его площадь. Зачарованный глобальным охватом своего скромного магазинчика, он купил настенную карту и, каждый раз отправляя заказ в новый город, втыкал кнопку в место отправки. Через полгода карта была утыкана кнопками, подобно дикобразу, по всем Соединенным Штатам, Канаде, Европе, Африке и Азии. Непроходимый лес из металла на карте вырос юго-западнее России на Черном море. На Украине.
Крис и Цезарь стали друзьями. Он даже пригласил его на обед вместе с Миссис UBuyWeRush — Кларой, а так же двумя сыновьями Криса — хорошо воспитанными детьми, которые остались за столом до самого десерта. Крис особенно любил зависать в офисе Цезаря. Никогда не знаешь кто придет в UBuyWeRush. Кардеры слишком параноидальны, чтобы заказывать доставку нелегального оборудования даже на подставное лицо, поэтому в большинстве случаев были готовы совершить путешествие в Лос-Анджелес и забирать свои вещи лично, открывая дверь рукавом рубашки, чтобы не оставлять отпечатков пальцев, и платили наличными. Иностранные кардеры отдыхающие в Калифорнии заезжали просто чтобы увидеть легендарный склад собственными глазами и пожать руку Цезарю.
В тот день человек, зашедший забрать MSR206 был последним, кого Крис ожидал увидеть в магазине Цезаря — двухметрового хакера с длинными волосами, собранными в хвост.
Крис был потрясен. Макс редко покидал Сан-Франциско в последнее время, и он ничего не говорил о том, что собирается выбраться в город. Макс был так же удивлен, увидев Криса. Они неуклюже обменялись любезностями.
Была только одна причина, которая заставила бы Макса тайно выбраться в Лос-Анджелес для покупки персонального кодировщика магнитной полосы — Крис это знал. Макс решил прекратить делиться наиболее ценными данными.
— Макс приложил руку к одной из самых крупных ошибок безопасности в банковской истории, той, о которой большинство потребителей никогда бы не услышали, в то время, как она обогащала кардеров на суммы в миллионы долларов.
Commerce Bank — банк средних размеров в Канзас-Сити, штат Миссури — возможно, был первым, кто понял, что происходит. В 2003 году банковский управляющий безопасностью был предупрежден о необходимости проверить клиентские счета, с которых в течение дня были сняты суммы от 10 до 20 тысяч долларов через банкоматы в Италии — он придет в понедельник и обнаружит, что его банк потерял 70 тысяч долларов за выходные. Когда он провел расследование, он понял, что пострадавшие клиенты стали жертвами фишинговых атак, направленных конкретно на похищение номеров и PIN-кодов их дебетовых карт.
Но кое-что в этой истории не имело смысла: коды CVV должны были предотвратить такой вид мошенничества. Без CVV кода безопасности, хранящегося на магнитной полосе карты, украденная при помощи фишинга информация не должна была сработать ни на одном банкомате в мире.
Он копнул глубже и выяснил правду: его банк просто не проверял CVV коды ни в банкоматах, ни при покупках по дебетовым картам, где покупатель вводит PIN для авторизации. На самом деле, банк не мог проводить подобную проверку, даже если бы захотел — сторонняя процессинговая сеть используемая банком даже не передавала секретный код. Итальянские фишеры могли внести любую бессмыслицу в поле CVV и карта была бы принята, как валидная.
Управляющий сменил процессинговую сеть и перепрограммировал сервер на верификацию CVV. Таинственные выводы денег из Италии прекратились той же ночью.
Но Commerce Bank банк был только началом. В 2004 году примерно половина американских банков, кредитно-сберегательных организаций и кредитных союзов все еще не заботились о верификации CVV в банкоматах и при дебетовых транзакциях, поэтому папки входящих сообщений полнились фишинговыми письмами нацеленными на PIN-коды банков, которые кардеры называли «обналичиваемыми».
Ситибанк — крупнейший национальный банк по размеру вкладов — был самой известной жертвой. «Это сообщение было отправлено сервером Ситибанк, чтобы уточнить Ваш адрес электронной почты» — можно было прочитать в сообщении из России во время сентябрьской кампании 2003 года — «Вы должны завершить этот процесс, нажав на ссылку ниже и указав в появившемся маленьком окне Ваш номер карты Ситибанк и PIN, который Вы используете в банкомате.»
Более творческие сообщения в 2004 использовали обоснованные страхи клиентов перед кибер-преступлениями. «Не так давно произошло большое количество попыток кражи персональных данных направленных на клиентов Ситибанка», — гласило сообщение, украшенное логотипом Ситибанка. — «Для того, чтобы обезопасить Ваш счет, мы просим Вас обновить PIN вашей карты Ситибанка». Нажав на ссылку, клиент банка попадал на отлично подготовленное подобие оригинального сайта, размещенное на хостинге в Китае, где жертве предлагалось ввести данные.
Отлично подходившие для прямого снятия наличности, PIN-коды были святым Граалем кардинга. И был Король Артур (King Arthur) c сайта CarderPlanet, который был наиболее успешен в его поиске. Король, как его звали друзья, руководил интернациональной сетью, специализировавшейся по атакам на клиентов Ситибанка. Он был легендой в мире кардинга. Один из заместителей Короля Артура, американский экспат в Англии, однажды обмолвился коллеге, что Король делает 1 миллион долларов в неделю на международных операциях. И он был лишь одним из многих выходцев из Восточной Европы занимавшихся обналичиванием в Америке.
Макс включился в историю с Ситибанком по своему: он заразил трояном американского обнальщика под ником Такс (Tux) и начал перехватывать PIN-коды и номера счетов, которые тот получал от своего поставщика. Через некоторое время, он связался с источником поставок — анонимным Восточно-Европейцем, за личностью которого, как подозревал Макс, скрывался сам Король Артур — и откровенно признался ему в том, что сделал: он сказал, что Такс был виновен в безалаберном отношении к безопасности. Для верности, Макс добавил безосновательное обвинение обнальщика в обкрадывании своего поставщика.
Поставщик сразу же прекратил отношения с Таксом и начал пересылать PIN-коды напрямую ему, признав хакера своим новым обнальщиком.
Когда PIN-коды начали поступать, Макс передавал их Крису, который вгрызался в них со всей силы. Крис снимал 2000 долларов наличными — дневной лимит банкоматов — затем посылал девочек совершать покупки в магазинах до полного опустошения счета. Он потрошил карты. Максу это не нравилось. Весь смысл обналичивания был в получении наличных, а не в перепродаже вещей лишь за часть их стоимости. Добавив в схему немного изящества, можно было сделать карты более ликвидными.
Затем ему пришло в голову, что он вовсе не нуждается в своем партнере для этих конкретных операций.
Вернувшись от UBuyWeRush со своим собственным MSR206, Макс начал вести бизнес самостоятельно. Он кодировал пачку подарочных карт Visa информацией по счетам и писал на прикрепленной к каждой карте бумажке ее PIN. Затем он садился на велосипед или шел пешком по извилистому пути через весь город посещая небольшие частные банкоматы расположенные в местах недоступных камерам наблюдения.
Он вводил PIN, сумму снятия и клац, клац, клац, клац — банкомат выдавал наличные, как игровой автомат в казино. Макс убирал деньги, записывал на листочке новый баланс счета карты, оглядывался, чтобы убедиться, что не привлек лишнего внимания, и доставал следующую карту из набора. Чтобы не оставлять отпечатков пальцев, он нажимал кнопки через кусочек бумаги или ногтями, либо покрывал кончики пальцев гидроксиквинолином — прозрачным липким антисептиком, который продавался в аптеках в качестве жидкого пластыря.
Макс исправно отправлял процент своей выручки в Россию через систему MoneyGram компании Western Union, согласно их договору с поставщиком. Теперь он на самом деле был преступником и занимался однозначно подпольным бизнесом. Даже после того, как обзавелся собственным кодировщиком, Макс продолжал отдавать некоторые PIN-коды Крису, который продолжал заставлять свою команду агрессивно выжимать счета до конца.
Понятно, что промысел Макса не особо походил на деятельность Робин Гуда, но Макс испытывал моральное утешение от того факта, что обналичивание всегда заканчивалось блокировкой карты. Это означало, что мошеннические снятия наличных были обнаружены и Ситибанк будет вынужден возместить потери своих клиентов от воров.
Через несколько месяцев Макс неплохо устроился на потерях Ситибанка: он вместе с Чарити переехал в дом стоимостью 6000 долларов/мес. в Коул Велли, Сан-Франциско, и установил сейф для полученных доходов в 250 000 долларов наличными.
Его прибыль была лишь мелкой частью всех потерь от оплошности с CVV-кодами. В мае 2005 аналитики компании Гартнер (Gartner) провели опрос 5000 онлайн-потребителей и, экстраполировав результаты, подытожили: эта ошибка стоила финансовым институтам США 2.5 миллиарда долларов. Всего за 1 год.
Продолжение следует...