Как мы взломали 18 работающих кардерских магазинов и не взяли ни цента
В наше время развелось огромное множество «именитых» специалистов в области информационной безопасности, люди, считающие что знаний по настройке FireWall уже достаточно чтобы причислить себя к «хакерам» или спецам в области ИБ. Лично я всегда считал, что у меня недостаточно знаний в этой сфере даже для того чтобы написать нормальную статью, но недавний успех этой истории на одном форуме по кибербезопасности и огромное количество отзывов побудили меня написать эту статью на хабр.
Для тех кому интересно как мы с ребятами вскрывали кардерские шопы Just For Fun добро пожаловать под кат.
Всё началось с того что мы с друзьями готовились организовывать вышеупомянутую коференцию HackIT 2015 (надеюсь не сочтут за рекламу) и в поисках денег на это мероприятие … Нет, не то что вы подумали… мы не решили ограбить пару владельцев кредитных карт. Мы решили собрать денег у инвесторов и IT компаний города, мы подготовили классный спонсорский пакет, запилили сайт и пошли по городу в поисках денег. Нам нужна была фишка, нужна была горячая тема, реальная угроза которая касалась бы каждого и при этом была простой и понятной, тем более что в Украине собрались вводить киберполицию, о направлениях деятельности, которой никто ничего не знал. Мы решились рассказать про кардинг, во-первых это самые популярные и очевидные киберпреступления, во-вторых мы думали что основными инвесторами мероприятия станут банки, которые как никто должны быть заинтересованы в борьбе с кардерами. В-третьих, ребята с которыми я давно работаю, как организаторы не могли быть просто теоретиками, мы должны были показать, что мы тоже что-то умеем.
Мы начали наши поиски по популярным в андеграунде форумам, по очевидным запросам «купить кредитных карт», «buy cc», «сс market» и так далее вплоть до «отмыв грязи». Вникнув в тематику мы поняли главную вещь, что для того чтобы воровать деньги с кредиток вовсе не обязательно уметь что-то взламывать. Мы постарались вклиниться в схему как «вбивалы».
Вникнув в суть того как устроен мир кардинга мы поняли, что самым «центровым» местом, где можно найти сразу всех или почти всех есть ресурсы для кардеров, а именно закрытые форумы и магазины. Но если на форумах висело много людей которые «просто ознакамливались» с тематикой, то вот в магазинах были уже только настоящие злодеи. Мы твердо решили собрать список работающих интернет магазинов и найти самые крупные. Составили для себя небольшой список:
priv**eshop[dot]su, fres**ase[dot]ru, bro**v[dot]ru, trac**shop[dot]cc, no**bv[dot]ru, us**vv[dot]ru, bt**rd[dot]su, valid**mps[dot]cc, ug**vv[dot]com, vali***hop[dot]ru, n1s**p[dot]cc, lam**duza[dot]cc, silver****market[dot]ru, pirat**cc[dot]ru, pa**-shop[dot]su, octa**an[dot]cc, va****hop[dot]cc, zu***shop[dot]cc
Извиняюсь за большое количество звездочек, но не очень хочется чтоб дети сейчас же пошли скупать кредитные карты.И так мы зарегистрировались в одном из них:
Как видим с нас просят всего 15 долларов чтоб стать активным пользователем. Но мы жадные и не платили, вместо этого мы постучали болгаркой в двери, то есть «открыли» PHPmyAdmin (на скрине локальная копия).
dr_uploader1@mail.ru, dr_uploader@yahoo.com – наш супер кардер использует египетский VPN 41.35.14.209 но как по мне он явно из России… Всех юзеров сольем. С почтовиками, позже отдадим куда надо (уже давно отдали), заботливый админ даже логировал входы, записывал IP своих клиентов, это правильно, так же удобнее!
Забыл сказать, мы же зарегались как admin2 (без особого труда). Просто делаем себя не юзером а админом (в user_groupid у нас теперь 1, вместо 3) и мы админы, смотрим что да как. Погуляв под admin2 мы с удивлением обнаружили что админом то мы не являемся (не понятная логика работы скрипта). Тогда мы решили зайти под admin.
Вот тут уже было чуть-чуть приятнее. Даже тикеты и приватные сообщения посмотреть можно.
Начитавши вдоволь душевно лирических историй мы перешли к главному вопросу: где же карты.
И тут мы обнаружили что данные в таблице «cards» зашифрованы, причем явно не base64.
Выход один, нужно смотреть в скрипты, сказано и тут же сделано, спокойненько выкачиваем весь сайтец к себе. И начинаем искать у себя, чтобы не сильно напрягать покупателей магазина.
Поиск по слову ENCRYPT, сразу дает результаты.
И тут мы вникли в схему добавления новых карт, как нам показалась она выглядела как то так:
Но как видно выше, волшебный ключик есть в коде и мы его нашли.
Дальше то дело не сложное. SELECT *, CAST( AES_DECRYPT( card_fullinfo, ‘f4’ ) AS CHAR( 50 ) )
card_fullinfo_decrypt FROM `cards` LIMIT 0, 30
И вот он золотой эльдорадо, можно идти покупать себе мерседес! (Часть данных для приличия я замазал, а то мало ли кто пойдет покупать).
Тут казалось бы можно заканчивать вот такой не мало известной картинкой:
Однако не тут то было. Всем же интересна статистика?
- 5898 – пользователей зарегистрировано только в этом магазине. (Таблицу пользователей я выставлю отдельно, народ должен знать своих героев).
- 71 пользователь с положительным балансом которые реально воруют в данный момент. (Эти переданы куда нужно).
- 53.029 Кредитных карт в БД данного магазина.
- 37.022 PayPal аккаунтов в БД данного магазина.
Если у каждого пользователя украсть хотя бы 100$, то получим 9.млн $ Если взять что в среднем у пользователя воруют 500$, то получим 45.млн $
И так, мы отбекапили себе всё что есть, почистили за собой следы и положили в сухое недоступное для детей место. Мы готовы передать эти данные (без ворованных кредиток и личных данных жертв) любому кто захочет исследовать этот кейс дальше. Сотрудники правоохранительных органов уведомлены, времени прошло предостаточно, те сотрудники которые не уведомлены я надеюсь иногда читают статьи, могут связаться с нами и мы предоставим развернутые бекапы (опять-таки, без личных данных жертв).
Ну и на последок. Успешно получен контроль над 4 BTC кошельками хозяина, но он вовремя включил двухэтапную аутентификацию на blockchain. За то мы можем мониторить его финансовое благополучие. Извиняюсь если где то написал не подробно или не совсем понятно, есть 2 проблемы:
- Мало опыта написания статей.
- Уголовный кодекс который запрещает разглашать некоторую инфу.
Внимательный читатель обратит внимание что в статье только про один магазин, а бекапов 18. Но это уже совсем другая история.Надеюсь данная статья не нарушает никаких правил хабра, старался никого не рекламировать и ничего секретного не разглашать. Мой первый пост, критикуйте!