Занятие шестое: carding или "Кто вы, Иван Говнов?"

Занятие шестое: carding или "Кто вы, Иван Говнов?"

Малициус Фрод
malicious_fraud@email.com

По следам не наших публикаций

Особенно внимательный читатель, уже прочтя заголовок, спросит: "А не тот ли это Говнов, который рассказывал о фокусах с чужими кредитками в третьем номере журнала "Хакер"?". Отвечаем - не совсем. Боится "Хакер" печатать правду. Фактически по мотивам моих идей ту статью написал тамошний редактор. Так что читайте правду здесь, у нас.

Опять технология

А вы что думали? Дурак не может быть жуликом. Аферист должен все знать, во всем разбираться, хотя бы на уровне объектов. Поступим так: сначала я очень сжато опишу принципы работы платежной системы с использованием карт, а потом подробно расскажу, что из этого и как можно использовать для извлечения прибыли. И что использовал я сам, и что меня к этой идее подвело, тоже расскажу. Описание принципов функционирования платежной системы вам может показаться излишне подробным. Но не забывайте - лишних знаний не бывает (все знают, что арифметические правила для двоичных чисел сформулировали еще во времена Колумба?). Четкое представление о функционировании системы спасает от множества ошибок.

Замечание

Сразу замечу, что это - не пособие по сдаче экзамена на должность начальника отдела по работе с пластиковыми картами, здесь многое упомянуто лишь вскользь, кое-что для простоты опущено или названо иначе. Специалисты наверняка смогут написать по главе комментариев на каждое определение. Однако для наших целей этого описания вполне достаточно.

Зачем нужны карты

Начнем с основ. Почему вообще придумали карты? Потому что магазинам ужасно неудобно возиться с наличкой - ее нужно возить, охранять, страховать, нужна мелочь на сдачу. В общем, полно проблем. Все эти проблемы решаются, но решаются не бесплатно. С карточками проблемы тоже есть, но их гораздо меньше. Одно то, что не нужны бронированные машины, страховка и автоматчики для перевозки денег, уже само по себе является решающим фактором.

Карту выдает банк

Первое, что нужно запомнить - карту выдает ваш банк. Надпись на карте - VISA или MasterCard (про AMEX и DINERS мы говорить не будем, там все иначе) - не более чем признак ее работоспособности в соответствующей платежной системе. Соответственно, и количество денег на вашем счету, и лимит расходов знает только ваш банк.

Как все работает

Вы приходите в магазин, в кассе даете свою карту. Кассир может проверить ваши документы, хотя обычно этого не делает. Дальше возможны два варианта - либо в магазине есть возможности для online-авторизации, либо их нет. В первом случае кассир обязательно пытается получить авторизацию. Для покупателя это выглядит так - кассир проводит его картой по специальному месту в кассе, после чего что-то шкворчит и вылезает чек. Это если все в порядке. Если же нет, то что-то мерзко пищит, и продавец пытается снова.

Что такое авторизация

На практике авторизация - это просто число. Получив и запомнив его, продавец гарантирован от неприятностей, даже если выяснится, что карта - краденая или покупали вовсе не вы. На самом же деле авторизация - это процесс получения разрешения на покупку. То есть в идеале разрешение нужно получить от вашего банка. Полезно еще помнить, что результатом авторизации бывает не только Да или Нет, но и приказ Изъять карту.

Кассы, машинки и бибикалки

Если касса "понимает" кредитки, скорее всего авторизация происходит online, что в данном случае означает "немедленно". Если же в магазине мы видим "машинку" (такая платформочка примерно 20 на 10 сантиметров, с огромной ручкой-рычажком), значит, здесь авторизацию получают "ручками". На практике это означает "никак не получают". То есть, конечно, могут и позвонить голосом, но это бывает крайне редко, особенно когда есть еще посетители. Остроумное решение я видел в Израиле - телефонный аппарат со щелью для карты. Проводишь картой, и он набирает заранее запрограммированный номер, потом пиликает тоном туда номер карты. В ответ звучит голос - "все OK" или "изъять карту". Это, конечно, не полноценная авторизация, а просто проверка по стоп-листу (это список карт, подлежащих изъятию), но все же удобнее, чем ручками.

Процессинговый центр

Но ваш банк может быть и в Гондурасе, да и не обязан работать в момент, когда вы решили идти по магазинам. Поэтому продавец обращается не в банк, а в ближайший процессинговый центр (далее - просто центр). Этот центр не имеет к вашему банку никакого отношения, он просто член той платежной системы, логотип которой изображен на вашей карте. Центр просто обслуживает близлежащих торговцев. Его задача - дать ответ: разрешено ли данной карте потратить нужную сумму. Как правило (но необязательно), центр находится в одном из местных банков.

Связь

Итак, центр - это просто несколько компьютеров и оборудование связи. К нему обращаются торговцы с запросом вроде "карта NNN сумма MMM". Его задача - дать ответ Да, Нет или Изъять карту. Чтобы дать ответ, центр обращается к главному компьютеру платежной системы (на самом деле, конечно, это не один компьютер, а много, и вовсе необязательно, что все они находятся в одном месте). В случае VISA это так называемый BASE-1. Есть еще BASE-2, который занимается обработкой совершенных транзакций (для продвинутых, clearing), но для нас он неинтересен. Так вот, BASE-1 пытается связаться с банком, выдавшим карту, или с его процессинговым центром. Если это получается, то все в порядке. Но получается это не всегда - в Гондурасе может не работать связь, банк или электричество. В этом случае BASE-1 дает ответ сама, исходя из целого ряда факторов (страна, откуда пришел запрос, тип карты, тип торговой точки). Эти лимиты по умолчанию может изменить банк, выдавший карту. В случае с Europay (они обслуживают карты Eurocard/Mastercard) названия другие, но технология практически такая же.

Замораживание

Полезно помнить, что как только торговец получил авторизацию на какую-то сумму, эта сумма на вашем счету считается замороженной, даже если вы передумали совершать покупку. На самом деле все чуть сложнее (опять же, для продвинутых - уменьшается open-to-buy limit), но в рамках нашего обсуждения такое упрощение вполне уместно. Торговец может аннулировать авторизацию, но это геморрой (хоть и минимальный), и обычно он отказывается это делать.

Путь денег

Подробное рассмотрение мы прекращаем. Как деньги с вашего счета попадут на счет торговца - дело для нас малоинтересное. Чтобы украсть здесь, нужно работать в банке или в платежной системе. Так что отложим до лучших времен.

И где тут можно поучаствовать

Если у вас есть хорошая технологическая база и группа достаточно отвязанных людей, можно творить буквально чудеса. Я не буду вдаваться в подробности, потому что все довольно очевидно для профессионалов и совершенно нереализуемо любителями. Кое-что из описанного мы, к слову, делали.

Можно перекроссировать телефон процессингового центра на себя, прикинуться этим самым центром и авторизовать нужные карты на любые суммы (это обычно показывают в кино; в жизни не применяется, это как из пушки по воробьям). Можно поставить свой банкомат, собирать номера карт и PIN-коды, и тут же, за углом, снимать со счетов простаков максимально возможные суммы (применяется сплошь и рядом; если банкомат к тому же будет выдавать деньги, его вообще нескоро "расшифруют"). Можно подделывать собственно карты (отливать их из пластика, как это делали в России несколько лет назад), но это идиотизм. Можно ходить и покупать по собственной карте, а в конце дня заявить о ее пропаже. Это самый простой и распространенный способ.

Гораздо лучше создать два устройства - читалку и писалку магнитного слоя карт. Читалку разместить в хорошем месте (скажем, на бензоколонке в Израиле). Кассир (русская девушка, конечно) будет считывать карты читалкой. Потом данные из читалки будут записаны писалкой на настоящую карту настоящего персонажа. Получится карта с чужим магнитным слоем. С ней этот персонаж пойдет отовариваться. У него могут даже проверить документы - сколько угодно, на карте-то его фамилия. Никто же не сверяет циферки на экране с циферками на карте. А счет за покупку придет незадачливому автолюбителю из далекой страны. Если же нашего персонажа возьмут в магазине, он совершенно искренне разведет руками и скажет, что ничего не понимает, пришел купить этот телевизор за $15 000, а на него с пистолетом почему-то кидаются. Даже в банке, выдавшем его карту, разведут руками - скажут, что глюк, бывает. И выдадут новую.

Можно взломать DES и вычислять PIN'ы. Тот, кто это сделает (или уже сделал?) получит возможность отовариваться в любом банкомате любой суммой (не забывая надевать маску, конечно - в банкоматах бывают видеокамеры). Подробности этого ищите в Internet. Можно даже заставить весь Internet ломать для вас DES - а почему, вы думаете, SETI@home не раздает исходных текстов?

Есть еще тысячи способов, которые легко придумать, но их реализация - тяжелая работа, ничем не легче программистской, преподавательской, журналистской или работы бармена (это все по собственному опыту). Разве что чуть более доходная. А теперь история про то, как и почему этим занимался я.

Все в жизни связано

Все началось с микросхем памяти ROM (по-русски ПЗУ) для наших телефонов. Пока их нужно было мало, мы их покупали на рынке радиодеталей. Но вскоре мы выбрали весь запас и столкнулись с дефицитом. Встало производство сверхвыгодной продукции. Все торговцы предлагали только на заказ. Электронщики предположили, что можно бы и самим заказать нужные детали, выиграть время, да и не переплачивать. Я преодолел в себе брезгливость и в мерзком IRC (на что только не пойдешь ради денег!) спросил на канале #cellular у обитавшего там народа, как вообще у них в Америке покупают детали почтой. Мне сразу ответили - конечно, в Digicom'е (сейчас убил полчаса на то, чтобы найти URL, но тщетно - закрылись они, что ли?).

Паранойя

Стало ясно, где брать детали. Выбирать в online было неудобно: цена Internet'а тогда была под 3 бакса в час, да и связь омерзительная. Поэтому решено было заказать бумажный каталог. Заказать-то дело нехитрое - бесплатный он, а вот получать как? Если все делать по-честному, то проблем быть не должно, но я всегда, начиная любое дело, рассчитываю на самое некузявое его завершение. То есть что придется быстро-быстро убегать и думать о следах будет уже поздно. Так что любой реальный адрес отпадал. Бизнес-центров, где за небольшие деньги можно анонимно арендовать почтовый ящик, еще не существовало. На почте не было свободных ящиков, да и паспорт там нужен. Не покупать же краденый паспорт ради поганого почтового ящика! Я пошел на прогулку вокруг дома и нашел "лишний" почтовый ящик - ящиков в подъезде было больше, чем квартир, и один был без номера. На нем я намалевал номер, на единицу больший максимального номера квартиры, и пошел заказывать каталог на этот адрес. Через каких-то 10 дней в ящике уже лежал пакет. Мой пакет.

Иван Говнов

В те же времена "родился" и Иван Говнов. Придумал эту фамилию не я, но когда услышал, то понял - это идеальный адресат. Фокус в том, что для не говорящего по-русски это совершенно русская фамилия (СмирноФФ, ИваноФФ, ГовноФФ). Для русского же уха это очевидно вымышленный персонаж, бесперспективность поисков коего очевидна.

Посчитали - прослезились

Конечно же, неопытные всегда хотят быть честными. Поэтому я не стал бурно реагировать на предложение электронщиков купить все по-честному. Когда составили первый заказ, выяснилось, что столько денег просто нет - там же все такое красивое, полезное, они и набрали всего, на что глаз упал. Это для меня железки, а для них-то это жизнь. Даже после солидного сокращения объема (раза в три), сумма все равно не радовала. Ну и убедились, что без фокусов не получится. Было решено покупать по левым кредиткам.

Где брать карты

Здесь проблемы не было. По крайней мере, я так думал сначала. У меня было множество знакомых хакеров, воровавших номера карт и прочую информацию в Internet'е, с плохо защищенных сайтов. Но, как всегда бывает с хакерами, пользы от них оказалось немного. Их номера прекрасно подходили к порно-сайтам, но в упор не признавались в магазинах. Тогда я вспомнил про Испанца (того самого, из истории про девчонок), который к тому времени уже давно жил в Нью-Йорке и зарабатывал на жизнь угоном автомобилей под заказ. Он без труда нашел какую-то девочку в баре, которая с огромным удовольствием продавала ему номера чужих карт по $10-$15 за штуку. Потом они оба настолько обленились, что просто присылали мне факсом слипы (slip - это квитанция такая, из их машинки с рычажком).

Первый блин, конечно, комом

И вот мы оформили первый заказ. У меня был готов план, как его получать. Для этого я обзавелся чужим паспортом (бандюки подогнали, бесплатно). Фотку в паспорте я менять не стал - неприятно попасться с двумя паспортами с одинаковой фоткой и с разными фамилиями. Как только посылторг отправил посылку и я получил номер отправления, я побежал в местный офис Fedex'а. Там я назвал фамилию из чужого паспорта (по странному стечению обстоятельств, он и оказался адресатом посылки) и вежливо спросил, нет ли еще моего отправления за номером NNN. Конечно, его еще не было (посылка лежала на складе отправителя - в этом я убедился перед походом в офис при помощи их tracker'а). Мне сказали, что еще нет. Я зашел после обеда. И заходил каждый день, по два раза. На третий день меня стали узнавать и называть по фамилии из чужого паспорта. В конце концов, когда посылка дошла, мне были уже готовы ее отдать без всяких документов, как вдруг выяснилось...

Засада

Оказалось, что в этой милой стране нужно платить еще и таможенную пошлину в размере 30% (это тогда было 30%, теперь уже 50%; зверье эти таможенники проклятые!) от объявленной цены отправления. А поскольку отправляла солидная фирма, о занижении цены отправления не могло идти и речи, даже если бы я знал о грядущей подставе.

Смешно

Сложилась ужасно смешная ситуация. Мы украли товару на 5 или 6 тысяч баксов, но, чтобы его получить, нужно было выложить еще полторы или две! На это я пойти никак не мог, хотя бы из принципа.

Скандал

Я пришел к директору местного филиала Fedex'а и начал его уговаривать отослать посылку в другую страну, откуда мне ее привезут контрабандой. Он изображал ужас и не соглашался. Говорил, что отослать посылку имеет право только назад, отправителю. И еще его просто возмущало мое нежелание платить налоги. Отставной военный, что возьмешь! Уговаривал я его часа два. Убеждал его, что клиентов нужно любить, а он не любит, что клиент всегда прав. В общем, гнал пургу. Потом мне это надоело, и я начал ему хамить. Посоветовал смотреть под ноги и над головой, а то, не ровен час... В общем, ни до чего мы не договорились, и я ушел ни с чем, строить другие планы.

Прозрение вояки

Каково же было мое удивление, когда через несколько дней на "мой" пиратский телефон (моим он был потому, что я взял себе чей-то номер и отвечал вместо хозяина) позвонил испуганный вояка-директор и сказал, что много думал и согласен с тем, что они плохо обслуживают клиентов и что вопрос с отсылкой моего отправления в третью страну практически решен. Он договорился с другой курьерской фирмой, TNT, что они отвезут мою посылку куда я захочу, и для этого мне нужно позвонить туда и спросить такого-то.

Циничные курьеры

Люди по указанному номеру мне очень обрадовались и предложили немедленно подъехать. Я подъехал и спросил, сколько будет стоить доставка. Они сразу спросили - а зачем ее туда-сюда гонять? И предложили у них же и выкупить мою посылку. Заплатив $200 вместо $2000, я уехал вполне довольный. Там же я договорился, что посылки буду отправлять на любые адреса и просто сообщать этим милым людям номера отправлений. И еще договорился, что посылки будут оформляться как "украденные со склада". То есть концов найти будет совершенно невозможно. Если не считать этих ребят, конечно. Дело в том, что я убежден - каждого таможенника когда-нибудь посадят. И он сдаст всех. Так что и тут я подстраховался - оставил им номер чужого пейджера, который постоянно подслушивал. И назвался, конечно, Сергеем. Через них мы еще много-много раз получали посылки, но из-за того, что фирма TNT не очень-то популярна среди американских посылторгов, я придумал и другой способ.

Чтобы вообще на халяву...

В какой-то момент я подумал, что неплохо бы оплачивать таможенную пошлину с той же кредитки, с которой я оплачиваю текущую покупку. И обратился в очередное курьерское агентство. Там я долго объяснял, чего же хочу. И оказалось, что можно. Делая покупку, я ясно, четко и много раз, устно и факсом, объяснял продавцу схему отправки. И местное отделение курьерской фирмы расплачивалось с местной же таможней за меня. Я же просто забирал груз. Как приятно получать что-то совершенно на халяву (за карты мы расплачивались телефонами).

Кто же попадает

Кто же попадает в такой схеме? Это вопрос. Если сумма велика, то не попадает никто. Помните, у Гаррисона (ищите фразу "Те же самые деньги") - если грабишь банк, то он получает страховку, страховая компания получает чуть меньшую прибыль и платит чуть меньше дивидендов и налогов. Излишне говорить, что налоги, один хрен, разворовываются все без остатка. А вот если сумма невелика, то пострадавший может просто полениться затевать с банком тяжбу (у моего знакомого подобным образом украли около трехсот баксов, и он поленился судиться с банком - просто закрыл там счет). И тогда попадает владелец карты. Так что брать лучше помногу: несколько тысяч (если проходит авторизация) - вполне разумные деньги.

Как они защищаются

Сначала посылторги требовали указывать адрес владельца карты. Но и адрес тоже можно получить. Теперь они отказываются высылать покупки иначе как на этот адрес. Это ужасно неудобно, прежде всего, владельцам карт. Можно, конечно, указать в банке несколько адресов, но тогда банк будет их знать, что тоже не всегда хорошо. В общем, нужно искать торговцев, у которых нет фашистских правил. Таких немало, можете мне поверить.

Когда все-таки поймают

Сразу оговорюсь, что никого из нас не поймали. Но мы не особенно и увлекались - покупали только то, что было необходимо для работы. Но люди неидеальны. Одним из наиболее ярких проявлений этого является жадность. И хоть ясно, что поймать можно только на потоке, человек, дорвавшийся до наживы, не отойдет, пока его не поймают. Так что уместно дать некоторые советы, как правильно общаться с ними. Это классно описано в полезном документе (в тексте ищите строчку "Intelligence and Interrogation Processes"), который был опубликован в первом номере бюллетеня группы Legion Of Doom. Удивительно, но почти то же самое пишут бывшие советские диссиденты, базируясь на собственном опыте - призывают думать головой, отвечая на вопросы, а не полагаться на знание законов. Еще полезно почитать какой-нибудь учебник для молодых ментов. Там все очень доступно изложено, сообразно их уровню интеллекта.

Меры предосторожности

Как же владельцу карты уберечься от неприятностей? Стопроцентной гарантии быть не может. Единственный довольно эффективный метод - это иметь два счета в одном банке, один простой, другой с карточкой. И переводить на него ровно столько, сколько может понадобиться в ближайшее время. Фокус тут в том, что потратить больше, чем есть на счету, очень трудно. Так что и наполнять "карточный" счет нужно ровно настолько, насколько необходимо. Это ужасно неудобно, но другого способа нет.

Домашнее задание

Подумайте, где бы вы брали номера чужих карт, если бы у вас возникла такая необходимость. Где бы купили чужой паспорт. Куда бы пошли, если бы за вами гналась милиция или бандиты.

И не нужно в гневе отметать такую мысль. Главное в преодолении косности мышления - это сделать первый шаг. У типичного лоха в такой ситуации перед глазами возникает пелена. Ему страшно. Боритесь. И у вас получится. А тот, кто не сможет, останется лохом. Пожалеем же его.