Кардинг – реальный бизнес для виртуальных мошенников

Легальный бизнес часто приносит солидную прибыль, а вместе с ней и немалую головную боль в виде отчетов и налогов. К сожалению, далеко не все стараются следовать закону, а Интернет – один из самых удобных способов его обойти и при этом быстро разбогатеть. Раньше это называлось одним элементарным словом «мошенничество», а те, кто этим непосредственно занимался – «мошенниками». Теперь Интернет населяют всевозможные скиммеры, фишеры, кардеры и иже с ними. Причём объект интересов последних - львиная доля населения нашей планеты, но мало кто об этом знает. Пока кого-нибудь из этой доли виртуально не обчистят на вполне реальные деньги.

Интернет не зря прозвали Всемирной паутиной. Одни воспринимали его как очередное развлечение, созданное исключительно для приятного времяпровождения. Другие использовали в более продуктивных целях. Например, школьники и студенты без труда находили здесь информацию, ради которой раньше приходилось проводить день в пыльном библиотечном пространстве. В общем, изначально он пришёлся по вкусу всем и использовался исключительно в мирных целях.

Однако по мере того, как разрасталась «сеть», нашлось место и вездесущей человеческой сообразительности. Которая по идеально спланированному сценарию в дальнейшем трансформировалась (чего и следовало ожидать) в немалый доход.

Теперь Интернет представляет собой безграничное электронное пространство, где каждый «страждущий» сможет реализовать себя в той или иной отрасли. Всё зависит от того, насколько далеко вы готовы зайти и, соответственно, что именно вы хотите с этого иметь…


Итак, сегодня речь пойдёт о людях, которым вышеописанная сообразительность понадобилась отнюдь не в мирных целях. Причём таких «гениев» сейчас хоть отбавляй...

О кардинге до недавнего времени слышали немногие – и еще меньше народа знало, что это такое (не считая, конечно, тех, кто этим «зарабатывает»). Поскольку банковские карты в России были слабо распространены. А именно с ними и связан «бизнес» кардеров – ибо их сущность состоит в похищении денег с банковских карт граждан в чужие карманы.

В наше время кардинг перестал существовать как простая форма мошенничества. Скорее это обособленное преступное сообщество, которое постоянно поддерживает внутренние связи и весьма специализировано. Это реальный бизнес в виртуальном пространстве, вмещающий немало людей - как «чайников», всеми силами старающихся постичь таинства прибыльного ремесла, так и профессионалов, которые в свою очередь усиленно взращивают новое поколение себе подобных. В Сети полно чатов, форумов и сайтов, на которых продвинутые кардеры готовы совершенно бескорыстно, поделится опытом с приобщающимся поколением...

Кардинг, как и практически любая форма мошенничества, имеет несколько разновидностей. Он бывает вещевой и виртуальный. О первом стало известно ещё в начале 90-х годов, когда махинации с кредитными картами ещё не получили широкой огласки – за небольшим количеством кредиток. Поэтому главными (потому что более безопасными) жертвами кибермошенников на тот момент стали Интернет-магазины, которые спокойно принимали несуществующие кредитки. Точнее говоря, кардер предлагал «кредитку», сгенерированную (т.е. сделанную) им самим - ибо алгоритм ее был настолько схож с реальными картами, что магазинный робот заметить подделку не мог. Проверив этот самый алгоритм, магазины охотно высылали «покупателям» заказанный товар. Жульничество вскрывалось лишь в конце месяца, когда продавцы отправляли в банк запрос на перевод денег с карт за товары – так как оттуда, естественно, приходил отказ ввиду отсутствия такой карты в природе.

Сегодня значительная часть кардеров занимается «виртуальной» разновидностью своего ремесла – то есть скупает не «товары народного потребления», а полезные ему сетевые вещи. То есть: домены, пароли, хосты, энроллы и т.д. Между прочим, кое-что из этого легально не купишь, ибо оно не должно и не может продаваться. Судите сами: например, энролл (от англ. enroll – ввести учетную запись) – это связь кредитной карты (счета) с он-лайн доступом, возможностью узнавать и менять данные пользователя через интернет. То есть это то, что делает Вашу кредитку «живой» плюс святая святых банковской тайны - полностью вся информация о вас, включая ПИН-код. Как можно узнать такие подробности - досконально известно только самим кардерам. Данные от разблокировки кредитки их не удовлетворяют, ибо при этом выдаётся только часть личных данных владельца - например Credit card/debit card number: ******0299584**. Часть данных всё равно осталась зашифрованной, и не факт, что их удастся подобрать. Поэтому кардер продолжает поиск нужных сведений о карте. Сначала он установит, какой банк выпустил эту карту (впрочем, эта информация имеется на всех картах открыто), затем заходит на сайт этого банка и находит кнопочку с аналогичным названием «энролл» (виртуальный кабинет пользователя). Если карта «живая», т.е. никто другой ещё не использовал её для тех же целей, нас туда пустят. Авторизоваться в системе намного проще, чем подбирать комбинации карты – надо ввести пароль. Это может быть пин-код, девичья фамилия матери и т.д. После чего сайт буквально на блюдечке выдаст кардеру всю подноготную о вас, вплоть до адреса и телефона. Правда, большинство сайтов российских банков опцию enroll не предусматривают, так что кардеру необходимо купить клиентскую базу данных банка. Раз есть спрос, есть и предложение – именно поэтому раз в квартал мы слышим об очередной краже баз данных.


Однако любого специалиста или потерпевшего больше интересует не это - а то, как кардерам удаётся безнаказанно «сливать» крупные суммы денег с чужого банковского счёта. Тех, кто «работает» с банкоматами и получает информацию при съеме клиентом денег с карточки, осталось немного – смонтировать свои устройства на банкомате нельзя, ибо почти все банкоматы давно получили видеосъемку. А могущий помочь знакомый в службе безопасности банка «вычисляется» в момент, да и уровень его требуется в районе замначальника охраны. Поэтому кардерам ничего не осталось, как «перебазироваться» в Интернет - и давать полет своей фантазии, ибо в Сети для начала нужна легенда. Например, создаём реальную фирму в виртуальном пространстве, придумываем ей колоритное название. Дальше обзаводимся представительным псевдонимом и менеджером, который - пока вы будете заниматься непосредственно делами «компании» - будет общаться с «дропами» (от английского drop – сбрасывающий). В их роли обычно выступают граждане страны, в которой производится закупка товаров по чужим или краденым кредитным картам.


Основная задача «дропов» - получить товар и переправить его адресату, то есть организатору сети. Как правило, эти люди не в курсе того, что они фактически участвуют в преступлении. Дело в том, что компания при приёме нового сотрудника обычно заключает с ним все необходимые по трудовому праву договора – и человек искренне уверен, что работает курьером или дилером. Кандидатов хоть отбавляй - и в России и в мире много людей постоянно ищет работу. И увидев незамысловатое объявление типа: «Требуется менеджер по персоналу или обработке корреспонденции, работа на дому», практически любой соискатель без проблем согласится на такую непыльную должность.

Правда, период «трудоустроенности» редко длится дольше трех-четырех месяцев – далее на сеть обычно выходит полиция. Кстати, зачастую это происходит из-за того, что при уже описанной выше «разблокировке» кредитки кардер вместо имени реального владельца карты вносит данные своего «дропа». И хорошо, если он сможет доказать, что считал себя обычным «старшим помощником младшего дворника» в столь же обычной фирме (например, трудовым договором и удаленностью работы) и о махинациях от своего имени понятия не имел. А то ведь могут и за полноправного члена преступного сообщества принять и упечь в места не столь отдаленные (что для России с ее обвинительным уклоном «правосудия» особенно вероятно). Для следствия «дроп» обычно бесполезен – ибо все контакты с ним начальство осуществляло только по электронной почте и расплачивалось электронными деньгами. Излишне говорить, что сайт кардеров – следователю не помощник. У его хозяина обычно уже новая веб-страница, имя и «дропы» - пока в полиции не найдется компьютерщик покруче и следователь понастырнее, который не поленится провести весь комплекс розыскных мероприятий и добраться до «мозга». Но это случается, к сожалению, лишь при «ограблениях века»…

А зачем, собственно, кардерам собственный сайт? Дело в том, что он обычно выступает под видом Интернет-магазина, где надо расплачиваться кредитными картами или хотя бы «электронными деньгами». Приманкой служат указанные цены – на 30-70% ниже, чем в обычных магазинах, причем с правдоподобным объяснением: «конфискат с таможни», «ликвидация склада» и т.п. А дальше все зависит от наглости кардеров. Некоторые, помимо реквизитов кредитной карты, сразу требуют ПИН-код – дабы затем оперативно потратить или поснимать все деньги со счета. Другие дополняют информацию пользователя из взломанных серверов «честных» Интернет-магазинов, платежных и расчетных систем. Так что деньги с кредитки могут «уплыть» и без захода пользователя на кардерский сайт. Кое-кто может соединить в себе навыки кардера и хакера и получить нужную информацию прямо с Вашего компьютера – запустив туда «трояна» или «червя».

Отмирающий ныне по указанным выше причинам «классический» кардинг еще известен под названием «скимминг». Название идет от «скиммера» - инструмента для считывания, например, магнитной дорожки кредитной карты (см. ФОТО здесь). Это портативное устройство со считывающей магнитной головкой, усилителем - преобразователем, памятью и переходником для подключения к компьютеру. Причём скиммеры могут быть как портативными, так и миниатюрными – и вполне способны снимать информацию, когда клиент вставляет свою карточку в банкомат. Однако поскольку, как уже говорилось, большинство банкоматов обзавелось видеокамерами, установить скиммер стало несколько проблематично – и «спецы» идут в другие места, в том числе крупные магазины.

Заполучив данные о банковской карте или ее саму, кардер сначала проверяет счет на работоспособность – совершает с карты некий платеж. При этом он «вбивает» всю информацию о добыче: имя владельца, страну, город и т.д. Если платёж прошёл, значит карта работает и теперь можно приступать к «настоящему делу». То есть: найдя в любом поисковике «нужные» сайты, кардер скупает (по краденой кредитке, естественно) всё, что видит в сети – уже упомянутые хостинги, домены, всевозможные доступы и тому подобное. С реальными товарами нынешние кардеры предпочитают не рисковать – ибо доставка окажется тем самым следом, по которому к двери рано или поздно придут полицейские. Далее кардер перепродает «виртуальный товар» и получает требуемую прибыль.

Рекомендации для защиты от Интернет-кардинга во многом схожи с теми, что давались от кардинга обычного. Главная рекомендация, разумеется – обеспечьте безопасность своих персональных данных и карточки. Все Интернет-транзакции следует вести по безопасному протоколу https. Не делайте предоплаты в Интернет-магазинах – все «честные» торговцы берут деньги «по факту». Разумеется, не пишите пин-код Вашей карточки в личном блокноте и тем более на ней самой – это верная гарантия увода денег без Вашего ведома. Ну а если Вы потеряли карту – немедленно звоните в Ваш банк, чтобы карта была заблокирована; тогда для кардера и добыча и ваш счет станут бесполезной информацией.

Вообще специалисты не рекомендуют хранить крупные суммы денег на одной-двух карточках. Правда, и дома под подушкой их держать не выход – слишком уязвимо для воров обычных. Поэтому лучший выход – иметь подобно американцам и европейцам множество банковских карт, между которыми Вы перераспределите свои деньги. В таком случае потеря или кража денег с одной карточки не затронет все Ваши средства. И, само собой, выделите отдельную карту для Интернет-покупок, на которую периодически перечисляйте лишь минимум средств – достаточный для большинства планируемых Вами сетевых покупок. Тогда кардер будет знать лишь про одну Вашу карточку, причем там в лучшем для него случае может оказаться крошечная (по сравнению с его ожиданиями) сумма – а в худшем, как выражался его идейный предок, «от мертвого осла уши».

Если банк вдруг поведал Вам, что Вы сняли десять тысяч долларов в Сан-Франциско, в то время как Вы в тот день сидели на работе в Москве – блокируйте счет и доказывайте, что Вы эту транзакцию совершить не могли. Это можно сделать, принеся загранпаспорт (где отметок о пересечении вами границы в нужный период не имеется), справку об отсутствии такового вообще или приведя показания коллег-свидетелей. Если не прислушается банк – то заинтересуется суд, и в результате деньги с большой вероятностью можно будет вернуть. При хорошем адвокате – с банка, в ином варианте – при поимке кардеров с поличным. Но лучше все-таки «дробить деньги», ибо разовая предосторожность обойдется гораздо легче многомесячной нервотрепки…

Источник: Алина ШТУЛЬМАН