Как я украл миллион - [15]

— Что же сделал Айзек?

— На разных этапах обработки PIN-коды проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто — на взломанный HSM-модуль устанавливается сниффер — программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.

— Почему производители HSM-устройств не закроют эти дыры? — задала логичный вопрос адвокат.

— Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо — по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.

— Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невоз-PIN-коды невоз-коды невозможно…

— Everyone lies[1].

— А «пины», которые нашли у Сапрыкина, — перешла к более предметному разговору Галина Аркадьевна, — они откуда?

— В начале 2004 года я познакомился с Black Monarch — одним из модераторов carder.org — первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много — всего штук по пятьсот в месяц.

— Ничего себе! Как вы обналичивали такие количества?

— Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.

— Ты сказал, что Black Monarch «делал» дампы с «пинами». Как он их делал? — оживилась адвокат.

— Вкратце схема такова: берем дамп с оригинальным первым треком — там есть настоящее имя кардхолдера. Заходим на www.accurint.com, вбиваем ФИО жертвы, находим его SSN (Social Security Number — номер социального страхования, который положено иметь всем гражданам США в возрасте от одного года), дату рождения, адрес и телефон — чем больше данных о жертве соберем, тем лучше. Понятно, что если имя холдера будет John Smith, то мы устанем гадать, кто же из тех двух тысяч джонов смитов, что выдаст нам в результатах поиска accurint, и есть наш, поэтому дамп нужно изначально выбирать с редкой для Америки фамилией. Дальше идем на сайт банка, выдавшего карту, «энроллим» ее (от англ. enroll — «регистрировать») — то есть открываем онлайн-доступ к карте — и особым образом меняем PIN-код. Правда, сменить его можно было не на всех картах, тогда такие дампы с уже открытым онлайн-доступом к карте, а значит, известным балансом, мы продавали — за 15 % суммы на карте. Рентабельность моей работы с Black Monarch превышала 300 %.

Когда совсем нечем было заняться, я через Skype звонил «терпилам» и под благовидным предлогом разводил их на «пины». Можно это и в автоматическом режиме замутить: жертве позвонит программа-робот, озвучит заранее записанный текст, предупреждающий о подозрительных операциях с его счетом, и проинструктирует клиента сообщить номер его кредитной карты, срок ее действия и PIN-код.

— А что делать, если нет доступа к конторе типа accurint? Где искать SNN и прочие личные данные владельца карты?

— На кардерских форумах хватает людей, которые поставили поиск личных данных американцев на поток. Стоит все удовольствие $3–5. Почему именно американцев? Дело в том, что подробные базы с полной информацией о гражданах, включая сведения о браках и разводах, судимостях, месте работы, движимом и недвижимом имуществе, зарегистрированном оружии, кредитную историю и т. п., есть только в Штатах. По Евросоюзу единой базы нет, только по отдельным странам. К тому же в Америке проживает 300 млн потенциальных потерпевших, а, к примеру, в Бельгии — всего десять. Есть разница?

— Как еще можно узнать PIN-код?

— В последний год серьезные обороты набрал фишинг (phishing).

— ?..

— Искаженное английское fishing («рыбалка»). Пользователям рассылаются сообщения со ссылками на сайты, как две капли воды похожие на сайты настоящих банков, платежных систем, социальных сетей и т. д., где злоумышленники выуживают у доверчивых пользователей ценные личные данные — логины и пароли, номера кредиток, PIN-коды, доступы к различным платным сайтам и прочее. По сути, фишинг — это классическая разводка, искусство выдавать себя за того, кем не являешься. Он основывается на незнании пользователями элементарных вещей — в частности, того, что банки и различные сервисы никогда не рассылают писем с просьбами сообщить свои учетные данные. Фишинг особенно распространен в США, где высокий уровень законопослушности населения — если банк прислал запрос, то на него надо обязательно ответить.