СПОСОБЫ
Объем мошеннического рынка в области банковских карт очень велик. Его можно оценить так. В каждой банке установлен лимит приемлемых потерь при карточных операциях. Он колеблется в пределах 0.1-0.5%. Это значит, что не менее 0.1% всею мирового оборота по карточным операциям достается кардерам.
С банковскими (платежными) картами возможно несколько видов мошенничества. Их всех можно уложить в единую схему:
Получение — Распределение — Реализация
На первом этапе данные о банковских картах получаются разнообразными способами. На втором этапе они сортируются, проверяются, классифицируются, возможно проходят через оптовых посредников (скупка в розницу, продажа оптом, продажа в розницу). На третьем этапе данные банковских карт реализуются,то есть конвертируются в деньги.
Указанная цепочка никогда не исполняется одним человеком. Каждый из этапов связан со своими особенными навыками, опытом в соответствующей области, служебным положением, доступом к технике. Поэтому криминальная цепочка всегда включает не менее трех сообщников.
ПОЛУЧЕНИЕ
Наборы данных банковских карт, которые представляют ценность:
1. номер, срок действия, имя владельца, код cvv или cvv2;
2. дамп карты;
3. дамп + пин-код.
Третий вариант - самый привлекательный для кардеров. Этот набор данных можно конвертировать в наличные самым быстрым способом и получим, при этом максимальную сумму.
Способы получения данных банковских карт:
• дистанционный неправомерный доступ к серверу, на котором такие данные хранится или обрабатываются, например, к серверу магазина или банка - способ, наиболее часто предполагаемый несведущими людьми, но очень редко встречающийся на практике;
• доступ к таким данным с использованием своего служебного положения и недостатков в системе защиты информации предприятия – очень часто владельцы конфиденциальной информации предприни¬мают излишние меры защиты от внешних угроз, но пренебрегают защитой от утроз внутренних;
• (редко) перехват интернет-трафика, котда данные карты передаются в открытом виде (по протоколу HTTP или по электронной почте);
• получение данных банковских карт, или снятие дампа при обслуживании клиентов в предприятиях торговли и питания - похож на предыдущий способ, но особенность в том, что информация копируется непосредственно с карты при физическом контакте с ней;
• выманивание данных карт и иногда пин-кодов у владельцев методами фитинга;
• получение дампов и пин-кодов при помощи фальшивых банкоматов или приставок к банкоматам (скиминг):
• получение самой карточки мошенническим способом (ливанская петля и др.);
• обычная кража карты у ее держателя (бывает, что пин-код записан на ней или на листке, лежащем в том же бумажнике).
РЕАЛИЗАЦИЯ
Реализация данных с банковских карт, тo есть обращение их в деньги, может производиться следующими способами:
• вещевой кардинг - приобретение в интернет-магазинах или в реальных магазинах (при наличии дампа карты) ликвидных товаров, чаще на продажу, реже на заказ, последующая их реализация;
• совершение фиктивных покупок в интернет-магазинах или приобретение услуг платных сайтов по сговору с их владельцами: при помощи данных чужой карты производится оплата, биллинговое предприятие (оно не участвует в сговоре) учитывает платеж и переводит магазину за вычетом своей комиссии, магазин переводит обусловленную долю кардеру;
• игра в интернет-казино; нанятые кардером игроки регистрируют в интернет-казино много аккаунтов на имя владельцев карт, вносят с карт депозит, играют, а затем с тех аккаунтов, где образовался выигрыш, проводят процедуру вывода средств:
• использование иных интернет-сервисов, где возможно получение денег, например, организующих показ любительского видео;
• (редко) вымогательства у магазина, банка, иного предприятия, несущего ответственность за сохранность данных; за утрату и разглашение данных о картах клиентов предприятие может подвергнуться санкциям со стороны платежной системы, получить большой ущерб деловой репутации, может стать ответчиком по искам клиентов – за избавление от этих неприятностей многие готовы заплатить кардерам-вымогателям;
• обналичивание в банкоматах; когда есть дамп карты и пин-код, то изготавливается твердая копия карты (гак называемый «белый пластик», потому что внешнее оформление для банкомата не требуется), с кото¬рой в банкоматах снимается максимально возможная сумма за минимально возможное время.
Ниже приводятся немного более подробные пояснения к перечислен¬ным способам приобретения и реализации данных банковских карт.
СКИМИНГ
Наиболее лакомый кусок для кардеров - это полная копия (дамп) магнитной полосы карты вместе с ее пин-кодом. Такие данные позволяют снять со счета весь остаток средств плюс весь кредитный лимит. Обычно это десятки тысяч долларов. Ради подобного куша кардеры готовы на многое. Даже банковские работники, обнаружив, что имеют (или могут получить) доступ к пин-кодам клиентов, не всегда выдерживают искушение связаться с кардерами и совместно очистить клиентские счета.
ИСПОЛЬЗОВАНИЕ ИНТРЕНЕТ-КАЗИНО
Если Бы такие казино легко и быстро выплачивали игрокам выигрыши, то они были бы идеальным каналом отмывки денег для кардеров. Но в онлайновых казино легок и прост только ввод денег. А для их вывода (получения выигрыша) надо потратить немало усилий и времени; в результате далеко не факт, что игрок вообще получит свои деньги. Это не след¬ствие жадности онлайн-казино. Это следствие действий кардеров. Если какое-либо казино начнет без формальностей выплачивать выигрыши, оно вскоре обнаружит, что кардеры составляют подавляющее большин¬ство его игроков. От чего такое казино немедленно будет объявлено по¬собником со всеми вытекающими неприятными последствиями.
Поэтому для выплаты денег казино требует подтверждения личности игрока, а также пользуется только неанонимными системами платежей. От игрока, пожелавшего получить выплату, скорее всего, потребуют прислать скан-копию паспорта и какого-либо документа, подтверждающего место жительства, например, квитанции об оплате коммунальных услуг. Возможно, от игрока захотят получить номер телефона ради дополнительного подтверждении его личности. Выплата производится на именной банковский счет (при этом не всякий банк будет признан благонадежным) или при помощи именного чека, который отравляется по почте. В общем, онлайн-казино выработали ряд процедур, затрудняющих кардерам жизнь.
ФИКТИВНЫЕ ПОКУПКИ
Типичный интернет-магазин или платный веб-сайт для получения платежей от своих клиентов использует услуги так называемого билингового предприятия - финансового учреждения, которое принимает данные банковских карт, совершает транзакции и переводит полученные деньги (за вычетом своей комиссии) на банковский счет интернет-магазина. У билинговой фирмы имеется собственная служба безопасности, препятствующая проведению мошеннических операций. Именно поэтому банки отказываются работать с мелкими онлайн-магазинами напрямую и предпочитают взаимодействие именно с билинговыми предприятиями-посредниками. Билинговое предприятие отказывает в обслуживании тем онлай¬новым магазинам, у которых процент отозванных транзакций (chargeback) превышает некоторый уровень, обычно 1%. Может отказать в обслужнвании и по иной причине, если сочтет интернет-магазин подозрительным.
Веб-сайт типичного онлаин-магазина даже не имеет интерфейса для ввода платежных реквизитов. Посетитель веб-сайта вводит их прямо на веб-странице билинговой фирмы, естественно, пользуясь защищенным (HTTPS) соединением.
Один из способов реализации данных банковских карт состоит в сговоре между кардером и владельцем онлайнового матазина. Часто такие магазины или платные веб-сайты устраиваются специально ради приема платежей по чужим картам. Сообщники вместе пытаются обмануть билинговое предприятие, сделать так, чтобы возвратов было не больше ус¬тановленного количества.
Для ввода реквизитов карт в интерфейс билинговой системы обычно нанимаются отдельные люди, набивщики. Это «чернорабочие» кардерского мира. Тем не менее от них требуется владеть определенными навыками. Набивщик должен использовать для каждой новой карты новый прокси-сервер или сокс-сервер, желательно, расположенный в той стране, в которой живет держатель карты. Он должен побеспокоиться, чтобы его компьютер соответствовал типичной конфигурации компьютера клиента.
При взаимодействии с веб-интерфейсом билинговой системы браузер пользователя сообщает следующие данные:
• парка и версия браузера:
• язык браузера;
• версия ОС;
• разрешение экрана;
• воспринимаемые типы данных;
• воспринимаемые языки;
• воспринимаемые кодировки данных;
• referrer, то есть адрес веб-страницы, с которой пользователь перешел на данную веб-страницу;
• некоторые другие настройки.
Понятно, что если вовремя такого взаимодействия передаются реквизиты банковской карты Джона Смита из США, а язык браузера выставлен украинский, то система заподозрит неладное. Также возникнет подозрение, если с одного и того же IP-адреса будут введены карточные реквизиты двух разных людей из разных стран.
Поэтому набивщики получают необходимые инструкции и, если надо, ПО для своей работы.
Именно из-за нашествия кардеров стали появляться альтернативные системы оплаты услуг в Интернете. Некоторые платные веб-сайты уже не принимают банковских карт. Оплата производится через телефонный звонок по платной линии или иным подобным способом. У таких спосо¬бов больше накладные расходы, но это дешевле, чем постоянно решать проблемы. создаваемые из-за кардинга.
РЕАЛЬНЫЙ ПЛАСТИК
На кардерском жаргоне – реальным пластиком, именуются полноценные твердые копии банковских карт. На них должен присутствовать цветной рисунок, голограмма, иметься эмбоссированное (выдавленное) имя держателя и магнитная полоса с нужными данными.
Для этого способа реализации требуется дамп карты. Пин-код не нужен. По дампу изготавливается твердая копия карты. Она должна не только нести верные данные на магнитной полосе, но и выглядеть соответственно. Рисунок карты, конечно, не обязан совпадать с оригинальным, но он должен присутствовать и быть хорошего качества: не смазываться, не отслаиваться. Желательно, чтобы название банка и карты соот¬ветствовало коду (первые 6 цифр номера карты): впрочем, продавцы редко обращают на это внимание.
К такой поддельной карте реализатору желательно иметь поддельный документ. Продавец или кассир не обязан спрашивать у покупателя удостоверение личности, но может это сделать, если возникнут подозрения. А они, скорее всего, возникнут, поскольку кардер с реальным пластиком пойдет покупать не корзинку продуктов в супермаркете, а что-нибудь подороже, что можно будет перепродать хотя бы за 40-50% с стоимости. Совершить много покупок по поддельной карте не удастся, одна, две, может быть, три – и держатель карты спохватится и заблокирует ее.
Бывает, что фальшивый документ изготавливают на имя держателя карты. Это надежнее, но дороже. Ведь поддельная карта может быть использована не более 2-3 paз. После этого она в лучшем случае будет деблокирована, а в худшем – попадет в стоп-лист. Соответственно, и поддельный документ нужно будет выбросить вместе с картой. Другой вариант – постоянный документ, вместе с которым можно использовать несколько разных карт. В соответствии с именем в документе наносится (эмбоссируется) имя на карте. То есть имя на карте будет соответствовать документу, но не будет соответствовать имени на магнитной полосе. В эом случае траты ниже, но выше риск, поскольку продавец может сравнить имя на чеке и имя на карте.
Образец же подписи на поддельной карте можно нарисовать такой, какой удобно.
Пластиковые заготовки для банковских карт, оборудование для нанесения изображений, эмбоссирования и записи магнитной полосы имеется в свободной продаже. Но приобретать его целесообразно, только если собираешься изготавливать карты сотнями. Единичные экземпляры выгоднее заказывать на стороне. Полное изготовление банковской карты на черном рынке обойдется в 100-200 долларов.
БЕЛЫЙ ПЛАСТИК
Карта, имеющая только записанную магнитную полосу, именуется у кардеров «белым пластиком». Ее изготовление обходится совсем недоро¬го. Однако область использования ограничена лишь банкоматами. Разу¬меется, необходимо знать пин-код.
Набор дамп карты + пин-код стоит на черном рынке дорого, зато с его помощью можно выжать карточный счет досуха, сняв в банкомате весь остаток и весь кредитный лимит.
Многие банки ставят ограничения для банкоматных транзакций – по географии, по максимальной сумме за раз и по максимальной сумме за день. Это несколько усложняет кардерам жизнь. Карту могут успеть заблокировать и внести в стоп-лист, пока еще не все деньги с нее сняты.
Кроме реализации и банкоматах возможны варианты покупки товаров по «белому пластику» и магазинах. Естественно, лишь по сговору е про¬давцом.
ПОСРЕДНИЧЕСКИЕ ОНЛАЙН-СЕРВИСЫ
Инструментом кардера может стать почти любой интернет-сервис, где предусмотрена выплата денет клиентам.
Некоторое распространение имеют посреднические сервисы по обмену видео. Суть его состоит в том, что одни пользователи желают транслировать видеоизображение через Интернет, а другие желают его потреблять. (Разумеется, как правило, речь идёт об эротическом видео, но посредник предпочитает об этом «не знать»). Посредник организует этот процесс, сводит покупателя с продавцом и осуществляет расчет между ними. Себе берет процент и посредничество.
Поскольку от покупателей принимаются платежи по банковским каргам, а выплаты продавцам производятся чеком или Банковским переводом, есть возможность отмывания. Кардер регистрируется на таком посредническом сайте как покупатель, как продавец и начинает продавать услуги самому себе.
Это также не простой путь. Службы безопасности знают, как притягательны для кардеров подобные сервисы, и всячески стараются воспрепятствовать. Выплаты обставляются различными условиями наподобие интернет-казино. Кардеры, разумеется, находят ответные меры.
