В прошлый раз мы поговорили о таком явлении, как кардинг – в частности, вещевой кардинг и косвенное мошенничество со счетами в виде переводов между картами. Сегодня поговорим про дампы с пин-кодами, обнал, белый пластик и все такое.
Иногда так случается, что в руки кардеров попадают дампы с пин-кодами от карт. Такие дампы – огромная редкость на теневом рынке, однако за 400-500 баксов некоторые спецы сбывают лишний пластик. Просто не все имеют возможности для создания клона карты или дропов, которые снимут деньги с клона – все же, это риск засветить лицо. Потому многие не рискуют и меняют условные 10% с баланса карты или фиксированную небольшую сумму на отсутствие рисков для себя любимых.
Откуда эти карты берутся?
Чаще всего – с банкоматов или терминалов типа “пополнить телефон / оплатить услуги”. Схема довольно примитивная и завязана на скимминг. Аппарат банально “минируют”, то есть крепят считыватель на картоприемник и на клавиатуру. После того, как жертва успешно снимет часть денег и заберет карту, можно снимать “мины” и перекатывать полученные дампы на пластик. Поскольку за день через банкомат в условном торговом центре проходит несколько десятков, а то и сотен карт, клонов изготавливается великое множество.
Второй вариант получить дамп с пин-кодом – криптография. Вся служебная информация, обрабатываемая банкоматом, записывается на чип (если карта имеет таковой) или на треки магнитной полосы. Некоторые банки, кстати, все еще не хотят переходить на чипированные карты, обходясь старым форматом карт с одной только магнитной полосой – так банально дешевле производить эти карты, да и замена всего оборудования на работу с чипами влетит в сумму, которая будет в десятки раз выше тех потерь, которые банк несет из-за кардеров. С точки зрения реальной безопасности – полное “а-та-та”, но региональное законодательство такое пусть и условно, но допускает. Собственно, в этом случае снимается обычный дамп карты, что описывалось в прошлом посте, третий (в старых картах именно на него пишется зашифрованный пин-код) или второй (в новых картах без чипа) трек магнитной полосы отправляется на расшифровку. Некоторое время – и пин-код в руках. В случае с чипованной картой процесс куда сложнее, но и он в правильных руках не вызывает проблем. Не буду описывать весь процесс, чтобы не было соблазнов (впрочем, на форумах по теме подобная инфа находится на раз).
Третий вариант, как и в случае с CVV-кодом из прошлого поста – это социальная инженерия. “Служба безопасности банка – у вас странная транзакция – назовите ваш код”. Впрочем, не разговором единым. Куда чаще ваши данные просто сольют банковские служащие. Да, по закону они не имеют права этого делать, но по факту… Предложи менеджеру, который работает за копейки, дополнительный доход в виде 50 баксов за каждую карту – и данные всех карт, которые пройдут через него – твои. Особенно этим грешат в Сбербанке, поскольку некоторое время они выдавали карту без конверта. Сейчас, вроде, отменили эту практику, но еще полгода назад так и было – по теневым рынкам все еще гуляют больше ста тысяч дампов потенциально опасных для пользователей карточек.
Есть еще четвертый вариант – чистый хакинг. Взлом процессинговых центров, в которых обрабатываются все транзакции со всех платежных терминалов в определенном сегменте – в крупной сети магазинов, в банках, в сети торгового центра… У каждой организации с крупными финансовыми потоками такой есть и они обязательно должны проходить сертификацию и лицензирование. Естественно, без раздолбайства и корпоративного шпионажа в организации процессинговых центров не обходится, а потому получить данные из них вполне реально (взлом процессинга Walmart, в результате которого в сеть утекли данные почти 150 миллионов карт тому пример).
В любом случае, расшифровать дамп или как-то иначе получить пин-код – это лишь половина дела. Да и сам пин-код сейчас уже потихоньку отмирает, сменяясь другими методами защиты, но об этом мы поговорим немного позже. Второй этап – раскатать этот дамп на “пластик”, то есть – на болванку. На уже существующую или совершенно новую карту. Оборудование для этого дела называется энкодер, продается совершенно легально на той же “розетке”, как и болванки (пустые карты) к ним. Стоит такая приблуда, в среднем, 200 баксов + примерно 5 баксов за десяток болванок. Почему так? Потому что многие рестораны, магазины, оптовые сети, офисы компаний и прочие организации раскатывают на болванках свои совершенно легальные дисконтные карты, карты сотрудников, клубные карты и так далее. Естественно, на те же самые болванки можно записать и дамп банковской карты, потому что оборудованию (условному банкомату) плевать на то, как выглядит карточка, важно только то, что записано на полосу или чип. А стандарт записи почти везде один и тот же. Программа для записи слегка модифицируется, ей скармливается файл с дампом кредитки, пустая карта проводится через энкодер – и на ее магнитную полосу попадает информация, пригодная для снятия денег в банкомате.
Такие клоны называются “белый пластик”, потому как по умолчанию карты поставляются без дизайна – просто белая карточка с черной магнитной полосой. Светить такую карту – опасно для свободы, потому как любой мало-мальски осведомленный человек знает, что пустые карты не выдает ни один из банков (хотя карта альфа-банка white очень похожа на “белый пластик”) . Чтобы не светится – кардеры иногда пользуются более продуманными заготовками, которые, однако, и стоят дороже. Лично знаю несколько абсолютно официальных типографий, которые на ваш белый пластик нанесут дизайн и даже спрашивать ничего не будут. Или просто можно заказать уже готовые карточки из Китая – по цене в 5 баксов за болвану, наши восточные партнеры сделают карту неотличимой от настоящей – даже голограммы будут на месте. А вообще, в случае отсутствия возможности купить болванки, кардеры могут использовать что угодно – просроченные карты, дисконтные карты, офисные карты… Лишь бы размер подходил – 53.98х85.60х0.76мм.
Главный вопрос: как не стать жертвой кардера?
Никак. Полностью исключить вероятность кардерской атаки – невозможно. Если кардер реально захочет вас обчистить – он найдет способ стащить ваши данные. Можно только снизить риски.
Во-первых, не светите картой где-попало. Не оставляйте ее на виду, не давайте никому в руки (в ресторане можно и пройтись за официантом к стойке, где и оплатить ужин лично – не обломитесь, это лучше, чем попасть на сообщника кардера и заплатить сторицей), не фотографируйте карту (особенно, если вас об этом кто-то просит). Даже с одной стороны не фотографируйте. Тот же амазон требует для привязки карты только номер, срок действия и имя владельца карты (а они размещены на лицевой стороне). И никому НИКОГДА не называйте реквизиты. Ни номер, ни коды из смс, НИ-ЧЕ-ГО! Банковской СБ – особенно. Даже если звонят с короткого номера банка (типа 900 или 738), подделать этот номер ничего не стоит.
Во-вторых, не снимайте деньги в банкоматах, которые расположены не у отделения банка или не в людном месте. И выполняйте рекомендации, даваемые банками: проверяйте, что никто не дышит вам в спину, что на картоприемнике и клавиатуре нет лишних приблуд. Серьезно, проверяйте это дело. А как закончите – не забудьте карту и проведите рукой по клавиатуре, смазывая след, чтобы нельзя было отследить цифры, которые в вводили. Прикрывайте рукой клавиатуру, когда вводите пин-код… Серьезно, сделайте так. В отделах информационной безопасности банков не идиоты сидят (по крайней мере, в большинстве своем), а рекомендации по безопасности написаны слезами тех, кто не следовал банальным правилам.
В-третьих, не регистрируйте карту где-попало и уж тем более не сохраняйте ее по предложению гугла. Взломать сохраненные данные в гугле (пароли, логины, данные карт и т.д.) гораздо легче, чем вам может показаться. И уж точно не надо оставлять данные основной карты на подозрительных сайтах. Лично у меня для этого есть моя старая карта, на которой всегда не больше 500 гривен (+-1200 рублей), если я сомневаюсь в сервисе, сайте или подписке – я регистрирую ее. Обманут – не страшно. Не обманут – тем более не о чем беспокоиться.
В-четвертых, не пользуйтесь системами переводов. Честно-честно. Не стоит. Лучше заведите себе официальное приложение клиент-банк (у каждого крупного банка такое есть) и проводите транзакции через них. И безопаснее, и комиссия меньше.
В-пятых, ЧИТАЙТЕ! Читайте все, что выведено на экран! Все читайте, а не тыкайте в вот эту самую большую зеленую кнопку “Загрузить”. Проверьте домен сайта, на котором что-то покупаете. Проверьте репутацию магазина в сети. Читайте договора, которые вам дают на подпись. Читайте то, что вам говорит банкомат. Читайте правила личной финансовой безопасности в сети. Это может спасти вам деньги и нервы.
