Центр исследования компьютерной преступности

home контакты

Мошенничество с кредитными картами: русские идут (Часть 3)

Дата: 03.05.2007
Источник: Moneynews.Ru
Автор: Артур Ляшенко


card/card12.jpg В США до сих пор традиционно развит способ добывания дампов с помощью скимминга. Это достаточно легко понять: преступник, живущий в США и решивший заняться мошенничеством с кредитными картами, вырос в этой стране, за время его жизни у него появилось множество приятелей – ребята, с кем он в детстве играл в бейсбол или баскетбол на улицах, школьные друзья, приятели из колледжа, бывшие и нынешние герл-френды...

Видя, что кто-то из них нуждается в деньгах и готов пойти ради этого на "небольшое правонарушение", преступник вручает такому человеку скиммер и убеждает, что, если делать все чисто, то никто ничего никогда не узнает. Полученные дампы такой "друг скиммера" обычно перепродает. Естественно, что стоимость таких дампов для преступника, непосредственно использующего поддельные карты, высока – ведь, помимо того, что в цепочке, как правило, несколько посредников, и скиммер, и "друг скиммера" хотят получить свою "премию за риск".

Стоимость дампов, полученных от скиммеров, в США начинается от 200 долларов. В Европе скиммнутые дампы стоят 300-500 евро – там этим бизнесом занимаются, как правило, турецкие, сербские и албанские преступные группировки, хотя в последнее время к ним подтянулись и румыны. Но с распространением интернета в России о том, что с помощью кредитных карточек можно скрыто похищать деньги, узнали и в странах бывшего Советского Союза (в дальнем зарубежье всех выходцев из стран бывшего СССР называют "русскими", поэтому и мы не будем отходить от этого "общепринятого правила" и не будем разделять наших бывших и нынешних соотечественников на украинцев, белорусов, евреев, татар и т.д.).

Поскольку к моменту появления интернета кредитные карточки в странах бывшего СССР принимались фактически только в магазинах "Березка" и отелях "Интурист", то мошенничество с так называемым "реальным пластиком" - то есть с физическими клонами магнитных карт – было просто невозможным. Кроме того, бурное развитие электронной торговли в интернете и ее практически абсолютная незащищенность в то время, позволяло зарабатывать деньги гораздо более легкими способами.

Русскими взламывались слабо защищенные интернет-магазины, сохранявшие карты у себя на сервере в незашифрованном виде, и полученные карточки использовались в других магазинах, чтобы заказывать товары. Естественно, заказывались наиболее ликвидные здесь товары – только появившиеся и ставшие показателями высокого статуса ноутбуки, материнские платы, память, жесткие диски и т.д. В буквальном смысле вагонами эта продукция потекла в бывший СССР. Магазины слали товары без всякой проверки и на любые адреса, а кардеры пользовались этим и зачастую заказывали товары на свои домашние адреса. Особенно отличались своими объемами заказов в области так называемого "вещевого кардинга" белорусы.

Во второй половине 90-х годов Минск был в буквальном смысле завален комплектующими для компьютеров, предложение превышало спрос в десятки раз, поэтому традиционно избыток товара потек на самый большой рынок сбыта в бывшем СССР – в Москву. Но товара было столько (и каждый день прибывали новые партии), что и Москва не могла переварить его полностью. Цены на комплектующие упали настолько, что были значительно ниже отпускных цен заводов-производителей для самых крупных дистрибьюторов.

Кстати, следует признать, что деятельность "вещевиков" внесла весомый вклад в ликвидацию отставания стран бывшего СССР от Запада в области информационных технологий, поскольку резко снизившиеся из-за кардеров цены на компьютеры позволили быстро компьютеризироваться значительной части нищего тогда населения. Такую же роль в преодолении цифрового неравенства между странами бывшего СССР и Запада сыграли и пираты, выпускавшие дешевое и доступное каждому современнейшее программное обеспечение, однако это уже тема другой статьи. Такая ситуация, естественно, долго продолжаться не могла. Один за другим интернет-магазины вводили в свои правила запрет на отсылку товаров в страны бывшего Союза, запрещали транзакции с IP-адресов российских, украинских, белорусских и т.д. провайдеров...

Согласно правилам МПС риски мошеннических операций при приеме карт в интернете несли магазины и вполне понятно, что последним легче было запретить отсылку товаров в целые страны, нежели пытаться отфильтровать столь мощный поток мошеннических транзакций. Но "русские", "почувствовав свежую кровь", не собирались останавливаться, тем более перед таким пустяковым препятствием. В ход пошли размещения объявлений на сайтах, предлагающих работу, в которых людям предлагался хороший заработок при надомной работе на "одну из ведущих посылторговых компаний".

Работа в общем-то была пустяковая – необходимо было принимать посылки и отсылать их на указанный работодателем адрес. Множество безработных (они там тоже пользуются интернетом), а также просто любителей получать деньги не особо напрягаясь, откликнулось на эти объявления. Такие люди, на которых посылался украденный с помощью мошеннического использования карт товар, на жаргоне лиц, занимающихся мошенничеством с расчетными картами (кардеров) называются "дропами", или "мулами".

Посылки из интернет-магазинов все также продолжали приходить в бывший СССР, только чуть более долгим путем. МПС в ответ ввели дополнительное средство верификации онлайновых покупок – на полосе подписи стали печатать трехзначный CVV2 (у Мастеркарда – CVC2) код. Этот код генерируется с помощью ключа, хранящегося в банке, из некоторых данных карты способом, аналогичным генерации CVV (CVC) коду, только данные карты, которые берутся для генерации, несколько другие. Теперь для покупки в интернет-магазине помимо номера карты, имени покупателя и срока истечения действия карты необходимо было ввести этот код. МПС предполагали, что только лишь владелец карты может посмотреть на полосу подписи и прочитать этот код. Данная мера, конечно, отсекла часть мошенничеств, которые совершались людьми, которые рылись в мусорных баках около магазинов, выискивая выброшенные чеки, на которых были напечатаны номер карты, срок истечения ее действия и имя владельца, но на бизнесе русских это никак не сказалось. Поскольку, во-первых, "русские" и ранее не имели возможности порыться в мусорных ящиках около американских магазинов, а, во-вторых, даже если бы они и имели возможность это делать, то наверняка не делали бы из-за лени (да и на мой взгляд: не сильно гигиенично это – рыться в мусорных ящиках...).

"Русские" пошли другим путем, более логичным: если раньше они получали базы данных карт путем взлома интернет-магазинов, но там вводили карты без CVV2/CVC2 кода, то теперь ведь эти же самые магазины стали требовать этот код. В чем же разница?! "Русские" подождали пару месяцев, полезли в те же самые дырки в "своих" интернет-магазинах, и взяли оттуда базы карт, но уже с требуемым CVV2/CVC2 кодом. Удивительно,почему МПС не просчитали источник карт для самого опасного для них, русского направления! Неужели они всерьез полагали, что карты пересылают злоумышленникам их знакомые-эмигранты, которые все свое свободное время копаются в мусорках? Ведь если бы сотрудники МПС провели анализ того, откуда "русские" берут карты, то они бы поняли, что ввод CVV2/CVC2 кода никак не повлияет на уровень мошенничества в сети. Скорее всего, это связано с банальной неспособностью МПС предложить эффективное решение проблемы. Кстати, следует заметить, что и сейчас сотрудники МПС удивительным образом игнорируют очевидные вещи, связанные с "русскими" кардерами – это будет показано ниже. Ну ладно, спишем это на особенности американского менталитета и их хроническую неспособность понять загадочную русскую душу...

Практически одновременно с введением CVV2/CVC2 стандартом в электронной торговле наиболее развитых в области электронной коммерции стран (прежде всего в США) де-факто стала проверка транзакции с помощью AVS (Address Verification Service – система проверки адреса, которая сопоставляла биллинговый адрес, то есть адрес клиента для доставки ему выписок по карточному счету, хранящийся в банке, выпустившем карту, с адресом доставки товара, который был указан при совершении транзакции в электронном магазине; если адреса не совпадали, для электронного магазина это было сигналом того, что транзакция имеет повышенный риск). Эта мера также не помогла, поскольку кардеры научились менять в банке биллинговый адрес на адрес "дропа", на которого они посылали "скарженный" товар. Этот способ, как уже, наверное догадались уважаемые читатели, также разработали "русские" кардеры.

Та же участь постигла и широко рекламируемую и поныне как панацею от онлайнового мошенничества с картами систему Verified by Visa (VbV) и MasterCard Secure Code (MSC) – "русские" приспособились к новым правилам безопасности ранее, чем они получили широкое распространение в электронной торговле. Способы смены биллингового адреса в банках, выпустивших карты и кодов VbV и MSC оригинальны и эксплуатируют фундаментальные уязвимости карт МПС – то есть не какие-то технические ошибки реализации этих систем, а то, что карты МПС являются не подлежащим полной модернизации продуктом середины прошлого века и попытки сделать безопасным процесс оплаты ими в интернете похож на оснащение телеги образца начала прошлого столетия реактивным двигателем. Однако описание способов современного онлайнового мошенничества с картами выходит за тему данной статьи и будет рассмотрен в других статьях.

Тем не менее процесс совершения покупок в интернете с помощью краденых кредитных карт стал все-таки более затрудненным, чем ранее. Если раньше новообращенный кардер мог почитать 2-3 недели форумы кардерской тематики и начать успешно заказывать товар в электронных магазинах, то теперь для этого ему приходится получать более серьезное "образование". Та же участь постигла и способы...

Подробнее : arthur-lya.livejournal.com

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2017 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.