18+
реклама
18+
Бургер менюБургер меню

Дмитрий Артимович – Искусство цифровой самозащиты (страница 16)

18

Производители банкоматов выпускают также антискимминговые накладки, которые призваны не допустить установки скиммеров, а последние модификации подавляют работу мошеннических накладок с помощью электромагнитных волн, препятствуя считыванию информации с карты.

Правила

Пользуйтесь банкоматами в отделениях банков. Там банкоматы находятся под круглосуточным видеонаблюдением и риск нарваться на скиммер в разы меньше, чем, например, при использовании банкомата в торговом центре.

Кардинг

Возвращаемся к нашим троянам-кейлоггерам и фишинговым сайтам. Когда-то вирусы писали из чистого интереса. Со временем же сформировалась целая отрасль киберпреступности, в который разные люди обычно занимаются разными задачами:

• Есть хакеры, кoторыe пишут трояны, кейлоггеры, шифровальщики, скайвары, связки эксплойтов.

• Есть люди, кoторыe продают трафик под эксплойты.

• Есть люди, кoторыe покупают эксплойты и трафик и продают уже загрузки.

• Есть люди, кoторыe покупают трояны-кейлоггеры, эксплойты и трафик или же напрямую загрузки, а на выходе продают так называемы дампы (логины, пароли от сайтов, карточные данные, данные от онлайн-банков).

• Есть люди, кoторыe разводят дропов (об этом чуть ниже).

• Есть люди, кoторыe непосредственно покупают дампы карт, услуги дроповодов и обналичивают деньги с карт через покупку товаров.

Конечно, существуют целые команды, в которых есть все вышеуказанные «профессии». Кто-то пишет свои кейлоггеры, сам добывает загрузки и сам обналичивает деньги с украденных карт. Но это, наверное, частные случаи. В основном в подпольном кардерском рынке есть четкие разделения на «профессии». Общаются же эти люди на закрытых кардерских форумах в интернете или даркнете.

Очень часто СМИ смешивают понятия «хакер» и «кардер». Наверное, вы не раз читали отчеты о задержании хакерских группировок? Так вот, изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым или элегантным способом. Слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в чем-либо». СМИ и Голливуд исказили слово «хакер», пропагандируя версию, что это именно компьютерный взломщик. Нет, ребята, которые пишут ядра операционных систем, антивирусы, драйверы устройств, – это тоже хакеры. Да, Линус Торвальдс[44] – тоже хакер, хотя он ничего и не взламывал.

СМИ любят сообщать о задержании «группы хакеров», хотя в большинстве случаев задерживают только верхушку айсберга – людей, которые непосредственно заняты обналичкой денег.

Как работает обналичивание денег с краденых карт? Через покупку товаров или услуг.

Вещевой кардинг

Например, по краденым картам покупается техника в интернет-магазинах, ее нужно куда-то доставить. Вот тут и вступают в игру дропы и дроповоды. Дроп – это подставной человек, которому потом высылается товар, купленный по краденой карте. Очень часто дроп даже не подозревает, что его используют в незаконных целях. Обычно с дропом заключается договор (разумеется, липовый) о приеме на работу и оказании содействия в пересылке поставляемого товара. После получения товара дроп его либо пересылает дальше, либо продает на месте в комиссионке и переводит часть прибыли кардерам. Когда полиция начинает расследовать дело (если вообще начинает), то конечным получателем выступает подставной человек, который, скорее всего, даже не догадывается о мошеннической схеме. Если же интернет-магазин, дроп и банк, выпустивший украденную карту, находятся в разных странах, это намного усложняет поиск реальных злоумышленников.

Кстати, в истории со скиммерами из украденного дампа печатается пластик. С ним злоумышленник идет в магазин затариваться техникой, которую потом продаст. Или попросту идет в банкомат и снимает деньги.

Кардинг услуг

Для обналичивания денег с украденных карт можно использовать схему по покупке хостинга, например, выделенных серверов. Такие серверы продаются на тех же подпольных форумах и обычно стоят в 2 раза дешевле. Такая схема более безопасна и проста: тут не нужны дропы, не нужно пересылать товар. Хотя в последнее время серверы и так сильно подешевели в цене.

Заливы

«Заливом» на сленге называют отмывание украденных денежных средств. В основном для этого используют всё тех же дропов. Работает это так: неизвестный человек предлагает очень выгодную операцию. По его словам, на банковский счет получателя поступит некая, обычно довольно крупная, сумма денег, которую надо снять в банкомате и разделить на две части. Первую часть отправить на другой счет или электронный кошелек, а вторую – оставить себе в качестве вознаграждения. Удержаться от того, чтобы за несколько минут «подзаработать» приличную сумму, крайне сложно, даже если человек понимает, что операция, скорее всего, незаконная.

Трояны-кейлоггеры часто собирают доступы от онлайн-банков. Поэтому деньги могут украсть не только с карт, но и напрямую со счета. Особенно если ваш банк не требует подтверждения операций по СМС или каким-то другим способом.

Раньше среди кардеров эта была целая отмывочная отрасль. Когда деньги со счетов – в основном, граждан западных стран – переводились на счета дропов, а те их снимали и при помощи Western Union уже отправляли дальше мошенникам.

Правила

Пользуйтесь только теми банками, которые уделяют достаточно внимания безопасности: каждый вход или каждый перевод требует дополнительного подтверждения СМС-кодом или кодом со специального устройства, называемого цифровым ключoм (digipass). В таком случае, даже получив ваши логин и пароль, злоумышленник всё равно ничего не сможет сделать.

Банковскиe карты

Я хочу немного рассказать об истории появления банковских карт, чтобы вы поняли, какая разница в защите прав держателя карт между США и Россией. Эту историю я описывал в своей первой книге – «Электронные платежи в интернете».

В США изначально кредитные (именно кредитные) карты распространяли по обычной почте – рассылали в конвертах. В погоне за раздачей как можно большего количества карт банки рассылали карты по телефонным книгам. Иногда доходило до абсурда – кредитную карту мог получить малолетний ребенок или домашний питомец. Естественно, карты крали из почтовых ящиков, иногда даже сами сотрудники почты. Банки несли убытки.

Продолжалось это до 1970 года, пока Конгресс США не издал закон, запрещающий рассылать карты по почте без разрешения держателя. При этом большинство случаев мошенничества включало в себя кражи карт из кошельков и карманов.

В 1970 году был издан закон Title 15 U.S. Code § 1644 – Fraudulent use of credit cards. Закон использовался для обвинения подсудимых в использовании поддельных, переделанных, утерянных, украденных или полученных обманным путем кредитных карт. Но это не уменьшило число случаев мошенничества с картами.

Наконец, в 1974 году Конгресс принимает Fair Credit Billing Act, который впервые узаконил следующее:

• 60-дневный срок, в течение которого держатель карты может оспорить ошибку в платежной выписке;

• если держатель карты обнаружил ошибку, он должен отправить запрос на оспаривание в письменной форме своему эмитенту;

• держатель карты не несет ответственности при использовании потерянной, украденной карты или использовании карты без его разрешения, достаточно просто позвонить в банк. Хотя закон и устанавливает минимальный размер транзакции 50$ при использовании карты (Face-to-Face), Visa и MasterCard это ограничение не используют. А при использовании карты мошенником в онлайне или по телефону держатель карты полностью освобождается от ответственности.

Fair Credit Billing Act считается прародителем chargeback’а[45]. Дальше закон трансформировался в правила Международных платежных систем (МПС), а правила обросли поправками. Сам же законодатель поступил достаточно мудро: раз банки создали МПС и зарабатывают на каждой транзакции и на кредитовании, то и за несовершенства в их системе должны отвечать они сами.

На сайте американской Visa вы можете увидеть Visa Zero Liability, которая гласит, что «вы не будете нести ответственность за неавторизованное использование вашей карты. Вы защищены, если ваша карта потеряна, украдена или используется мошеннически».

В Россию карты (эмиссия) пришли только в 90-е годы, у банков хватало других забот: торговля ценными бумагами, банковский кризис и т. д. Так что продвижением карт как «безопасного способа оплаты» никто не занимался.

27 июня 2011 г. вышел Закон № 161-ФЗ «О национальной платежной системе», который в пункте 11 статьи 9 «Порядок использования электронных средств платежа» дал аж целый 1 день (!) на уведомление банка-эмитента о мошеннической операции.

По правилам МПС вы можете заявить о мошеннической операции в течении 120 дней. По факту pоссийские банки впаривают вам «страховку от мошенничества». Это, по сути, деньги из воздуха, то, что и так заложено в правилах платежных систем. В случае возврата украденных средств деньги возвращаются за счет интернет-магазина – а нам преподносят это как некую платную услугу.

Нередки случаи, когда банки отказываются вернуть украденные деньги. Например, если у вас скопировали карту и сняли деньги в банкомате вашего банка-эмитента. Тут риск и компенсация полностью ложaтся на банк-эмитент. А если сумму украли приличную, эмитент может и не захотеть ее возвращать. И пожаловаться-то вам некому – вы не участник платежной системы (участники – только банки), жалобу от вас не примут. ЦБ также защищает интересы банков.