Кардинг по-новому

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-086-1

(no e-mail)

Современные методики взлома

Одни хакеры ломают программы, другие - платежные системы: не вламываясь, как грабители, среди бела дня и не крича "Руки вверх!", действуют скрытно и заметают следы. Найти таких людей очень трудно. Хочешь узнать, как работают реальные кардеры?

Давным-давно, когда никакого интернета даже в проекте не было, народ уже вовсю начал пользоваться кредитными картами. Проверка подлинности кредитки представляла большую проблему: при каждой покупке звонить в банк и проверять состояние счета клиента магазинам не позволяли технические ресурсы и стоимость междугородных звонков (в то время существенно выше цены пары пачек сигарет или бутылки колы). Существовал определенный порог для денежных сумм, ниже него проверка подлинности не производилась, а продавец верил клиенту на слово (конкретное значение порога каждый магазин выбирал самостоятельно). Подделать карту, не имея специального (и весьма дорогостоящего) оборудования было очень сложно. И хотя существовала вероятность купить трехтомник Кнута за $50 при балансе на карте всего в $10 или даже $1, поиск злоумышленника не представлял особого труда (карты выдаются не просто так, а только тем, у кого есть счет в банке).

Появление интернет-магазинов породило множество проблем. Удаленный сервер не может "пощупать" кусок пластика и видит лишь последовательность цифр, определяющую номер карты. Разумеется, комбинация цифр не случайна и не любая из них будет воспринята с благодарностью. В номер карты прежде всего входит контрольная сумма, страхующая от ошибки набора, а также некоторая другая информация (тип банка-эмиттера, тип самой карты и т.д.). Взять и ввести что-нибудь от балды не получится: тебя пошлют. Однако если расшифровать алгоритм кодирования номеров, можно сгенерировать вполне правдоподобный номер, который визуально ничем не отличается от подлинного. Конечно, магазин может послать в банк запрос: "А существует ли такой номер вообще?" Но... это же пока придет ответ! А цивилизованный клиент ждать не любит :), он просто пожмет плечами и пойдет в другой магазин. Конкуренция!

Алгоритм кодирования номеров долгое время держался в строжайшем секрете, а расшифровать его по одним лишь номерам карт было практически невозможно, поэтому карты быстро завоевали популярность и получили массовое распространение. Неразвитость систем связи существенно затрудняла распространение хакерской информации, и если даже кто-то (например уволенный банковский работник) был готов рассказать, что и как, это никому не вредило, так как круг вовлеченных людей был очень мал. С появлением BBS все изменилось. Алгоритм кодирования просочился в массы, хакеры создали множество автоматических генераторов, некоторые из которых живы до сих пор (правда, уже не работают).

Любой подросток мог скачать генератор с клавиатуры и забыть, что такое отсутствие карманных денег. Ущерб от краж стремительно возрастал, но банки долгое время делали вид, что ничего не происходит, дескать, их система прочна, как бронепоезд. Кардерами занималась полиция. Заказы приходили по реальным адресам, и хотя можно было до некоторой степени замаскировать их (например оформить посылку на имя друга), спрятать хвосты в воду полностью не удавалось. В то же время кражи из-за рубежа (особенно из России) проходили спокойно и безнаказанно. Поимка жулика требовала слишком много юридической волокиты, и у чиновников был всегда наготове железная объяснительная: "У нас тут людей на улицах режут, а вы со своими кардерами". Конечно, кое-кого все-таки ловили и вроде бы даже судили условно, но пойманных - единицы из тысяч! В настоящее время генераторы практически полностью утратили свою актуальность, поскольку практически все интернет-магазины (и, естественно, банкоматы) всегда проверяют подлинность карты, отправляя запрос в банк, тем более что современные технические средства это позволяют.