Сложный симбиоз

Роман Коренев

Спецвыпуск: Хакер, номер #061, стр. 061-084-2

Действия кардера были простыми. Получить формальный аттестат WebMoney, который выдается автоматически при заполнении определенных полей, и кредитную карту, которых у кардеров сотни. Злоумышленник прошел авторизацию своего WM-кипера, заполнил поля данными кредитной карты, нажал "Далее" и через 15 секунд на его Keeper зачислилась сумма в 4500 WMR. А дальше - монотонный труд :). И вот пробило семь утра по Москве, "специалисты" WebMoney проснулись, раскрыли рты от подобных движений и отрубили сервис – потом в течение недели при заходе на http://credcard2wm.wmtransfer.com выдавалась ошибка 404 Not Found. А кардер успел вывести $4000 через "Израильский обменный пункт" с помощью Western Union.

После этого эксцесса пополнять свой WM Keeper стало возможно только при наличии персонального аттестата и кредитной картой с активированной поддержкой 3-D Secure, которая якобы снова предоставляла 100% гарантию спасения от мошенничества. Как активировать 3-D Secure, спецы ВМ сами рассказали на сайте http://credcard2wm.wmtransfer.com в разделе "О сервисе". Следуя описанным там действиям, практически на любой карте из штатов 3-D Secure включался за пять минут. Если карта кредитная, было достаточно просто найти SSN (социальный номер страхования) - такая услуга в Сети стоит $2-3. Если же карта дебетная, то 3-D Secure включался и без SSN. Таким образом, у кардеров опять появилась возможность скачивать халявные WMR в больших количествах. Единственная загвоздка заключалась в том, что на один персональный Keeper можно было "залить" максимум 8400 WMR, причем только раз в неделю. Разумеется, Тольяттинским кардерам не составило труда обойти эту антифродовую систему... Появилось несколько вариантов обхода системы безопасности WebMoney:

1. На персональный аттестат можно выводить 60000 WMR в сутки (лимит сервиса).

Действовать пошагово не нужно, достаточно дойти до момента вбивания карты сразу в 10-15-ти окнах, затем вбить во все поля разные карты и нажать "Далее", таким образом зачислив на свой Keeper не 8400, а все 60000 WMR.

2. На любые аттестаты, даже на формальные, можно заливать 60000 WMR в сутки.

Следовательно, можно было заливать Keeper'ы, вообще не имеющие аттестата, для чего в опциях выбирали тип карты не 3-D Secure, а eWallet (альфа-банковские карты), и нажимали "Далее". После окончания формирования номера заказа страница сохранялась, и в ней менялась одна-единственная ссылка, указывающая на процессинг 3-D Secure, а не eWallet "Альфа-Банка".

Благодаря этим оплошностям кардеры вывели около 1500000 WMR! Сервис в данный момент не работает и вряд ли будет работать :). Перечисление на WM-счет с кредитных карт прекратили через два месяца после начала работы сервиса, так как была раскрыта совершенно прозрачная схема мошенничества с номерами кредитных карт: с ворованных карточек на WM-счет перечислялись деньги, после этого - на анонимный счет IMTB, а дальше куда угодно.