Сергей Павлович - Как я украл миллион. Исповедь раскаявшегося кардера.

— А разве похоже на шутку?

— Ладно, проехали. Контакт не дам, но можешь работать с ним через меня. Тебя что интересует?

— То же, что и всех, — дампы с «пинами».

— Ну давай на мыло зашлю парочку штук на тест. Если о’кей — заплатишь за них $600. Идет?

— Да.

Через несколько часов Auger скинул мне два дебетных американских дампа с PIN-кодами, один Maestro, другой — VISA Classic.

— Когда отработаешь? — последовал вопрос.

— Мгновенно — энкодер под рукой.

Сорок минут спустя я уже потрошил один из киевских банкоматов. VISA не сработала, зато Maestro в два приема «подарил» мне $3 тыс., притом что последние $600 упорно не хотели сниматься — проверка баланса перед началом работы показала, что на карточке было $3600.

Наверное, дневной лимит установлен в размере $3 тыс., — догадался я.

— Что ж, попробую «добить» ее после полуночи, когда банки посчитают, что начался новый день. С этой мыслью я взглянул на свои часы и отправился коротать оставшиеся до полуночи два часа в McDonalds на Крещатике. Почему именно McDonalds?

В Киеве самая большая в мире концентрация красивых женщин. Спускаешься в метро — навстречу девушка… одна, вторая, третья… на четвертой твоя голова против воли заворачивается назад, да так, что можно шею свернуть. И по новой — одна, вторая, третья, четвертая. А в McDonalds на Крещатике прелестных украинских девушек еще больше, чем в метро. Киев — это рай для холостяка. Средняя продолжительность жизни мужчин там — всего пятьдесят шесть лет, и на каждого двадцатилетнего мужчину приходится четыре женщины того же возраста.

После 24:00 моя Maestro уже не работала. Я пробовал в нескольких банкоматах, но везде выбивало DECLINE (отказ). Впрочем, получить трешку «зеленых», затратив всего шестьсот, было тоже очень даже неплохо.

— Ну как результат? — замигало окно моей «аськи» сообщением от Auger, когда я добрался до дома и подошел к компьютеру.

— Нормально. Classic — нерабочий. Maestro — о’кей.

— Жду 300 wmz. Кошель знаешь.

— Лови, — я открыл свой Webmoney Keeper и, не откладывая, перевел Аугеру 300 баксов.

— Ага, есть. Спасибо. Тебе все еще нужен контакт Элвиса?

— Да мне, по большому счету, без разницы, с кем работать, — не хочешь «палить» Элвиса, тогда давай работать с тобой.

— Ну давай, — согласился Auger. — Вот условия.

И тут он меня немного разочаровал: один европейский дамп с «пином» предлагался за $2 тыс., нерабочие не обменивались (в отличие от первой тестовой партии), минимальная партия составляла десять дампов. Хочешь — бери, не хочешь — не бери.

Я взял один раз — на $20 тыс. И все бы ничего, да отсутствие замен свело рентабельность этой работы к нулю. Больше я в эту лотерею не играл.

И все же я думаю, что в роли мифического Dark Elvis’a выступал сам Auger…

— Не поняла, какой Auger? — у Галины Аркадьевны не было доступа к моим воспоминаниям.

— Ну Аугер — мой поставщик дампов, который продавал мне и дампы с PIN-кодами.

— А-а-а. И почему ты уверен, что Элвис и Auger — это одно и то же лицо?

— Когда я только начинал работать с Аугером, тот обмолвился, что его напарник Aizek[797] как раз работал над реверсией…

— ?..

— Расшифровкой «пинов» из их базы с дампами. Да и невозможность установить прямой контакт с Элвисом укрепляла меня в моей догадке. Скорее всего, у Аугера — высококлассного киберпреступника с многолетним стажем — было несколько сетевых имен, которые даже его партнеры по нелегальному бизнесу не связывают друг с другом, а считают их принадлежащими разным людям.

— Он не сидит? — отчего-то поинтересовалась адвокат.

— Нет-нет, такие люди не сидят. Когда я общался с Аугером в последний раз, тот собирался, по его словам, прикупить какое-нибудь комфортное кресло в «Газпроме» — пару миллионов долларов они с Айзеком уже заработали, — и навсегда завязать с кардингом. Если птица не садится на гнездо, а поднимается все выше и выше, она в конце концов попадает в сетку птицелова. Тот, кто не чувствует, когда нужно остановиться, нарушает законы природы…

— Как Айзек расшифровал «пины»? — прервала мои философские рассуждения Галина Аркадьевна.

— Основное требование платежных систем к хранению и передаче PIN-кода: значение PIN должно всегда находиться в зашифрованном виде, начиная от его ввода на клавиатуре банкомата или POS-терминала и заканчивая проверкой в «святая святых» любой платежной системы — защищенном аппаратном модуле шифрования (HSM-модуле) банка-эмитента. Этот модуль хранит ключ генерации PIN-кодов, и проникновение в него повлечет за собой компрометацию всех PINов, когда-либо сгенерированных с помощью этого ключа. Поэтому доступ к HSM-устройствам строго ограничен как физически (применяются взломостойкие модули), так и через Сеть.

— Что же сделал Айзек?

— На разных этапах обработки PIN-коды проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто — на взломанный HSM-модуль устанавливается сниффер — программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.

— Почему производители HSM-устройств не закроют эти дыры? — задала логичный вопрос адвокат.

— Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо — по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.

— Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невоз-PIN-коды невоз-коды невозможно…

— Everyone lies [1] «Все врут» (англ.). .

— А «пины», которые нашли у Сапрыкина, — перешла к более предметному разговору Галина Аркадьевна, — они откуда?

— В начале 2004 года я познакомился с Black Monarch — одним из модераторов carder.org — первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много — всего штук по пятьсот в месяц.

— Ничего себе! Как вы обналичивали такие количества?

— Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.