При перепечатке необходимо получить согласие Редакции MoneyNews и лично автора. Ссылки на MoneyNews, блог автора, а также указание имени автора обязательно.

С 2003 года кардерский мир по обеим сторонам океана охватила самая настоящая золотая лихорадка. Самый первый вопрос любого новичка, приходящего в кардинг, высказывает золотую мечту каждого кардера: «А где можно купить дампы с пинами, чтобы пойти к банкомату и снять денег с карточки?» Новичку такому говорили, чтобы он «выпил йаду» либо «ехал в Бобруйск» учить матчасть, но в 2003 году ситуация изменилась.

Этому способствовала безграмотность в карточном отношении одного американского кардера. Как Александр Флеминг открыл пенициллин, наплевательски отнесясь к своей работе по выращиванию бактериальной культуры, просто не закрыв чашку, в которой эта культура выращивалась, из-за чего в нее попали споры пенициллина из окружающей среды (во всем мире такого лаборанта сразу бы уволили, а вот Флеминг случайно совершил открытие и получил за это Нобелевскую премию), так и этот американский кардер проигнорировал все мануалы по кредитным картам, в которых пишется о том, что в дампе существует CVV/CVC код, который обязательно проверяется эмитентом при транзакции и который невозможно воспроизвести без секретного ключа, хранящегося в банке.

«Выловив» с помощью фишинга несколько номеров карт со сроками истечения их действия и пин-кодами, он решил из имеющихся у него данных сгенерировать рабочий дамп и обналичить его в банкомате. И, к превеликому удивлению людей, разбирающихся в карточной безопасности, это ему удалось. Как мы помним, после поимки в Великобритании местных кардеров, фотографировавших карты и подглядывающих их пин-коды, МПС ввели в свои правила обязательную проверку всеми эмитентами CVV/CVC кода по всем транзакциям. Это было в 80-х годах прошлого века.

Спросите у любого банковского сотрудника, занимающегося пластиковыми картами, может ли быть так, что CVV/CVC при транзакции не будет проверяться? Он вам ответит, что это невозможно, потому что такого не может быть. Однако, как оказалось, быть такое может… Не во всех банках, а в некоторых, но все же…

Не знаю, чем была вызвана столь вопиющая ошибка в безопасности транзакций – то ли ненадлежащей настройкой программного обеспечения в банке, то ли еще чем-то, но факт остается фактом: в ряде банков при проведении банкоматных транзакций CVV/CVC не проверялся, что позволяло злоумышленникам, зная номер карты, срок истечения сроков ее действия и пин-кода, генерировать недостающую часть дампа и
обналичивать карту в банкоматах. Новость о том, что такое возможно, моментально распространилась в узких кругах, а через некоторое время стала известна всем кардерам.

Те, кто знал, что CVV/CVC код для поддельных дампов на самом деле генерировался «от фонаря», срочно разработали для остальной кардерской общественности легенду, что «лучшими математическими умами кардерского сообщества был расшифрован алгоритм генерации CVV/CVC, используемый некоторыми банками», и большинство кардеров начало охоту за этими несуществующими алгоритмами. Сделано это было для того, чтобы основная масса кардеров, которые являются больше «ремесленниками», чем «исследователями», не накинулись на курицу, несущую золотые яйца, и не «убили тему» преждевременно.

К слову, на американских кардерских форумах до сих пор самый популярный вопрос: «У кого можно купить рабочие «алгосы» для генерации дампов?» Кардеры стали в спешном порядке методом перебора проверять карты разных банков на предмет наличия этой уязвимости. Банков таких оказалось не очень много – всего пара десятков. За номерами этих карт с пин-кодом началась настоящая охота, и фишинговые сайты росли как на дрожжах. Оказался среди этих банков и Райффайзенбанк.

Так уж сложилось, что наиболее сильная «школа» в области «реального пластика» среди стран бывшего СССР оказалась в Украине. Большинство сильных специалистов в области использования уязвимостей карточных систем, применяемых в оффлайне, живет в Украине либо являются выходцами оттуда. Поэтому неудивительно, что, получив исходные данные для генерации дампа с пином, народ бросился снимать деньги в банкоматы, расположенные поблизости от места их проживания. А поскольку большая часть этого народа жила в Украине, то именно украинские банкоматы внесли наиболее весомый вклад в укрепление благосостояния кардеров.

Следует сказать, что карты европейских банков более предпочтительны для «русских» кардеров, чем карты американских банков. Связано это с большей географической близостью Европы. Транзакция на другом континенте всегда вызывает больше подозрений у банковских работников, чем транзакция в соседней стране, поэтому американские дампы «умирали» обычно после одного-двух использований в банкоматах, расположенных в странах бывшего СССР, а вот европейские дампы «жили» дольше. А ведь чем дольше «живет» дамп, тем больше денег можно с него снять – это связано с тем, что у большинства банков выставлены достаточно скромные лимиты на снятие наличных в течение суток и  за один раз невозможно «подчистить карту» до нуля, если на ней лежит значительная сумма. Поэтому «русские» кардеры отправляли, как правило, американские дампы с пином на обналичку в США местным кардерам, которые за определенный процент бегали по тамошним банкоматам, а вот европейские дампы предпочитали обналичивать сами.

Райффайзенбанк, как известно, является европейским банком, поэтому его дампы с пином активно использовались в украинских банкоматах. Слабо верится в то, что специалисты Райффайзенбанка не понимали происхождения этих дампов с пином – что они получены не от скимминга в POS-терминалах с пин-падом и банкоматах, а в результате фишинга и использования их, специалистов, халатности. Возможно, это понимание пришло не сразу, а через некоторое время, потому что во второй половине 2005 года «дырку» закрыли, реализовав, наконец, корректную проверку CVV/CVC, прикрыв кардерам их почти двухгодовой период золотой лихорадки, но обратить внимание на то, что деньги в украинских банкоматах снимались по картам, большинство владельцев которых даже и не думали посещеть Украину, невозможно.

Однако в Райффайзенбанке предпочли повесить все на якобы имевший скимминг в Украине, дабы скрыть от общественности свои собственные грубейшие ошибки, которые, несомненно, оказали бы влияние на имидж учреждения. Конечно, я не отрицаю, что случаи скимминга в POS-терминалах с пин-падом и банкоматах, наверняка, имели место и в этот период (как это происходит во всех без исключения странах и сейчас – можно вспомнить даже ), но совершенно не в том масштабе, о котором заявлял Райффайзенбанк, громогласно объявляя Украину бандитской страной, запрещая все банкоматные транзакции в целой стране и через прессу призывая перевыпустить свои карточки тех клиентов, которые пользовались ими в Украине.

Нехорошо, господа банкиры, скрывать собственную халатность, обливая грязью целую страну… Если уж не можете вовремя закрывать свои «дырки», то хотя бы не вините в их существовании крупную европейскую страну с 50 миллионами населения, а сообщайте о проблеме своим клиентам как тот же «Ситибанк», который просто объявил об участившихся случаях банкоматного мошенничества со своими картами, перевыпустил проблемные карты и, никого не обвиняя, быстро ликвидировал свою «дырку».

Продолжение следует…

* Мнение Редакции MoneyNews может не совпадать с мнением авторов оригинальных материалов.

(Всего прочитано 64 раз, из них 1 посещений сегодня)
0