Главная > Авторская колонка > "Про кардинг"
Спонсор рубрики:
Спонсор

Мошенничество с кредитными картами: эти сладкие слова "дамп с пином" (Часть 5)


14.05.2007 08:23. Артур Ляшенко
С 2003 года кардерский мир по обеим сторонам океана охватила самая настоящая золотая лихорадка. Самый первый вопрос любого новичка, приходящего в кардинг, высказывает золотую мечту каждого кардера: "А где можно купить дампы с пинами, чтобы пойти к банкомату и снять денег с карточки?" Новичку такому говорили, чтобы он "выпил йаду" либо "ехал в Бобруйск" учить матчасть, но в 2003 году ситуация изменилась.

При перепечатке необходимо получить согласие Редакции MoneyNews и лично автора. Ссылки на MoneyNews, блог автора, а также указание имени автора обязательно.

С 2003 года кардерский мир по обеим сторонам океана охватила самая настоящая золотая лихорадка. Самый первый вопрос любого новичка, приходящего в кардинг, высказывает золотую мечту каждого кардера: "А где можно купить дампы с пинами, чтобы пойти к банкомату и снять денег с карточки?" Новичку такому говорили, чтобы он "выпил йаду" либо "ехал в Бобруйск" учить матчасть, но в 2003 году ситуация изменилась.

Этому способствовала безграмотность в карточном отношении одного американского кардера. Как Александр Флеминг открыл пенициллин, наплевательски отнесясь к своей работе по выращиванию бактериальной культуры, просто не закрыв чашку, в которой эта культура выращивалась, из-за чего в нее попали споры пенициллина из окружающей среды (во всем мире такого лаборанта сразу бы уволили, а вот Флеминг случайно совершил открытие и получил за это Нобелевскую премию), так и этот американский кардер проигнорировал все мануалы по кредитным картам, в которых пишется о том, что в дампе существует CVV/CVC код, который обязательно проверяется эмитентом при транзакции и который невозможно воспроизвести без секретного ключа, хранящегося в банке.

"Выловив" с помощью фишинга несколько номеров карт со сроками истечения их действия и пин-кодами, он решил из имеющихся у него данных сгенерировать рабочий дамп и обналичить его в банкомате. И, к превеликому удивлению людей, разбирающихся в карточной безопасности, это ему удалось. Как мы помним, после поимки в Великобритании местных кардеров, фотографировавших карты и подглядывающих их пин-коды, МПС ввели в свои правила обязательную проверку всеми эмитентами CVV/CVC кода по всем транзакциям. Это было в 80-х годах прошлого века.

Спросите у любого банковского сотрудника, занимающегося пластиковыми картами, может ли быть так, что CVV/CVC при транзакции не будет проверяться? Он вам ответит, что это невозможно, потому что такого не может быть. Однако, как оказалось, быть такое может... Не во всех банках, а в некоторых, но все же...

Не знаю, чем была вызвана столь вопиющая ошибка в безопасности транзакций – то ли ненадлежащей настройкой программного обеспечения в банке, то ли еще чем-то, но факт остается фактом: в ряде банков при проведении банкоматных транзакций CVV/CVC не проверялся, что позволяло злоумышленникам, зная номер карты, срок истечения сроков ее действия и пин-кода, генерировать недостающую часть дампа и
обналичивать карту в банкоматах. Новость о том, что такое возможно, моментально распространилась в узких кругах, а через некоторое время стала известна всем кардерам.

Те, кто знал, что CVV/CVC код для поддельных дампов на самом деле генерировался "от фонаря", срочно разработали для остальной кардерской общественности легенду, что "лучшими математическими умами кардерского сообщества был расшифрован алгоритм генерации CVV/CVC, используемый некоторыми банками", и большинство кардеров начало охоту за этими несуществующими алгоритмами. Сделано это было для того, чтобы основная масса кардеров, которые являются больше "ремесленниками", чем "исследователями", не накинулись на курицу, несущую золотые яйца, и не "убили тему" преждевременно.

К слову, на американских кардерских форумах до сих пор самый популярный вопрос: "У кого можно купить рабочие "алгосы" для генерации дампов?" Кардеры стали в спешном порядке методом перебора проверять карты разных банков на предмет наличия этой уязвимости. Банков таких оказалось не очень много – всего пара десятков. За номерами этих карт с пин-кодом началась настоящая охота, и фишинговые сайты росли как на дрожжах. Оказался среди этих банков и Райффайзенбанк.

Так уж сложилось, что наиболее сильная "школа" в области "реального пластика" среди стран бывшего СССР оказалась в Украине. Большинство сильных специалистов в области использования уязвимостей карточных систем, применяемых в оффлайне, живет в Украине либо являются выходцами оттуда. Поэтому неудивительно, что, получив исходные данные для генерации дампа с пином, народ бросился снимать деньги в банкоматы, расположенные поблизости от места их проживания. А поскольку большая часть этого народа жила в Украине, то именно украинские банкоматы внесли наиболее весомый вклад в укрепление благосостояния кардеров.

Следует сказать, что карты европейских банков более предпочтительны для "русских" кардеров, чем карты американских банков. Связано это с большей географической близостью Европы. Транзакция на другом континенте всегда вызывает больше подозрений у банковских работников, чем транзакция в соседней стране, поэтому американские дампы "умирали" обычно после одного-двух использований в банкоматах, расположенных в странах бывшего СССР, а вот европейские дампы "жили" дольше. А ведь чем дольше "живет" дамп, тем больше денег можно с него снять – это связано с тем, что у большинства банков выставлены достаточно скромные лимиты на снятие наличных в течение суток и  за один раз невозможно "подчистить карту" до нуля, если на ней лежит значительная сумма. Поэтому "русские" кардеры отправляли, как правило, американские дампы с пином на обналичку в США местным кардерам, которые за определенный процент бегали по тамошним банкоматам, а вот европейские дампы предпочитали обналичивать сами.

Райффайзенбанк, как известно, является европейским банком, поэтому его дампы с пином активно использовались в украинских банкоматах. Слабо верится в то, что специалисты Райффайзенбанка не понимали происхождения этих дампов с пином – что они получены не от скимминга в POS-терминалах с пин-падом и банкоматах, а в результате фишинга и использования их, специалистов, халатности. Возможно, это понимание пришло не сразу, а через некоторое время, потому что во второй половине 2005 года "дырку" закрыли, реализовав, наконец, корректную проверку CVV/CVC, прикрыв кардерам их почти двухгодовой период золотой лихорадки, но обратить внимание на то, что деньги в украинских банкоматах снимались по картам, большинство владельцев которых даже и не думали посещеть Украину, невозможно.

Однако в Райффайзенбанке предпочли повесить все на якобы имевший скимминг в Украине, дабы скрыть от общественности свои собственные грубейшие ошибки, которые, несомненно, оказали бы влияние на имидж учреждения. Конечно, я не отрицаю, что случаи скимминга в POS-терминалах с пин-падом и банкоматах, наверняка, имели место и в этот период (как это происходит во всех без исключения странах и сейчас – можно вспомнить даже ), но совершенно не в том масштабе, о котором заявлял Райффайзенбанк, громогласно объявляя Украину бандитской страной, запрещая все банкоматные транзакции в целой стране и через прессу призывая перевыпустить свои карточки тех клиентов, которые пользовались ими в Украине.

Нехорошо, господа банкиры, скрывать собственную халатность, обливая грязью целую страну... Если уж не можете вовремя закрывать свои "дырки", то хотя бы не вините в их существовании крупную европейскую страну с 50 миллионами населения, а сообщайте о проблеме своим клиентам как тот же "Ситибанк", который просто объявил об участившихся случаях банкоматного мошенничества со своими картами, перевыпустил проблемные карты и, никого не обвиняя, быстро ликвидировал свою "дырку".

Продолжение следует...

* Мнение Редакции MoneyNews может не совпадать с мнением авторов оригинальных материалов.

Ключевые слова: фишинг, скимминг, кредитная карта, кардер, POS-терминал, Райффайзенбанк, дамп, пин, CVV/CVC




Читайте по теме: Другие материалы, связанные с "Мошенничество с кредитными картами: эти сладкие слова "дамп с пином" (Часть 5)"

Red Faraon
Red Faraon
15.05.2007 13:33:07
Не совсем понятно, почему нельзя однажды считанный дамп и зная ПИН, не залить его (дамп) на чистый пластик и не пойти в банкомате снять денег. ведь как банкомат отличит эти две карты, если на обоих нанесены одни и те же данные? Это же не SIM-карта, у которой есть нечитаемые области и чтобы её клонировать нужно ещё подобрать Ki.
 
Артур Ляшенко
Артур Ляшенко
16.05.2007 16:07:39
2 Red Faraon: так и делают. Когда есть дамп и ПИН, никто с этой картой не идет по магазинам - все сразу ломятся в банкомат. Последний никак не отличит оригинал и клон карты.
 
andrei
andrei
17.05.2007 0:13:19
Громкий случай фишингового мошенничества был и в Москве. В 2005 году МВД разоблачило группу одессита Артура Ляшенко, который вместе с сообщниками добывал в интернете цифровые коды реально существующих банковских карт, а затем наносил данные на пластиковые дубликаты. Заказы на изготовление карт принимались через созданный мошенниками сайт realplastic.org. Каждая карточка в зависимости от "банковского лимита" (от $1,5 тыс. до $10 тыс.) стоила от $100 до $500. Деньги от клиентов они получали переводами Western Union и WebMoney, а готовая продукция отсылалась клиентам в России, США, Германии, Бельгии, Греции, Белоруссии и других странах через компании ускоренной почты UPS и TNT. Поскольку PIN-коды реальных кредиток кардерам были неизвестны, подделки использовались в основном для покупки дорогих вещей в крупных супермаркетах.


быстро же освободили его. воспоминания пишет :)
 
Федотов Владимирович Александр
Федотов Владимирович Александр
17.05.2007 0:30:23
Да, действительно, кстати:
http://www.relcom.ru/Right?id=20060616173858
 
Федотов Владимирович Александр
Федотов Владимирович Александр
17.05.2007 0:34:04
Алё! Редакция? :) хехе.
 
Виктор Захарченко
Виктор Захарченко
17.05.2007 11:39:42
Господа, озвучу позицию редакции в данном и схожих вопросах: любой человек, который может и хочет аргументированно рассказать о каком-то из аспектов рынка электронных платежей - получит у нас такую возможность. Мы не берем на себя миссию судей, ее должны в государстве выполнять соответствующие органы!

Игнорировать опыт нельзя ни в коем случае! Надеюсь вы больше внимания обратите на качество материалов и саму тему, на которую не стоит закрывать глаза.
 
Федотов Владимирович Александр
Федотов Владимирович Александр
17.05.2007 23:19:12
Это, без преувеличения, КРУТО.
Больше я сюда ни ногой. :) Успехов.
 
Drongo
Drongo
18.05.2007 9:18:30
Алех. поверь, без тебя тут не убудет )) а статья эта действительно интересная и поучительная чёрт-возьми. респект автору!
 
someone
someone
31.05.2007 4:10:59
А мне не совсем понятно есть ли различие между КРЕДИТНЫМИ картами и простыми (дебитовыми что ли)? С простых карт тоже так же просто снять деньги? И различие между именными и не именными картами... Те которые не именные, может быть более лучшие в смысле безопасности или наоборот? Например, банк выдает не именную карту - свою собственную, не Visa там или еще что, а карта этого банка, на которой нет ФИО, и соответственно которой нельзя расплачиваться в магазинах без документов и вобще нельзя использовать для интернета (вроде бы там нет CVV 2). Так вот как насчет таких карт?
 
someone
someone
31.05.2007 4:20:37
А из статьи по ссылке Алекса вобще не понятно, разве можно расплачиваться в магазинах картами не вводя ПИН-код? Я один раз покупал вещь, так мне дали специальный терминал, чтоб я ввел ПИН-код и такие же терминалы я вижу и в супермаркетах. Как это, что-то купить не вводя ПИН-код??
 
AlexGB
AlexGB
04.06.2007 11:55:32
Так это зависит от пластикова продукта.
Если у вас мастерок, то по правилам вы обязаны водить ПИН-код, а если продук выше, то нет
 
partizan vladimir
partizan vladimir
22.06.2007 11:31:33
to Артур Ляшенко
Очень познавательный авторский раздел. Это большой вклад в информатизацию и общую культуру кардхолдера - если знаеш как тебя кинуть могут - знаеш как избежать этого. Продолжайте Артур однозначно!!! От наших банков не дождемся пристойных объяснений нюансов использования карт. Ждем с нетерпением следующую статью!

to Alex to andrei
Спасибо за ссылки :) Улыбнуло! Теперь народ знает что пишет статьи не любитель нахапавшийся мудрости в сети, а человек знающий предмет! Особенно порадовал пост от Alex 17.05.2007 23:19 - какой вы Alex безгрешный и праведный...
 
Xiljak
Xiljak
24.07.2007 2:44:53
Сам в банке работаю а этого не знал! Так что об информированости народа можно даже не мечтать! ( Просто банки живут по принцепу Имедж всё жажда ничто) :) А вопще кардеры- это индустрия целая, а банки переживут это точно, они на червях больше теряют :)
 
regtime
regtime
29.07.2007 14:35:25
Не осилил,но пишет херню автор.
Тема состояла не в том,чтобы обойти cvv\cvc код,который как правило идет с любой картой поставляемой хакерами. То есть если вы купите кредитку в инете у кардера,то на ней будет:
Номер карты,дата истечения,имя владельца,полный адрес с индексом,телефон ну и разумеется CVV/CVC код.
ТАК ЧТО АВТОР НЕ ПИШИ ХЕРНЮ.

А тема состояла в том,что!!!! У некоторых банков можно было сгенерить дамп зная,только эту информацию ну и разумеется нужен был дамп,чтобы снять в банкомате кэш.
Были еще пару банков,к которым были универсальные пины,но это другая тема. Так что автор пишет не совсем верно.
Все что пишет автор про CVV/CVC коды отностися к пинкоду короче.
Короче автор пиши исчо.
 
mm
mm
08.08.2007 14:46:57
Не свосем так (несчет херни). Подсмотреть PIN и лицевую сторону карты - элементарно. Большинство клиентов просто не догадываются вводить PIN и вставлять карту так, что бы это не могли подсмотреть со стороны (камерой, глазами). Получить дамп магнитной полосы сложнее.

Использовать поддельную карту с "левым" CVV можно только на мелкие суммы (off-line платежи) или (как правильно писал автор) если банк просто не проверяет CVV в on-line авторизации.

Рафшайзен банк крупный и жирный банк. Которому VISA и MC прощают многое. Ну не апгрейдили они свой процессинг. Просто забили на требование проверки CVV. Пока жаренный петух не стал клевать слишком активно.
Как ни странно, средние банки гораздо тщительнее относятся к этим вопросам. Попробовал бы средний/мелкий банк пройти сертфикацию своего процессинга в Visa имя такую дыру!

А на счет PIN.. уже давно эти алгоритмы не используются. Еще вспомнить времена когда в некоторых локальных системах в Европе баланс на 3-ю дорожку писался :) и банкомат в off-line деньги выдаывал. :))

 
Сколько в России делают денег на bitcoin? / MoneyNews 10.10.2014 05:53 | Электронные деньги | Просмотров: 2479
На прошлой неделе Минфин предложил штрафовать наших граждан за выпуск и использование криптовалют. Несмотря на то, что в России нет серьезных проектов, связанных с bitcoin, некоторые наши соотечественники умудряются неплохо зарабатывать на этих цифровых деньгах. » читать далее
Bitcoin получит международный валютный код? / MoneyNews 09.10.2014 03:31 | Электронные деньги | Просмотров: 2251
Популярная криптовалюта bitcoin может получить собственный международный валютный код. К проработке этого вопроса приступила специальная рабочая группа, созданная при поддержке Bitcoin Foundation. » читать далее
В России запущен первый сервис мобильной оплаты счетов для ресторанов / MoneyNews 09.10.2014 11:06 | mobileMoney | Просмотров: 1784
На российском рынке стартовал сервис оплаты счетов с помощью мобильного телефона для индустрии гостеприимства - "Пэй-ап". Презентация новинки состоялась на сегодняшней пресс-конференции в Москве. » читать далее
Blockchain впервые получил внешние инвестиции / MoneyNews 08.10.2014 05:44 | Прочее | Просмотров: 1627
На днях стало известно о завершении очередного раунда финансирования в биткойн-пространстве. Крупнейший провайдер биткойн-кошельков Blockchain сообщил о привлечении первых инвестиций от венчурных капиталистов на сумму более $30 млн. » читать далее
CoinCola: криптовалютная альтернатива eBay? / MoneyNews 08.10.2014 04:51 | e-Commerce | Просмотров: 1570
В Интернете появилась новая торговая площадка, работающая исключительно с виртуальной валютой. » читать далее

Авторские статьи
Показать все

PayU-New Выбор интернет-эквайера: подводные камни и реальность Пресс-центр PayU
Экспертное мнение


PayU-New Facebook - двигатель продаж? Пресс-центр PayU
Экспертное мнение

Подписка по e-mail

twitter
© MoneyNews – платежные системы, электронные деньги, онлайновый банкинг, мобильные платежи. Все права защищены. При перепечатке материалов сайта ссылка на MoneyNews.ru обязательна.
Обмен электронных валют
Реклама на сайте. Электронный почтовый ящик: info@moneynews.ru
Рейтинг@Mail.ru Разработка сайта
Вывод WMZ: (с нашей доплатой) +0.15%
ВСЕ СПЕЦПРЕДЛОЖЕНИЯ
Moneyrates.ru
Найти лучший курс обмена:
Отдаете:
Получаете:
Информация Аналитика Рейтинги