Перейти к содержимому

Фотография

Уязвимости кредитных кард и мошенечество возникшее на этой почве

- - - - -

  • Авторизуйтесь для ответа в теме

#1
Vovchic88

Отправлено 21 ������� 2008 - 11:52

Vovchic88

    А я пойду и вы*бу весь мир! (с)

  • Пользователи
  • 287 сообщений
Вся информация, представленная ниже, носит ИСКЛЮЧИТЕЛЬНО ознакомительно-проблемный характер! В соответствии со статьями ?157 и ?272 Уголовного Кодекса Российской Федерации за использование этой информации в иных, кроме ознакомительных целей, предусмотрено наказание в виде лишения свободы на срок до 5 лет! Автор не несет ответственности за использование этой информации! В данной статье лишь обозначена проблема уязвимости банковских счетов пользователей кредитных карт, и мошенничества возникающего на этой почве. Рассмотрены некоторые пути решения этой проблемы.

Сколько раз ты уже читал в своем любимом журнале про вид сетевого мошенничества, связанный с использованием чужих кредитных карт, иначе называемый кардингом. Наверняка, ты уже обзавелся такими полезными вещами, как номера чужих кредиток и убедился в их необходимости в некоторых ситуациях. Типа необходимости покупки понравившегося тебе домена/мыла/программы (astalavista не всегда помогает :))/пары чистых носок. Но ведь хрустящие бумажки с портретами североамериканских президентов всегда приятней :). Знаю, ты давно об этом мечтал. Конечно, можно купить с чужой креды какую-то не нужную тебе вещь, а потом её продать, но зачем тебе лишние проблемы с дропами, пересылкой, нервы из-за наших друзей в синеватой форме? Ниже я расскажу как правильно потратить честно добытое имущество в виде СС.

Гуляем

Способов пристраивания СС довольно много. Кто-то покупает домен, кто-то хостинг, красивое мыло, номерок Аси, что-нибудь из реальных вещей (от одежды до автомобиля). Но всем хочется реальных денег. Есть неоднократно описанный Х способ обнала через PayPal, но его использование чревато награждением путевкой на отдых к берегам Северного Ледовитого Океана на тщательно охраняемой территории лет этак на 5. Вкратце напомню его суть: открывается счет в платежной системе PayPal (аналог нашего WebMoney, но с доступом исключительно через HTTP и по паролю), переводятся туда некоторые суммы с левой кредитной карты, отлавливается ламерикос, переводятся деньги со своего счета на PayPal (далее по тексту - палка) на его счет и наступает период ожидания, пока он соизволит выслать эти деньги тебе. Способ очень неудобный и небезопасный. Во-первых, очень долго - никак не меньше недели. Это если ламерикос переведет деньги на банковский счет, а если он решит послать лаве чеком, то срок увеличивается до 3-5 недель. И в любом случае кардеру необходимо указать свои ФИО, что отнюдь не способствует достижению нирваны и наступлению светлого будущего :).

Но ни разу не встречал я описания схемы CC->WM, даже наоборот, в одном X FAQ прочитал, что такого способа не существует. А ведь на самом деле он есть! Как я его нашел? Начну издалека. У одного знакомого я увидел биржевую игру Forex (на диске), взял посмотреть, получалось у меня достаточно неплохо. Решил попробовать себя на реальном Forex'е и стал искать в Сети контору, где бы можно было это сделать. Наткнулся на баннер http://www.alpari-idc.ru/. В способах пополнения счета увидел, что они принимают СС. У меня самого Visa Classic (номер не буду говорить, ладно ;)? Я решил (чисто по привычке, честно :)) посмотреть, надо ли в форме указывать CVV2, так сказать оценить их секьюрность :). Прошел по ссылочке и удивился: да я никак в магазин попал! А там торгуют номерами WebMoney карт оплаты, принимая при этом кредитные карты!!! Уже чуешь чем пахнет :))? То есть ты можешь перевести с кредитной карты на свой счет в WebMoney некоторую сумму напрямую, минуя всяческих дропов! А потратить их крайне просто: можно купить что-нибудь в е-магазине, можно просто снять со счета и деньги будут переведены туда, куда ты пожелаешь, можно иначе. Если ты страдаешь приступами паранойи, то возможен следующий способ: совершается покупка чего-нибудь на Молотке (или другом аукционе), там почти все продавцы принимают WM. Только одна проблема: если вы с продавцом живете в одном городе, я думаю тебе будет проблематично объяснить ему, почему ты не хочешь встретиться лично, а настаиваешь на пересылке товара почтой. Хотя это смотря что покупать ;).

'Ну да, - можешь сказать ты, - а на почте меня как раз и загребут и отправят на солнечный Магадан!'. Существует множество способов избежать этого. Во-первых можно запросить посылку на чужое имя с пометкой 'До востребования'. На почте потребуют документ, подтверждающий твою личность, поэтому стоит заготовить какую-нибудь справку заранее. Одному моему знакомому хорошо помогали 'Справки школьника', которые он делал в немыслимом количестве, имитируя печать с помощью программы Stamp (пользуясь случаем, выражаю автору этой проги огромную благодарность, его детище и мне достаточно часто помогало в других ситуациях ;). Во-вторых, совет стандартный для всех кардеров, да и хакеров тоже, НЕ НАГЛЕЙ, не снимай с карточки много денег. Если я не ошибаюсь, в описанном мной магазинчике минимальная карточка 10$, вот и снимают по 10-20$$ с карты, если учесть, что за одну креду просят в среднем 0,5$, то навар получается неслабый. Это же не Палка, где для каждой креды надо было создавать отдельный аккуант (транзакции между аккуантами конечно возможны, но это лишние неудобства), тут магазин, покупаются по две карточки с каждой креды, глядишь, через годик непрерывной работы станет наш кардер милиардером :)). Только куки чисти, так, для вящего спокойствия. Кстати, есть и другие способы обнала, например магазины ozon.ru и e-shop.ru Тут тоже торгуют картами оплаты ;) Правда, необходима авторизация креды на сайте мерчанта. Я не знаю, на основе каких данных она происходит, но у моих знакомых авторизацию прошли единицы СС из их многосотенной базы. В-третьих, можно создать 10-15 счетов на WebMoney и столько же на Yandex.Money (если не лень, можно сделать еще и на других системах, больше - лучше) и погонять деньги между счетами систем, т.е. WM->Y.M->WM и т.д. Если я не ошибаюсь, по закону на запрос о плательщике и получателе денег милиционер должен получить разрешение то ли у следователя, то ли у прокурора, а прикинь, каково тому, кто эти разрешения раздает: и так тучи народа ежедневно шляются, а тут еще какой-то кадр по 3 раза в день бегает за разрешением... Да и админы платежных систем будут сопротивляться, у них ведь клиентов не прибавится, если все узнают, что система свободно раздает конфиденциальную инфу о пользователях.

Решение

Уязвимость я обозначил, теперь поговорим о путях ее устранения. Точнее, говорить буду я, а ты слушать :). На мой взгляд, проблему следует устранять с корнем. Конечно, я не призываю заблокировать кредитки для доступа в Инете (кстати, мой банк делает именно так, для работы в Сети необходимо написать заявление для разблокировки), оплачивать услуги с СС очень удобно для легальных пользователей. Введение дополнительных кодов проверки (CVV2 aka CVC) нисколько не затрудняет работу кардера. Можно поставить в качестве одного из необходимых условий успешного проведения транзакции ввод пользователем PIN-кода кредитной карты. PIN это то самое четырехзначное число, которое вводит пользователь в банкомате или в магазине для выдачи наличных или оплаты товаров соответственно. Главное, чтобы в случае введения этой меры необходимо, чтобы мерчант _действительно_ связывался с банком и проверял правильность введения _всех_ данных, т.к. если это не будет выполняться, то повторится ситуация с CVV2, когда после внедрения этой формы контроля почти на всех сайтах не проверялось совпадение данных, введенных в поле CVV2 и реального CVV2 кредитной карты. Почти везде проходила комбинация 111 или три последних цифры номера СС. Но и это не изменит ситуацию радикально. Да, на некоторое время кардерство будет приостановлено, но по мере накопления в базах данных электронных магазинов номеров кредиток с PIN-кодами, обнаружения уязвимостей в системах е-шоппинга, кардерство вновь наберет прежние обороты. Самая эффективная мера, на мой взгляд, - запрещение хранения номеров кредитных карт в базах данных электронных магазинов. На самом деле, зачем они там хранятся? На случай повторного заказа, чтобы не вводить все заново? Неужели сложно ввести 16 цифр номера СС (против хранения ФИО и exp. date я не возражаю)? Тогда можно будет отказаться от использования CVV2. Других реальных способов решения проблемы я пока не вижу.