Страница:
Когда совсем нечем было заняться, я через Skype звонил «терпилам» и под благовидным предлогом разводил их на «пины». Можно это и в автоматическом режиме замутить: жертве позвонит программа-робот, озвучит заранее записанный текст, предупреждающий о подозрительных операциях с его счетом, и проинструктирует клиента сообщить номер его кредитной карты, срок ее действия и PIN-код.
– А что делать, если нет доступа к конторе типа accurint? Где искать SNN и прочие личные данные владельца карты?
– На кардерских форумах хватает людей, которые поставили поиск личных данных американцев на поток. Стоит все удовольствие $3–5. Почему именно американцев? Дело в том, что подробные базы с полной информацией о гражданах, включая сведения о браках и разводах, судимостях, месте работы, движимом и недвижимом имуществе, зарегистрированном оружии, кредитную историю и т. п., есть только в Штатах. По Евросоюзу единой базы нет, только по отдельным странам. К тому же в Америке проживает 300 млн потенциальных потерпевших, а, к примеру, в Бельгии – всего десять. Есть разница?
– Как еще можно узнать PIN-код?
– В последний год серьезные обороты набрал фишинг (phishing).
– ?..
– Искаженное английское fishing («рыбалка»). Пользователям рассылаются сообщения со ссылками на сайты, как две капли воды похожие на сайты настоящих банков, платежных систем, социальных сетей и т. д., где злоумышленники выуживают у доверчивых пользователей ценные личные данные – логины и пароли, номера кредиток, PIN-коды, доступы к различным платным сайтам и прочее. По сути, фишинг – это классическая разводка, искусство выдавать себя за того, кем не являешься. Он основывается на незнании пользователями элементарных вещей – в частности, того, что банки и различные сервисы никогда не рассылают писем с просьбами сообщить свои учетные данные. Фишинг особенно распространен в США, где высокий уровень законопослушности населения – если банк прислал запрос, то на него надо обязательно ответить.
– А для чего фишеры крадут доступы к аккаунтам в социальных сетях?
– Для заманивания новых лохов, конечно. Вероятность того, что участник социальной сети пройдет по присланной от имени друга ссылке, примерно в десять раз выше, чем если бы эта ссылка пришла к нему по электронной почте.
Для защиты от фишинга производители интернет-браузеров уже встраивают в них антифишинговую защиту, но проверка на фишинг увеличивает время загрузки страниц и многие юзеры ее просто отключают. Невнимательность и наивность по-прежнему остаются главной причиной любых проблем. Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то «потеряны» флешки. Нашедшие их сотрудники, недолго думая, засовывали устройства в рабочие компьютеры – видимо, хотели посмотреть, что на них записано. Вот так, без особых усилий во многие корпоративные сети проник «троян».
– Ну а какое отношение «пины» имеют к фишингу? – недоумевала моя адвокат.
– У многих фишеров скопились просто гигантские массивы карт и PIN-кодов. Заметьте, карт – но не дампов. Зато дампы были у нас, кардеров, и некоторые из баз насчитывали миллионы треков. Мне пришла логичная идея сравнить на соответствие базы карт с базами дампов. Сравнение происходило, понятное дело, по номеру карточки.
– Получилось?
– Еще бы. Процент совпадений не превышал 0,3 %, но, учитывая, что и у фишеров, и у кардеров на руках были миллионы карт, это стало для меня отличным заработком.
Также существует, но сегодня уже начинает «умирать», еще одна тема по получению «пинов». Услышал я о ней от американцев еще осенью 2003-го. Фишка заключалась в генерации дампа при наличии на руках только номера кредитки, срока ее действия и PIN-кода. Здесь вновь выручили фишеры – этого-то добра у них хватало. Самым сложным было написать рабочий дамп.
Любой дамп – а для банкомата достаточно только второй дорожки – содержит номер карты, срок действия, а также некий защитный трехзначный код. В системе VISA он носит название CVV (Card Verification Value), а у Mastercard – CVC (Card Validation Code). Возьмем, для примера, кредитный дамп Fleet Bank: 4 30550 0092327108=110210100 00529, CVV в данном случае 529.
Или любимый многими MBNA Bank: 4264294318344118=1201101000 0044500000, здесь CVV – 445.
Кстати, ввели этот защитный код в начале 1990-х после весьма занятной истории.
В 1990 году Королевский суд Винчестера в Англии осудил двоих преступников, использовавших простую, но эффективную схему. Они стояли в очередях к банкоматам, подсматривали PIN-коды клиентов, подбирали чеки, оставленные клиентами после завершения транзакции, и копировали номера карт с них на пластиковые заготовки с магнитной полосой. Таких людей называли трэшерами (от англ. trash – «мусор»). Эта уловка удавалась потому, что банки печатали на чеке номер кредитки клиента полностью (сейчас большая часть скрыта звездочками), и прекратили это делать лишь с 1993 года, после того как по телевидению и в СМИ журналисты опозорили эти банки, подняв шумиху вокруг таких вопиющих случаев халатности. Тогда же платежные системы и придумали коды CVV/CVC – чтобы полностью исключить возможность того, что злоумышленник создаст работоспособный дамп, если подсмотрит номер карты клиента.
Казалось бы, теперь подобной схеме мошенничества поставлен надежный заслон. Но нет – несмотря на имеющуюся возможность контроля и сегодня полно банков, которые ей пренебрегают. В основном этим грешат американские банки, но вычислить их можно только эмпирическим путем – ни один кардер не поделится подобной информацией. Из-за отключенной проверки CVV американские банки потеряли миллиарды долларов. Агентство Gartner подсчитало, что только за 2004 год американские финансовые институты потеряли из-за этой аферы около $2,75 млрд. И это только за один год! В 2004 году примерно половина американских банков не проверяли CVV при банковских транзакциях, а также транзакциях с использованием дебетных карт, требующих обязательного ввода PIN. Citibank, крупнейшая американская финансовая организация, пострадала сильнее всего. PINы стали святым Граалем для кардеров.
– Но все эти способы слишком сложны для обычного человека…
– На каждого мудреца довольно простоты – несмотря на многочисленные предупреждения, многие держатели карт записывают PIN-коды прямо на карточках. В случае утери или кражи в руках вора окажется и карточка, и PIN. Я еще понимаю американцев – у них в среднем около семи карт на душу населения, но наши-то… Если уж и записываете PIN на карте, то делайте это так, чтобы никто не понял, что это он, – запишите его под видом номера телефона, например, где первые или последние цифры номера и будут PIN-кодом. Да, и еще одно: номер службы поддержки банка записан на оборотной стороне карточки. Перепишите его куда-нибудь в мобильник, так как, если карту украдут, начнутся беспорядочные метания в поисках нужного телефонного номера, а этого времени может быть достаточно, чтобы мошенник увел ваши деньги.
И последнее: по правилам платежных систем операции по карте, которые были произведены с вводом PIN-кода, опротестовать невозможно. Когда вы получаете карту, то подписываете документ, где указывается, что вы получили конверт с PIN-кодом. Там написано, что вся ответственность за сохранность этого номера лежит полностью на клиенте. И если клиент этот номер «провтыкал» – это его проблемы. Банк имеет полное право отказать в рассмотрении жалобы о краже денег и будет совершенно прав. Поэтому не сообщайте никому свой PIN-код, равно как и карточку в чужие руки не давайте.
Следующие методы получения PIN-кодов подразумевают определенные физические действия с банкоматом. Для первой аферы нужны ровные руки и суперклей. Заклеиваешь на банкомате клавиши «Ввод», «Очистить», «Отмена» и устраиваешь засаду. Приходит жертва, засовывает карту в щель банкомата, набирает PIN-код, после чего обнаруживает, что нужные клавиши не работают, и уходит – например, в отделение банка за помощью. Тут жулики выскакивают из засады и снимают с карты деньги с помощью тачскрина (почему-то кардхолдеры забывают, что все функции управления продублированы на экране банкомата).
Встречаются также фальшивые платежные терминалы, «посы» и даже банкоматы, которые эмулируют настоящие, но запрограммированы только на сбор дампов и PIN-кодов. Нападения этого вида были впервые описаны в США еще в 1988 году. Мошенники построили машину, которая принимала любую карточку и выдавала пачку сигарет. Данное изобретение было размещено в магазине, а PIN-коды и дампы передавались посредством модема. Трюк распространился по всему миру.
Еще одним источником проблем для банков являются тестовые транзакции. Для одного типа банкоматов использовалась 14-значная ключевая последовательность для тестовой выдачи десяти банкнот. Кроме того, руководство по настройке любой модели банкоматов можно найти в Интернете. В нем подробно объясняется, как перевести банкомат в диагностический режим и перепрограммировать на свое усмотрение – например, убедить машину, что она наполнена однодолларовыми купюрами вместо «двадцаток», и получить не $20, а $400. Конечно, вход в такой режим требует знания специального кода, однако большинство банкоматов используют пароли по умолчанию, которые указаны в руководстве.
По своей сути любой банкомат или POS-терминал – это тот же компьютер. И если «посы» работают на собственных «операционках» типа Unicapt или Telium, то банкоматы работают под управлением Windows, а значит, их можно успешно заразить вирусом. Правда, в большинстве своем сети банкоматов не подключены к Интернету, и единственный способ инфицировать банкомат – это снять с него крышку и подключить к специальному разъему ноутбук с заранее сконфигурированным программным обеспечением. Как раз недавно группа украинских кардеров разработала вирус, после установки которого в банкомат можно снять все имеющиеся там деньги с помощью специальной карточки доступа. Помимо этого, вирус позволяет ввести на клавиатуре банкомата определенный код и получить распечатку всех дампов и PIN-кодов, прошедших через зараженный аппарат.
– А разве банкоматы не оборудованы видеокамерами, которые заснимут подозрительные манипуляции с открыванием крышки банкомата и т. п.? – задала резонный вопрос Галина Аркадьевна.
– В каждом втором белорусском банкомате видеокамеры отсутствуют. Я и говорю – страна непуганых идиотов…
Есть еще такой способ получения PIN-кодов, как траппинг (от англ. trap – «ловушка»). Ты подходишь к банкомату, вставляешь карту, вводишь свой PIN и… ничего. Тут к тебе подходит незнакомец и спрашивает, в чем дело, банкомат, что ли, не работает? Ты пытаешься объяснить и вводишь PIN-код у него на глазах. Естественно, опять ничего не происходит. Деньги не снять, карту тоже не достать – она застряла. Разозленный, ты идешь ругаться в отделение банка. Тем временем незнакомец быстро дергает за кусочек тонкой фотопленки, которая была внутри приемника для карты и мешала считать информацию, и вытаскивает ее вместе с твоей картой – а PIN он уже подсмотрел. Чтобы избежать этого, пользуйтесь простыми правилами: не давайте никому подходить к банкомату в то время, пока им пользуетесь вы, и не слушайте ничьих советов. Проблемы с картой решайте, не отходя от банкомата, если что – звоните в службу поддержки своего банка или банка, установившего банкомат. Вводя PIN-код, прикрывайте клавиатуру свободной рукой. Правда, все эти меры предосторожности не помогут, если мы имеем дело со скиммингом.
– ?..
– Скимминг (от англ. skim – «снимать») – один из самых ненавидимых банкирами всего мира видов кардинга. Скиммер – это незаметное, толщиной всего в несколько миллиметров, устройство, которое вставляется в прорезь для карты и выглядит как обычный считыватель карты, поэтому неискушенному человеку его заметить крайне сложно. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним установлен хорошо замаскированный скиммер, считывающий дамп карты и сохраняющий его во встроенную флеш-память. Существуют и более сложные модели скиммеров со встроенным GPRS-модемом, отсылающие данные по SMS или вообще на «мыло» кардеру. Стоимость подобных устройств на рынке начинается от $8 тыс.
– Постой, а как же PIN-код? Скиммер ведь копирует только дамп…
– Съем PIN-кода в данном случае – тоже искусство. В ход идут замаскированные видеокамеры или даже муляжи клавиатуры, накладываемые поверх настоящей. «Не устанавливайте скиммер в утреннее время, поскольку прохожие более бдительны в это время. Не выбирайте банкомат, через который проходит больше 250 клиентов в день. Избегайте городов с населением меньше 15 тыс. жителей – местные отлично знают, как выглядят их банкоматы, и могут заметить ваш скиммер», – гласила инструкция, прилагающаяся к скиммерам, продающимся на одном из кардерских сайтов.
– Кардеры, фишеры, скиммеры… Неужели все так плохо?
– На самом деле – нет. Просто, совершая любую операцию с пластиковой картой, будь то получение налички в банкомате или же покупка в интернет-магазине, стоит сто раз проверить все окрестности, прежде чем демонстрировать данные вашей карточки. Для компьютерных платежей неплохо бы включить антифишинг и своевременно обновлять антивирусные программы. Когда расплачиваетесь карточкой в магазине (ресторане, гостинице и т. д.), не допускайте, чтобы карта пропадала из виду. К примеру, официант запросто может сказать, что терминал находится там-то и ему нужно отойти, чтобы прокатать вашу карточку. В этом случае идите вместе с ним. После оплаты в сомнительном месте внимательно изучите чек – нет ли там каких-нибудь лишних сумм. Старайтесь не расплачиваться картой в странах повышенного риска – в Турции, Египте, Таиланде, Украине. Особенно это касается кредитных карт, потому что в этом случае вы теряете деньги банка, и на вас будет висеть долг, да еще и с процентами.
Банкоматы лучше использовать те, которые находятся в помещении банка – меньше шансов, что на них будет установлен скиммер. Выработайте у себя привычку внимательно смотреть на прорезь для карты – нет ли там какой посторонней накладки, и на клавиатуру банкомата. Стоит помнить, что здравая толика паранойи способна уберечь ваши деньги лучше, чем ложная скромность и истинная безалаберность.
Кстати, вы не в курсе, в какой хате сидит Паша Воропаев? – я сменил тему разговора.
– Не знаю, но поосторожнее с ним, – предостерегла Галина Аркадьевна. – У них с Батюком один на двоих адвокат, а это возможно, только если их позиция по вашему уголовному делу совпадает. Так что, скорее всего, они «грузят» именно тебя, гляди, еще и организатором сделают. Будут петь в унисон, и будь ты хоть трижды прав, но нашему «правосудию» ничего не докажешь. Надо было тщательнее подельников выбирать, а лучше вообще без них, если это возможно.
«Организатором»… «грузят»… да-а, попал. Наверное, и сдали меня они. Засветились при шопинге в Минске – на них вышли менты. «Где взяли поддельные карточки?» – «У Павловича»… Ни грамма не весело…
boafactory.net в глаза сразу бросались соблазнительные предложения типа: «Хочешь российский паспорт за три дня? Нет проблем. Нужен диплом об окончании вуза? Запросто. Сертификаты, свидетельства, аттестаты, водительские права, визы, разрешения на оружие и мигалки? Ты попал куда нужно, приятель». Boa Factory предлагали подделку практически любых документов с качеством, неотличимым от настоящего. Контора даже проставляла штампы о въезде/выезде из нейтральных стран, чтобы паспорт не выглядел новым. Стоимость услуг заметно разнилась в зависимости от сложности. Например, цена на русский паспорт была в районе $400, а на реальное, пусть и не совсем честно полученное, гражданство Ирландии доходила до 25 тыс. «вечнозеленых». Работала фабрика Боа и с реальным «пластиком», продавая как готовые кредитки, так и оборудование для их изготовления.
– А что делать, если нет доступа к конторе типа accurint? Где искать SNN и прочие личные данные владельца карты?
– На кардерских форумах хватает людей, которые поставили поиск личных данных американцев на поток. Стоит все удовольствие $3–5. Почему именно американцев? Дело в том, что подробные базы с полной информацией о гражданах, включая сведения о браках и разводах, судимостях, месте работы, движимом и недвижимом имуществе, зарегистрированном оружии, кредитную историю и т. п., есть только в Штатах. По Евросоюзу единой базы нет, только по отдельным странам. К тому же в Америке проживает 300 млн потенциальных потерпевших, а, к примеру, в Бельгии – всего десять. Есть разница?
– Как еще можно узнать PIN-код?
– В последний год серьезные обороты набрал фишинг (phishing).
– ?..
– Искаженное английское fishing («рыбалка»). Пользователям рассылаются сообщения со ссылками на сайты, как две капли воды похожие на сайты настоящих банков, платежных систем, социальных сетей и т. д., где злоумышленники выуживают у доверчивых пользователей ценные личные данные – логины и пароли, номера кредиток, PIN-коды, доступы к различным платным сайтам и прочее. По сути, фишинг – это классическая разводка, искусство выдавать себя за того, кем не являешься. Он основывается на незнании пользователями элементарных вещей – в частности, того, что банки и различные сервисы никогда не рассылают писем с просьбами сообщить свои учетные данные. Фишинг особенно распространен в США, где высокий уровень законопослушности населения – если банк прислал запрос, то на него надо обязательно ответить.
– А для чего фишеры крадут доступы к аккаунтам в социальных сетях?
– Для заманивания новых лохов, конечно. Вероятность того, что участник социальной сети пройдет по присланной от имени друга ссылке, примерно в десять раз выше, чем если бы эта ссылка пришла к нему по электронной почте.
Для защиты от фишинга производители интернет-браузеров уже встраивают в них антифишинговую защиту, но проверка на фишинг увеличивает время загрузки страниц и многие юзеры ее просто отключают. Невнимательность и наивность по-прежнему остаются главной причиной любых проблем. Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то «потеряны» флешки. Нашедшие их сотрудники, недолго думая, засовывали устройства в рабочие компьютеры – видимо, хотели посмотреть, что на них записано. Вот так, без особых усилий во многие корпоративные сети проник «троян».
– Ну а какое отношение «пины» имеют к фишингу? – недоумевала моя адвокат.
– У многих фишеров скопились просто гигантские массивы карт и PIN-кодов. Заметьте, карт – но не дампов. Зато дампы были у нас, кардеров, и некоторые из баз насчитывали миллионы треков. Мне пришла логичная идея сравнить на соответствие базы карт с базами дампов. Сравнение происходило, понятное дело, по номеру карточки.
– Получилось?
– Еще бы. Процент совпадений не превышал 0,3 %, но, учитывая, что и у фишеров, и у кардеров на руках были миллионы карт, это стало для меня отличным заработком.
Также существует, но сегодня уже начинает «умирать», еще одна тема по получению «пинов». Услышал я о ней от американцев еще осенью 2003-го. Фишка заключалась в генерации дампа при наличии на руках только номера кредитки, срока ее действия и PIN-кода. Здесь вновь выручили фишеры – этого-то добра у них хватало. Самым сложным было написать рабочий дамп.
Любой дамп – а для банкомата достаточно только второй дорожки – содержит номер карты, срок действия, а также некий защитный трехзначный код. В системе VISA он носит название CVV (Card Verification Value), а у Mastercard – CVC (Card Validation Code). Возьмем, для примера, кредитный дамп Fleet Bank: 4 30550 0092327108=110210100 00529, CVV в данном случае 529.
Или любимый многими MBNA Bank: 4264294318344118=1201101000 0044500000, здесь CVV – 445.
Кстати, ввели этот защитный код в начале 1990-х после весьма занятной истории.
В 1990 году Королевский суд Винчестера в Англии осудил двоих преступников, использовавших простую, но эффективную схему. Они стояли в очередях к банкоматам, подсматривали PIN-коды клиентов, подбирали чеки, оставленные клиентами после завершения транзакции, и копировали номера карт с них на пластиковые заготовки с магнитной полосой. Таких людей называли трэшерами (от англ. trash – «мусор»). Эта уловка удавалась потому, что банки печатали на чеке номер кредитки клиента полностью (сейчас большая часть скрыта звездочками), и прекратили это делать лишь с 1993 года, после того как по телевидению и в СМИ журналисты опозорили эти банки, подняв шумиху вокруг таких вопиющих случаев халатности. Тогда же платежные системы и придумали коды CVV/CVC – чтобы полностью исключить возможность того, что злоумышленник создаст работоспособный дамп, если подсмотрит номер карты клиента.
Казалось бы, теперь подобной схеме мошенничества поставлен надежный заслон. Но нет – несмотря на имеющуюся возможность контроля и сегодня полно банков, которые ей пренебрегают. В основном этим грешат американские банки, но вычислить их можно только эмпирическим путем – ни один кардер не поделится подобной информацией. Из-за отключенной проверки CVV американские банки потеряли миллиарды долларов. Агентство Gartner подсчитало, что только за 2004 год американские финансовые институты потеряли из-за этой аферы около $2,75 млрд. И это только за один год! В 2004 году примерно половина американских банков не проверяли CVV при банковских транзакциях, а также транзакциях с использованием дебетных карт, требующих обязательного ввода PIN. Citibank, крупнейшая американская финансовая организация, пострадала сильнее всего. PINы стали святым Граалем для кардеров.
– Но все эти способы слишком сложны для обычного человека…
– На каждого мудреца довольно простоты – несмотря на многочисленные предупреждения, многие держатели карт записывают PIN-коды прямо на карточках. В случае утери или кражи в руках вора окажется и карточка, и PIN. Я еще понимаю американцев – у них в среднем около семи карт на душу населения, но наши-то… Если уж и записываете PIN на карте, то делайте это так, чтобы никто не понял, что это он, – запишите его под видом номера телефона, например, где первые или последние цифры номера и будут PIN-кодом. Да, и еще одно: номер службы поддержки банка записан на оборотной стороне карточки. Перепишите его куда-нибудь в мобильник, так как, если карту украдут, начнутся беспорядочные метания в поисках нужного телефонного номера, а этого времени может быть достаточно, чтобы мошенник увел ваши деньги.
И последнее: по правилам платежных систем операции по карте, которые были произведены с вводом PIN-кода, опротестовать невозможно. Когда вы получаете карту, то подписываете документ, где указывается, что вы получили конверт с PIN-кодом. Там написано, что вся ответственность за сохранность этого номера лежит полностью на клиенте. И если клиент этот номер «провтыкал» – это его проблемы. Банк имеет полное право отказать в рассмотрении жалобы о краже денег и будет совершенно прав. Поэтому не сообщайте никому свой PIN-код, равно как и карточку в чужие руки не давайте.
Следующие методы получения PIN-кодов подразумевают определенные физические действия с банкоматом. Для первой аферы нужны ровные руки и суперклей. Заклеиваешь на банкомате клавиши «Ввод», «Очистить», «Отмена» и устраиваешь засаду. Приходит жертва, засовывает карту в щель банкомата, набирает PIN-код, после чего обнаруживает, что нужные клавиши не работают, и уходит – например, в отделение банка за помощью. Тут жулики выскакивают из засады и снимают с карты деньги с помощью тачскрина (почему-то кардхолдеры забывают, что все функции управления продублированы на экране банкомата).
Встречаются также фальшивые платежные терминалы, «посы» и даже банкоматы, которые эмулируют настоящие, но запрограммированы только на сбор дампов и PIN-кодов. Нападения этого вида были впервые описаны в США еще в 1988 году. Мошенники построили машину, которая принимала любую карточку и выдавала пачку сигарет. Данное изобретение было размещено в магазине, а PIN-коды и дампы передавались посредством модема. Трюк распространился по всему миру.
Еще одним источником проблем для банков являются тестовые транзакции. Для одного типа банкоматов использовалась 14-значная ключевая последовательность для тестовой выдачи десяти банкнот. Кроме того, руководство по настройке любой модели банкоматов можно найти в Интернете. В нем подробно объясняется, как перевести банкомат в диагностический режим и перепрограммировать на свое усмотрение – например, убедить машину, что она наполнена однодолларовыми купюрами вместо «двадцаток», и получить не $20, а $400. Конечно, вход в такой режим требует знания специального кода, однако большинство банкоматов используют пароли по умолчанию, которые указаны в руководстве.
По своей сути любой банкомат или POS-терминал – это тот же компьютер. И если «посы» работают на собственных «операционках» типа Unicapt или Telium, то банкоматы работают под управлением Windows, а значит, их можно успешно заразить вирусом. Правда, в большинстве своем сети банкоматов не подключены к Интернету, и единственный способ инфицировать банкомат – это снять с него крышку и подключить к специальному разъему ноутбук с заранее сконфигурированным программным обеспечением. Как раз недавно группа украинских кардеров разработала вирус, после установки которого в банкомат можно снять все имеющиеся там деньги с помощью специальной карточки доступа. Помимо этого, вирус позволяет ввести на клавиатуре банкомата определенный код и получить распечатку всех дампов и PIN-кодов, прошедших через зараженный аппарат.
– А разве банкоматы не оборудованы видеокамерами, которые заснимут подозрительные манипуляции с открыванием крышки банкомата и т. п.? – задала резонный вопрос Галина Аркадьевна.
– В каждом втором белорусском банкомате видеокамеры отсутствуют. Я и говорю – страна непуганых идиотов…
Есть еще такой способ получения PIN-кодов, как траппинг (от англ. trap – «ловушка»). Ты подходишь к банкомату, вставляешь карту, вводишь свой PIN и… ничего. Тут к тебе подходит незнакомец и спрашивает, в чем дело, банкомат, что ли, не работает? Ты пытаешься объяснить и вводишь PIN-код у него на глазах. Естественно, опять ничего не происходит. Деньги не снять, карту тоже не достать – она застряла. Разозленный, ты идешь ругаться в отделение банка. Тем временем незнакомец быстро дергает за кусочек тонкой фотопленки, которая была внутри приемника для карты и мешала считать информацию, и вытаскивает ее вместе с твоей картой – а PIN он уже подсмотрел. Чтобы избежать этого, пользуйтесь простыми правилами: не давайте никому подходить к банкомату в то время, пока им пользуетесь вы, и не слушайте ничьих советов. Проблемы с картой решайте, не отходя от банкомата, если что – звоните в службу поддержки своего банка или банка, установившего банкомат. Вводя PIN-код, прикрывайте клавиатуру свободной рукой. Правда, все эти меры предосторожности не помогут, если мы имеем дело со скиммингом.
– ?..
– Скимминг (от англ. skim – «снимать») – один из самых ненавидимых банкирами всего мира видов кардинга. Скиммер – это незаметное, толщиной всего в несколько миллиметров, устройство, которое вставляется в прорезь для карты и выглядит как обычный считыватель карты, поэтому неискушенному человеку его заметить крайне сложно. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним установлен хорошо замаскированный скиммер, считывающий дамп карты и сохраняющий его во встроенную флеш-память. Существуют и более сложные модели скиммеров со встроенным GPRS-модемом, отсылающие данные по SMS или вообще на «мыло» кардеру. Стоимость подобных устройств на рынке начинается от $8 тыс.
– Постой, а как же PIN-код? Скиммер ведь копирует только дамп…
– Съем PIN-кода в данном случае – тоже искусство. В ход идут замаскированные видеокамеры или даже муляжи клавиатуры, накладываемые поверх настоящей. «Не устанавливайте скиммер в утреннее время, поскольку прохожие более бдительны в это время. Не выбирайте банкомат, через который проходит больше 250 клиентов в день. Избегайте городов с населением меньше 15 тыс. жителей – местные отлично знают, как выглядят их банкоматы, и могут заметить ваш скиммер», – гласила инструкция, прилагающаяся к скиммерам, продающимся на одном из кардерских сайтов.
– Кардеры, фишеры, скиммеры… Неужели все так плохо?
– На самом деле – нет. Просто, совершая любую операцию с пластиковой картой, будь то получение налички в банкомате или же покупка в интернет-магазине, стоит сто раз проверить все окрестности, прежде чем демонстрировать данные вашей карточки. Для компьютерных платежей неплохо бы включить антифишинг и своевременно обновлять антивирусные программы. Когда расплачиваетесь карточкой в магазине (ресторане, гостинице и т. д.), не допускайте, чтобы карта пропадала из виду. К примеру, официант запросто может сказать, что терминал находится там-то и ему нужно отойти, чтобы прокатать вашу карточку. В этом случае идите вместе с ним. После оплаты в сомнительном месте внимательно изучите чек – нет ли там каких-нибудь лишних сумм. Старайтесь не расплачиваться картой в странах повышенного риска – в Турции, Египте, Таиланде, Украине. Особенно это касается кредитных карт, потому что в этом случае вы теряете деньги банка, и на вас будет висеть долг, да еще и с процентами.
Банкоматы лучше использовать те, которые находятся в помещении банка – меньше шансов, что на них будет установлен скиммер. Выработайте у себя привычку внимательно смотреть на прорезь для карты – нет ли там какой посторонней накладки, и на клавиатуру банкомата. Стоит помнить, что здравая толика паранойи способна уберечь ваши деньги лучше, чем ложная скромность и истинная безалаберность.
Кстати, вы не в курсе, в какой хате сидит Паша Воропаев? – я сменил тему разговора.
– Не знаю, но поосторожнее с ним, – предостерегла Галина Аркадьевна. – У них с Батюком один на двоих адвокат, а это возможно, только если их позиция по вашему уголовному делу совпадает. Так что, скорее всего, они «грузят» именно тебя, гляди, еще и организатором сделают. Будут петь в унисон, и будь ты хоть трижды прав, но нашему «правосудию» ничего не докажешь. Надо было тщательнее подельников выбирать, а лучше вообще без них, если это возможно.
«Организатором»… «грузят»… да-а, попал. Наверное, и сдали меня они. Засветились при шопинге в Минске – на них вышли менты. «Где взяли поддельные карточки?» – «У Павловича»… Ни грамма не весело…