Kingpin - Кевин Поулсен

в Канзас-Сити, штат Миссури — возможно, был первым, кто понял, что происходит. В 2003 году банковский управляющий безопасностью был предупрежден о необходимости проверить клиентские счета, с которых в течение дня были сняты суммы от 10 до 20 тысяч долларов через банкоматы в Италии — он придет в понедельник и обнаружит, что его банк потерял 70 тысяч долларов за выходные. Когда он провел расследование, он понял, что пострадавшие клиенты стали жертвами фишинговых атак, направленных конкретно на похищение номеров и PIN-кодов их дебетовых карт.

Но кое-что в этой истории не имело смысла: коды CVV должны были предотвратить такой вид мошенничества. Без CVV кода безопасности, хранящегося на магнитной полосе карты, украденная при помощи фишинга информация не должна была сработать ни на одном банкомате в мире.

Он копнул глубже и выяснил правду: его банк просто не проверял CVV коды ни в банкоматах, ни при покупках по дебетовым картам, где покупатель вводит PIN для авторизации. На самом деле, банк не мог проводить подобную проверку, даже если бы захотел — сторонняя процессинговая сеть используемая банком даже не передавала секретный код. Итальянские фишеры могли внести любую бессмыслицу в поле CVV и карта была бы принята, как валидная.

Управляющий сменил процессинговую сеть и перепрограммировал сервер на верификацию CVV. Таинственные выводы денег из Италии прекратились той же ночью.

Но Commerce Bank банк был только началом. В 2004 году примерно половина американских банков, кредитно-сберегательных организаций и кредитных союзов все еще не заботились о верификации CVV в банкоматах и при дебетовых транзакциях, поэтому папки входящих сообщений полнились фишинговыми письмами нацеленными на PIN-коды банков, которые кардеры называли «обналичиваемыми».

Citibank — крупнейший национальный банк по размеру вкладов — был самой известной жертвой. «Это сообщение было отправлено сервером Citibank, чтобы уточнить Ваш адрес электронной почты» — можно было прочитать в сообщении из России во время сентябрьской кампании 2003 года — «Вы должны завершить этот процесс, нажав на ссылку ниже и указав в появившемся маленьком окне Ваш номер карты Citibank и PIN, который Вы используете в банкомате.»

Более творческие сообщения в 2004 использовали обоснованные страхи клиентов перед кибер-преступлениями. «Не так давно произошло большое количество попыток кражи персональных данных направленных на клиентов Citibank», — гласило сообщение, украшенное логотипом Citibank. — «Для того, чтобы обезопасить Ваш счет, мы просим Вас обновить PIN вашей карты Citibank». Нажав на ссылку, клиент банка попадал на отлично подготовленное подобие оригинального сайта, размещенное на хостинге в Китае, где жертве предлагалось ввести данные.

Отлично подходившие для прямого снятия наличности, PIN-коды были святым Граалем кардинга. И был Король Артур (King Arthur) c сайта CarderPlanet, который был наиболее успешен в его поиске. Король, как его звали друзья, руководил интернациональной сетью, специализировавшейся по атакам на клиентов Citibank. Он был легендой в мире кардинга. Один из заместителей Короля Артура, американский экспат в Англии, однажды обмолвился коллеге, что Король делает 1 миллион долларов в неделю на международных операциях. И он был лишь одним из многих выходцев из Восточной Европы занимавшихся обналичиванием в Америке.

Макс включился в историю с Citibank по своему: он заразил трояном американского обнальщика под ником Такс (Tux) и начал перехватывать PIN-коды и номера счетов, которые тот получал от своего поставщика. Через некоторое время, он связался с источником поставок — анонимным Восточно-Европейцем, за личностью которого, как подозревал Макс, скрывался сам Король Артур — и откровенно признался ему в том, что сделал: он сказал, что Такс был виновен в безалаберном отношении к безопасности. Для верности, Макс добавил безосновательное обвинение обнальщика в обкрадывании своего поставщика.

Поставщик сразу же прекратил отношения с Таксом и начал пересылать PIN-коды напрямую ему, признав хакера своим новым обнальщиком. Когда PIN-коды начали поступать, Макс передавал их Крису, который вгрызался в них со всей силы. Крис снимал 2000 долларов наличными — дневной лимит банкоматов — затем посылал девочек совершать покупки в магазинах до полного опустошения счета. Он потрошил карты. Максу это не нравилось. Весь смысл обналичивания был в получении наличных, а не в перепродаже вещей лишь за часть их стоимости. Добавив в схему немного изящества, можно было сделать карты более ликвидными.

Затем ему пришло в голову, что он вовсе не нуждается в своем партнере для этих конкретных операций.

Вернувшись от UBuyWeRush со своим собственным MSR206, Макс начал вести бизнес самостоятельно. Он кодировал пачку подарочных карт Visa информацией по счетам и писал на прикрепленной к каждой карте бумажке ее PIN. Затем он садился на велосипед или шел пешком по извилистому пути через весь город посещая небольшие частные банкоматы расположенные в местах недоступных камерам наблюдения. Он вводил PIN, сумму снятия и клац, клац, клац, клац — банкомат выдавал наличные, как игровой автомат в казино. Макс убирал деньги, записывал на листочке новый баланс счета карты, оглядывался, чтобы убедиться, что не привлек лишнего внимания, и доставал следующую карту из набора. Чтобы не оставлять отпечатков пальцев, он нажимал кнопки через кусочек бумаги или ногтями, либо покрывал кончики пальцев гидроксиквинолином — прозрачным липким антисептиком, который продавался в аптеках в качестве жидкого пластыря.

Макс исправно отправлял процент своей выручки в Россию через систему MoneyGram компании Western Union, согласно их договору с поставщиком. Теперь он на самом деле был преступником и занимался однозначно подпольным бизнесом. Даже после того, как обзавелся собственным кодировщиком, Макс продолжал отдавать некоторые PIN-коды Крису, который продолжал заставлять свою команду агрессивно выжимать счета до конца.

Понятно, что промысел Макса не особо походил на деятельность Робин Гуда, но Макс испытывал моральное утешение от того факта, что обналичивание всегда заканчивалось блокировкой карты. Это означало, что мошеннические снятия наличных были обнаружены и Citibank будет вынужден возместить потери своих клиентов от воров.

Через несколько месяцев Макс неплохо устроился на потерях Citibank: он вместе с Чарити переехал в дом стоимостью 6000$/мес. в Коул Велли, Сан-Франциско, и установил сейф для полученных доходов в 250 000 долларов наличными.

Его прибыль была лишь мелкой частью всех потерь от оплошности с CVV-кодами. В мае 2005 аналитики компании Gartner провели опрос 5000 онлайн-потребителей и, экстраполировав результаты, подытожили: эта ошибка стоила финансовым институтам США 2.5 миллиарда долларов. Всего за 1 год.

Глава 16. «Операция Фаервол»

Что-то странное происходило с ShadowCrew.

Макс старался не светиться на одном из самых криминальных сайтов во всем интернете. Для него ShadowCrew была лишь площадкой, где можно было взломать пару-тройку кардеров. Однако, в мае 2004