Кто такие кардеры. Кардинг: что это такое и как от него защититься

Российские покупатели часто и охотно делают заказы в магазинах США. Это удобно, выгодно и просто. При этом половина (если не больше) товаров идёт через майл-форвардеров. Такие компании помогают сэкономить на доставке или получить вещь, которую не шлют за пределы Соединённых Штатов. Но в идиллической картине зарубежного шопинга практически сразу появилось некрасивое пятно. Имеются в виду мошенники, которые всегда крутятся вокруг сферы услуг. Они быстро оценили преимущества американского шопинга и стали искать способы лёгкой поживы. Так появилось кардерство.

Кардеры (фродеры, фраудеры) - это люди, которые оплачивают свои покупки чужой банковской картой, платёжными реквизитами которой они смогли завладеть. Кардеров можно условно разделить на две категории. Первая - это те, кто покупает для себя, вторая - те, кто зарабатывает на перепродаже товаров. На продажу идут телефоны, планшеты, фотоаппараты, другая электроника, дорогие наборы Lego. Очень популярны сейчас камеры GoPro. Для себя же кардеры стараются заказывать элитную одежду, обувь, аксессуары. Вот, к примеру, куртка за $1100, которую мы относительно недавно вернули в магазин. А где-то по ту сторону монитора, читая эти строки, плачет её несостоявшийся обладатель.

Стоит понимать, что кардеры - фактически воры, финансовые мошенники. Fishisfast сталкивается преимущественно с теми, кто живёт в России и странах СНГ. Эти люди стараются работать с банковскими картами иностранцев. Ведь в противном случае вероятность личной встречи с людьми в форме увеличивается в несколько раз. А кардеры по своей натуре очень застенчивы, и этих встреч чрезвычайно стесняются.

Карты жителей США пользуются особой любовью у русскоязычных кардеров. Они даже позиционируют себя чуть ли не Робин Гудами. Дескать, воруют у богатых в пользу бедных. Но в последнее время всё активнее развивается европейское направление кардинга.

Не стоит думать, что в других странах нет проблемы фрода. Буквально неделю назад мы выявили кардера из ОАЭ, который заказал себе несколько игр для Xbox. Случай нетипичный, но и такое бывает.

Существуют большие форумы кардеров, на которых они обмениваются полезной информацией, ищут подставных лиц для получения и пересылки товаров (дропов), предлагают свои услуги и незаконно купленный товар. Значительная доля таких форумов находится *.onion-зоне, часть закрыта от поиска, но некоторые можно найти и через обычный поисковик.

Как действуют кардеры?

Есть множество схем получения фродерским сообществом платёжной информации. И неудивительно, ведь над этим вопросом трудится немало людей. Существует целая подпольная индустрия по добыче данных. Чаще всего используется скимминг (кража данных карты при помощи специального считывающего устройства) и банальное воровство. Встречаются даже поддельные банкоматы. Хорошо развита и сетевая отрасль этого бизнеса. В интернете нужная информация добывается следующим образом:

Фишинг
Используя поддельные сайты (например, копии PayPal), мошенники получают много ценных данных. Отсюда стоит сделать вывод: не верьте глазам своим, проверяйте адресную строку.

Взлом
Интернет-магазины и другие сайты с большой базой платёжеспособных пользователей взламываются, и данные утекают в руки злоумышленников. Можно обойтись и без взлома, если подкупить одного из сотрудников сайта. Альтернативный вариант: покупка умирающего магазина с базой всех покупателей, после чего магазин отправляется на свалку истории, а база идёт по рукам.

Использование служебного положения
Сотрудники процессингового центра могут передавать информацию сообщнику в большом объёме. А если этот сотрудник работает в банке, то становится настоящей золотой жилой. Поэтому их усердно ищут кардеры. И, как ни странно, находят. В качестве рекомендации по защите можем посоветовать не пользоваться услугами микрофинансовых организаций. Их сотрудники вполне могут продавать третьим лицам регулярно пополняемые базы данных.

Социальная инженерия
Поддельные письма, имитирующие официальные банковские уведомления, сообщения от платёжных систем и напоминание об оплате услуг - всё это добро приходит на почту большинству активных интернет-пользователей. И некоторые до сих пор ведутся. Впрочем, социальная инженерия тем и славится, что всегда можно придумать новый способ получить нужную информацию у любого человека. Так что просто стоит быть внимательнее.

Особо хочется отметить опасность взлома сайтов. Наглядный пример: недавний взлом fl.ru . Если хакеру удалось слить базу данных, почти наверняка кардеры получили много новых материалов. По причине слабой защиты небольших сайтов мы не рекомендуем новичкам совершать покупки в непроверенных интернет-магазинах. Потом их данные могут оказаться в интернете. Стоят они, кстати, не так уж дорого.


Набрав себе достаточно платёжной информации, кардер приступает к покупкам (так называемому «вбиву»). Он вбивает информацию с карты при оплате заказа в разных магазинах, через разные прокси. Успешность операции зависит от качества карты, интенсивности её использования, правильности настройки системы и ряда других факторов. Цель проста - заказать товар/товары на нужную сумму. Если на одном из сайтов оплата проходит, заказ отправляется на адрес подставного лица (дропа-посредника) или к майл-форвардеру. Данный этап - самый нервный для любого человека, занимающегося фродом. Подставные нередко оставляют вещи себе, а форвардеры регулярно заворачивают посылки. Тут никаких нервов не хватит. Но если звёзды сложились, и вещи приходят на склад, кардер немедленно оформляет их доставку к себе. Немедленно, потому что любая задержка увеличивает риск быть пойманным за руку.

Нередко кардеры пытаются оплачивать с чужих карт и услуги форвардера, но это считается дурным тоном. Опытные фродеры часто ругают новичков за подобную деятельность.


Большие магазины из-за большого объёма продаж не слишком внимательно отслеживают транзакции, поэтому часто отсылают товар, купленный кардером. Маленькие интернет-магазины дотошнее. Они чаще связываются с нами/полицией/владельцем карты, если возникают сомнения в законности покупки. В этом случае посылка задерживается на складе магазина или же у нас.

Ещё один интересный способ заработка связан с fishisfast весьма опосредованно. Кардер публикует на форуме свои объявления о выкупе вещей с популярных американских сайтов с 30–50% скидкой (мол, такая скидка за объёмы). Обычные люди, доверчиво хлопая глазками, начинают пользоваться его услугами. Они заводят аккаунт у посредника, платят кардеру, а тот отправляет заказ на их имя.

То есть по сути, сам кардер не пользуется нашими услугами, он находит неосторожных людей, которые чересчур сильно хотят сэкономить, а потому верят в бесплатный сыр. Потом, когда эта схема вскрывается, люди совершенно искренне не понимают, в чём они провинились и почему их вещи возвращаются в магазин (они-то за них заплатили, хоть и с 30–50% скидкой). Когда они начинают писать тому человеку, он благополучно пропадает, удаляет свою тему на форуме и появляется на следующем в поиске таких же наивных людей.

Обратите внимание, есть даже целые фейковые форумы, где одним из пользователей предлагается техника Apple за 40% от стоимости (поищите, таких сайтов много). На самом деле форум мёртвый, и единственный его пользователь - тот самый продавец, он же админ, он же гарант, выступающий в роли независимого посредника. Разумеется, наивный покупатель товар не получит, ведь его просто не вышлют. А деньги вернуть почти невозможно.

Последний защитник

Fishisfast , как и любой другой ответственный mail-forwarder, выступает в качестве последнего рубежа обороны. Нет, в ряде случаев удаётся вернуть даже отправленную посылку. Но это трудно и долго. Проще и эффективнее не дать ей покинуть склад. И это главная задача антифрод-системы. Она у нас, кстати сказать, многоуровневая. Все секреты поведать не можем, но наиболее важные этапы опишем.

Первый этап: программный. По особому алгоритму система просчитывает вероятность того, что посылка принадлежит кардеру.
Второй этап: сотрудники склада. Их наметанный глаз и большой опыт позволяет обнаруживать подозрительные посылки.
Третий этап: специалист по антифроду. Особенный человек с необычайным чутьём! Работая не хуже Великого китайского файервола, он отсекает 95% кардерских посылок. Его реально боятся все кардеры. И это хорошо.

Если вы думаете, что отслеживать тех,кто занимается фродом, легко, то вот вам фотография зала для посылок. Они только что поступили и были зарегистрированы сотрудниками склада. Вполне возможно, что где-то здесь стыдливо прячется и кардерская посылка.


Когда у нас возникают подозрения относительно одного из пользователей, то мы проводим предварительную проверку аккаунта. Она безвредна и незаметна. Необходимость подобных проверок возникает часто. Дело в том, что имена известных людей активно используются кардерами. Например, некий Сергей Зверев из Москвы даже не подозревает, что его аккаунт проверялся, когда на адрес Локера пришли расчёски. Слишком уж громкое имя. Оказалось, реально совпадение.

Похожая ситуация была, когда нам пришла посылка от мистера Брюса Ли.


Мы решили связаться с отправителем. Он оказался совершенно обычным человеком, даже не родственником знаменитого мастера боевых искусств. Но зато теперь мы можем утверждать, что с нами общался Брюс Ли.

Впрочем, всё это лирика. Когда попадается кардер, противостояние получается эпичным. Но об этом чуть позже.

Крушение надежд: на чём прокалываются кардеры?

На орфографии . Казалось бы, какая мелочь! Однако неумение писать на русском/английском языке очень часто портит карму даже опытным фродерам. Хотя встречаются и феноменальные ляпы, вроде Julie Julie Marie Bartlett. Нет-нет, это не опечатка. Если верить присланному скану, человека действительно так зовут. А на всякие мелочи вроде надписи Expired on вместо Expires on («истёк» вместо «истекает») она на ломанном английском просила не обращать внимания. Привет тебе, Julie! Надеемся, что ты завязала с воровством.


Быстрая реакция продавцов , получивших уведомление о chargeback, тоже позволяет поймать кардера за руку. С нами нередко связываются частники, желающие сообщить про очередного мошенника.

Недоработанность «легенды» . Когда в аккаунте указано одно имя, посылка приходит на другое, а оплата за доставку проходит через третье лицо - это закономерно вызывает подозрения.

Реже поступают письма из интернет-магазинов . Но если такие приходят, то их внимательно изучают. Вся информация проверяется, и зачастую после таких проверок на кардерских форумах поднимается горестный вой. Аж слёзы наворачиваются.

Нервозность - ещё одна отличительная черта всех, кто причастен к фроду. Вероятность быть обнаруженным пугает кардера. Да и деньги за информацию о чужих банковских картах он тоже почти наверняка платил. И в случае любых задержек или непонятных ему ситуаций начинается онлайн-терроризм. Саппорту постоянно задаётся один и тот же вопрос: «где посылка?».

На глупости прокалывается больше половины кардеров. К примеру, к нам в офис приходит письмо из банка/PayPal, в котором сообщается: «Извините, Джон Сноу, мы не можем открыть счёт для вас». В письме указан адрес Локера этого Джона, и мы с удивлением видим, что Локер зарегистрирован на Васисуалия Лоханкина. «Лёд тронулся, господа присяжные заседатели!», - восклицаем мы, и блокируем аккаунт.


Нередко кардеры пытаются использовать упоминавшуюся выше социальную инженерию. Они пишут нашим сотрудникам техподдержки в социальных сетях, задают разные вопросы. Один из них «палит контору» со 100% вероятностью. Этот вопрос в разных вариациях звучит так: «можно ли отправлять посылки на склад не на свое имя, а на имя американского друга?». Три раза ха. Иногда так и хочется ответить: ребят, вы там совсем?

Ещё одна забавная ситуация приключилась, когда один незадачливый парень завёл себе новый «чистый» аккаунт, но зачем-то решил пообщаться с техподдержкой. И всё бы ничего, вот только письмо он написал с того email’а, на который был оформлен заблокированный ранее аккаунт.

Плач Ярославны: как реагируют пойманные кардеры

Когда появляются серьёзные вопросы по той или ной посылке, мы просим человека подтвердить свою личность и факт покупки. Обычные люди видны сразу. Во-первых, у них совершенно другой стиль общения. Во-вторых, присылаемые ими фотографии и описания ситуации - естественные. Они не стесняются звонков, пытаясь решить вопрос.

Кардеры же начинают истерить, ругаясь порой со всеми сотрудниками компании одновременно.

Они грозят нам карами небесными. Причём список этих кар очень короток: прокуратура российская, полиция американская, да ФБР. Особо ушлые идут на форумы, где начинают вещать о мировом заговоре вообще и ущемлении их прав в частности. Владимир Ульянов-Ленин с его знаменитой речью на броневике нервно курит в сторонке, глядя на эти проповеди.

Главная задача кардера в данной ситуации - склонить мнение общественности в свою сторону. Для этого обживаются даже специальные сайты вроде «интернет-полиции», где публикуется информация о мошенниках. Вот только удивительным образом мошенниками там оказываются обычные компании. Мы тоже там есть. А кто бы сомневался?


Иногда ребята форумом не ограничиваются. Они ищут аккаунты сотрудников fishisfast в соцсетях, и пишут туда всякие гадости. Тоже, надо сказать, однотипные. Один очень сильно обидевшийся товарищ даже стал жаловаться на свою горькую долю на нашей странице ВКонтакте. Но его быстро вывели на чистую воду обычные наши клиенты. Мы даже не вмешивались, настолько это было забавно.

Порой кардеры выбирают другой способ общения. Они начинают слезливо просить отправить им посылку. Мол, случайно вышло, в следующий раз со своей карты заказ оплачивать будут, а в этот раз друг помог. Каких-то слезливых историй не придумывают, ух. Жалобного кота из «Шрек 2» помните? Вот, один в один.

Бывают и забавные личности. Признаются, что они действительно кардеры, после чего предлагают «договориться». Например, поделить посылку. Что и говорить, наглости им не занимать.

Был случай, который можно назвать исключением из правил. Один кардер до того на нас обиделся, что сначала завалил угрозами скайп каждого сотрудника саппорта, а потом организовал DDoS. Это было неожиданно, ибо такая атака стоит дорого. Но мы быстро включили защиту, и DDoS заглох. Кстати, этого же кардера, по всей видимости, ловили и некоторые наши коллеги. Потому что их сайты тоже пытались «уронить».

Обмани меня, если сможешь

На этапе запроса документов отсеивается много кардеров. В основном - новички и те, чья посылка с вещами не слишком дорого стоит. Остальные же начинают мухлёж с документами. Кто-то рисует их сам, кто-то заказывает у коллег.


Кто-то шлёт документы посредника-дропа. А кто-то покупает реальные сканы документов. Вариантов хватает.


Подделывают, как правило, обычные сканы паспорта. Это проще всего, и мастера фотошопа хорошо набили руку. Многие подделки выглядят очень натурально.

Наиболее матёрые спецы обещают даже нарисовать нужный документ для тех, у кого просят фотографию лица вместе с паспортом. Также находятся особо одарённые индивидуумы, которые пытаются прислать левые документы (штрафы, например). И возмущаются, когда их не принимают. Но зачастую пакет документов готовится в спешке, тяп-ляп. И это хорошо заметно.

Встречаются и серьёзные мошенники. Были ребята, которые сделали копию нашего сайта, поменяли название и запустили рекламу в США, что нанимают людей на работу «пересыльщиками» почты. Люди устраивались на работу, а впоследствии попадали в серьёзную переделку. Ведь магазины вместе с полицией начинали искать, куда уехали товары, оплаченные ворованными картами.

Впрочем, эти же ребята оказались чересчур самонадеянными. Они не убрали наш номер телефона из FAQ. И один из потенциальных сотрудников решил по нему позвонить. Так мы быстро узнали про всю эту схему. И строго погрозили им пальцем. Ребята исчезли.

Про магазины

Поскольку мы останавливаем посылки, купленные на ворованные деньги, то совершенно очевидно, что за возврат отвечаем тоже мы. Казалось бы, магазины должны быть благодарны нам, ведь мы возвращаем им товар, который не будет оплачен (chargeback вернёт деньги владельцу карты). Однако на деле ситуация совершенно иная. Сотрудник fishisfast , работающий с возвратами, тратит на это очень много времени и сил.

Дело в том, что далеко не всегда сотрудники магазина вообще понимают, о чём идёт речь. Слова типа «фрод» или «скарженный товар» для них звучат неприятно и страшно. И нам приходится убеждать(!) магазин получить товар назад. Хотя это в их интересах, чтобы товар вернулся обратно, ведь в противном случае они останутся без товара и без денег, которые вернутся на карту пострадавшего человека. А нам, в свою очередь, придётся выделять место на складе под товар, ожидающий возврата.

Как правило, проще всего объясниться с небольшими магазинами. Они быстрее вникают в ситуацию и даже могут прислать благодарственное письмо, когда получат товар обратно. С крупными маркетами сложнее. Их система слабо приспособлена к возвратам, поэтому процесс этот небыстрый. Он затягивается ещё сильнее по той причине, что для возврата заказа магазин должен прислать нам предоплаченный почтовый ярлык.

Показательна ситуация с одним элитным канадским магазином ювелирных украшений. Один из кардеров заказал там прекрасный золотой браслет с камнем за $237. Вот такой:


Заказ был доставлен к нам, но на складе выяснилось, что покупка совершалась по чужой карте. Мы заблокировали аккаунт и незамедлительно связались с магазином. А вместо почтового ярлыка на обратную доставку они прислали запрос на подтверждение сохранности украшения. Уточняли даже, все ли камни на месте, в каком они состоянии. Не вопрос - наши сотрудники подготовили все необходимые документы и отправили в магазин. А в ответ - тишина. Теперь этот браслет лежит на складе в ожидании возврата.


А вот этот замечательный квадрокоптер Phantom 2 Vision+ мы уже вернули.


Знаете, сколько он стоит? Почти $1400! В магазине нашего сотрудника искренне благодарили.


Кстати, у опытных кардеров средний «чек» составляет как раз 1200-1400 долларов.

Но не стоит думать, что интернет-магазины никак не борются с фродом. О, ещё как борются! Специально для этих целей они внедряют систему CCFDs (Credit Card Fraud Detection service). Используя особые алгоритмы, система определяет вероятность фрода (Fraud Score). И если заказ набирает Fraud Score выше определённой величины, магазин получает рекомендацию обратить внимание на конкретный заказ. Его замораживают, а покупателю предлагают Telephone Verification (общение по телефону) или другой вариант подтверждения личности. Кстати, аналогичная антифрод-система есть и у банков, это Fair Issac или FICO.

Fraud Score высчитывается на основе нескольких факторов. Мы приведём основные:

1. IP диапазон. Проверяется географическое местоположение покупателя, соответствие IP держателя карты/интернет-магазина IP покупателя.
2. Email. Подозрения вызывают бесплатные почтовые адреса, а также находящиеся в чёрном списке или не соответствующие стране держателя карты.
3. Proxy. Бесплатные прокси часто дают IP из чёрного списка. Это обязательно учитывается.
4. Опасность страны. Есть страны с высоким уровнем фрода. Например, Россия, Украина, Молдова, Беларусь, Филиппины, Гонконг, Египет, Индонезия, Ливан, Македония. Но у каждого банка и магазина есть свой список таких стран.
5. Дальность. Высчитывается расстояние между IP покупателя и адресом доставки.
6. BIN банка. Идёт проверка по номеру карты на соответствие IP покупателя и страны банка, выпустившего карту.
7. Http-заголовки. Некоторые браузеры предоставляют открытую информацию о локализации покупателя, используемой операционной системе и пр. Эти данные тоже анализируются.

Вот хороший пример формулы расчёта Fraud Score. У покупателя найден используемый ранее электронный ящик (2.5% риска), большая удалённость IP (4.3%), не закрытые заголовки (5.5%).

Соответственно, FS = 2.5 x 4.3 x 5.5 = 59.12%. Критический порог покупки обычно не превышает 40%, так что данный платёж, скорее всего, будет отклонён.

Антифрод в MySQL одного из магазинов выглядит так:

Код: table=algzone_fraud_queries order_id ip_address last_date_queried fraud_level err_message distance_m distance_k country_code is_country_match is_free_email is_customer_phone_inloc proxy_level spam_level is_high_risk_country is_anonymous_proxy ip_city ip_region ip_isp ip_org ip_latitude ip_longitude bin_country_code is_bin_match is_bank_name_match bank_name is_bank_phone_match bank_phone

На страже закона

А что же бравые американские полицейские, способные в одиночку спасти мир от зомби-апокалипсиса? Неужели они не борются с фродом?

Борются. Конечно, они не сидят сложа руки. Этими вопросами занимаются аж три разных организации. Собственно полиция, ФБР и Секретная служба США (USSS). Получив запрос от пострадавшего владельца карты, они связываются с магазином, в котором была совершена покупка. Магазин сообщает адрес, куда был отправлен заказ. Если это адрес пересылочной компании, то органы отправляются туда «поговорить».

Прийти может как один простой полицейский, так и целая группа серьёзных людей в строгих костюмах. Они знакомятся с принципом работы компании и просят предоставить информацию о клиенте, подозреваемого во фроде. А дальше идёт уже работа по розыску человека и определение целесообразности его международного поиска.

Нам часто звонят из местного отделения полиции, так как пострадавшие стараются обращаться с жалобами именно туда. Сообщаются данные кардера, сумма покупки и другие нюансы. Иногда звоним уже мы, так как каждый выявленный случай фрода фиксируется и юридически оформляется, после чего отправляется на стол нашему куратору.

Вместо послесловия

Быть майл-форвардером непросто. Кардеры нас не любят, всячески пытаясь обмануть или напакостить. На нас обижаются магазины, которым мы возвращаем товар. Наших девочек из саппорта порой пытаются обидеть и оскорбить. Хотя чаще всего достаётся единственному парню из поддержки, Аяну.

Впрочем, они справляются с этим. Поэтому мы по-прежнему остаёмся серьёзным препятствием для любителей лёгкой поживы, одновременно с этим обеспечивая выгодный сервис для нормальных покупателей. Ведь их намного больше. И с ними у нас всегда хорошие отношения.

По данным как официальных органов, так и хакеров, в Российской Федерации кардерства практически не осталось (это радует). Но вот в развитых западных странах, особенно где много курортных и развлекательных мест, оно процветает и судя по всему, будет процветать еще долго.

Итак, разъясним суть этого противоправного деяния – кардерства и дадим основные понятия в данной терминологии.

Кардинг (от английского слова carding) – это один из видов мошенничества, при котором мошенником осуществляются некие действия с пластиковой картой другого человека без разрешения с его стороны.

Реквизиты банковских карт мошенники чаще всего берут из различной информации, добытой хакерскими способами – взлом интернет-магазинов, платежных систем и попросту взлом персональных компьютеров и похищение конфиденциальной информации. Также для получение нужной информации широко применяется фишинг – способ мошенничества, при котором пользователя различными способами заставляют авторизоваться (то есть передать третьим лицам личную информацию) на поддельных сайтах.

Одним из видов кардинга является скимминг. Скиммер – устройство, которое позволяет перехватить информацию с магнитной ленты на пластиковой карте. Это одно из официальных определений. Данные устройства появились примерно в 2002 году в Великобритании (вполне возможно и даже вполне вероятно, что и раньше, просто о них до 2002 года не поступало никакой информации).

Скиммер состоит из двух частей. Одна из них – поддельный приемник банковских карт, который крепится на банкомате. Он служит для непосредственного считывания данных с пластиковых карт (точнее, с ее магнитной полосы). Состоит данный приемник из считывателя, микросхемы преобразования информации, контроллера и накопителя информации. Если пользоваться постоянно одним и тем же банкоматом, то обнаружить поддельную панель довольно легко. Но если вы в первый раз подошли к банкомату, это уже сложнее. Внимательно сравните картинку-фотографию банкомата, которая появляется при вводе карты в картоприемник, с тем банкоматом, перед которым вы находитесь. Если есть отличия,водержитесь от проведения операций.

Другая часть скиммера – это фальшивая клавиатура.

С ее помощью осуществляется мошеннический съем информации о РIN-коде пластиковой карты. Внутри те же микросхемы, которые описаны выше, плюс к этому настроенный на постоянную отправку СМС-ок сотовый телефон. Если быть внимательным, поддельная клавиатура легко обнаружима, так как она немного выделяется на плоскости банкомата. СМС с кодами отсылается мошеннику после нажатия клавиши ВВОД или после ввода четвертой цифры PIN-кода.

После того, как кардеры получают информацию о пластиковой карте, они с помощью специальных устройств записывают информацию на новую пластиковую карту (как правило, она не имеет никаких внешних логотипов и внешнего оформления) – она называется «белый пластик», и получают с помощью данной карты деньги в любом банкомате. Но иногда делаются и полноценно оформленные практически неотличимые от настоящих банковские карты, с помощью которых возможно рассчитаться в магазине.

Какие же страны избирают кардеры полем своей деятельности? В первую очередь – страна должна быть высокоразвитой и широко внедряющей передовые компьютерные технологии. Во-вторую, иметь демократическую структуру общества и бороться за права человека и гражданина (это на случай, если кардер попадется местным правоохранительным органам). И в-третьих, страна не должна быть страной третьего мира.

Ответим на этот вопрос. Банки в последнее время часто идут навстречу своим клиентам и совершенствуют оборудование банкоматов. Стало популярным делать банкоматы с встроенной защитой от скиммеров. При использовании данной технологии пластиковая карта вначале принимается, потом частично выталкивается наружу, а уж затем принимается банкоматом полностью. Эта последовательность сбивает считывающие устройства скиммеров и делает непригодными считанные данные.

Как уже было сказано выше, внимательно осмотрите банкомат снаружи. При любых подозрениях на его счет откажитесь от его использования.

И последнее – среди кардеров принято считать, да так оно и есть на самом деле, что самое неблагоприятное время для установки скиммеров – время с 9-00 до 11-00 – именно в этот промежуток банкоматы проверяют полиция и банковские служащие.

На этом мы пожалуй закончим статью о кардинге и дадим напоследок еще один совет: будьте бдительны, и вы не попадетесь на удочку мошенникам.

Кардинг

Мошенничество с платежными картами, кардинг (от англ. carding ) - вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов , платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны », «боты» с функцией формграббера). Кроме того, наиболее распространённым методом похищения номеров платежных карт на сегодня является фишинг (англ. phishing , искаженное «fishing» - «рыбалка») - создание мошенниками сайта, который будет пользоваться доверием у пользователя, например - сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт .

Одним из самых масштабных преступлений в области мошенничества с платежными картами считается взлом глобального процессинга кредитных карт Worldpay и кража с помощью его данных более 9 миллионов долларов США. В ноябре 2009 года по этому делу были предъявлены обвинения преступной группе, состоящей из граждан СНГ .

Скимминг

Частным случаем кардинга является скимминг (от англ. skim - снимать сливки), при котором используется скиммер - инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты . При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:

  • инструмент для считывания магнитной дорожки платёжной карты - представляет собой устройство, устанавливаемое в картоприёмник, и картридер на входной двери с зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем - преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга - считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты.
  • миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов - используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).

Данные устройства питаются от автономных источников энергии - миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.

Скиммеры могут накапливать украденную информацию о пластиковых картах, либо дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты, мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом. Также мошенники могут использовать полученную информацию о банковской карте для совершения покупок в торговых точках.

Меры защиты

Для предотвращения незаконных списаний по банковской карте рекомендуется применять следующие меры безопасности:

  • не передавать свою карту в чужие руки, следить за тем, чтобы карта использовалась лишь по назначению (дабы невозможно было применить портативное скимминговое устройство, спрятанное под одеждой, например, официанта, либо сотрудника автозаправочных станций, продавца магазина и т. д.).
  • проявлять бдительность и внимательность при пользовании банкоматом, обращать внимание на нестандартные элементы конструкции - накладную клавиатуру, используемую для считывания PINа. В случае скимминга такая клавиатура располагается, как правило, выше уровня корпуса банкомата, легко от неё отделяется и, зачастую, под накладной виднеется часть оригинальной.
  • обращать на установленные микро-видеокамеры на самом банкомате, которые могут быть смонтированы как в козырьке банкомата, так и замаскированы под сопутствующие банкомату предметы, например, рекламные материалы.
  • минимизировать случаи использования банковской карты в местах, вызывающих подозрение; по возможности использовать банковскую карту в хорошо просматриваемых помещениях.
  • снятие наличных средств и другие банковские операции, осуществляемые при помощи банкоматов, по возможности производить в одном и том же банкомате, запомнив его внешний вид. Как правило - стандартные технические модификации банкоматов одного банка редко отражаются на их внешнем виде.
  • по возможности, набирать ПИН быстро, заученными движениями и, желательно, используя несколько пальцев руки сразу - так злоумышленникам будет сложнее распознать ваши движения. По возможности, прикрывать набирающую ПИН руку другой рукой, сумочкой или каким-либо иным предметом.
  • если банк-эмитент банковской карты имеет в своём сервисе услугу быстрого оповещения владельца карты о фактах списания (смс-оповещения), подключить её для наиболее быстрого реагирования на незаконные списания
  • использовать банковские карты с встроенным микрочипом, если это возможно.

Шимминг

Шимминг представляет собой разновидность скимминга. В этом случае в картридер банкомата помещается электронное устройство (шиммер ), позволяющее получить информацию о банковской карте. Толщина шиммера - порядка 0,2 мм. Внешнее определение использования шиммера крайне затруднено. Защитой от шиммера является только то, что шиммер не перехватывает PIN-код.

Примечания

См. также

Ссылки


Приветствую всех, вот решил написать очередную статью о кардерах всецело, и о том, что делать, если тебя «обули».

Сначала поговорим о кардерах в целом, что такое кардинг, и кардинг с точки зрения закона. Каждый хранитель карты (кардхолдер) должен знать, что свою карту он должен беречь как зеницу ока держав в тайне пин-код и другие данные. Но зачастую этих самых простых мер бывает не достаточно. Я не буду углубляться в банковскую терминологию и расскажу от лица кардера, так сказать общедоступным языком. Ведь зачастую простая операция снятия наличных с банкомата может закончиться плачевно для вашего кармана. Цель статьи заранее узнать, чем же вы все-таки рискуете, и быть готовым к конкретным действиям. Сначала я вам расскажу о наиболее распространенных способах завладение и проведения с чужими картами. Эти способы по своей хронологии бывают как примитивные и зачастую смешные, так и продуманные с использованием специальных технических средств.
Наиболее распространенный способ это добыча реквизитов карточки с целью дальнейшего их использования для покупок в интернет-магазинах. Копию карты при этом делать необязательно, а тратить чужие деньги очень приятно, не так ли?

Следующий способ это копирование кредиток с помощью специальных программно аппаратных средств находясь в сговоре с работниками магазина. В России данный способ менее всего распространен, так как много нюансов это: проверяют документы на подлинность держателя карты, сверяют подписи, звонят в банк, выдавший карту (банк эмитент)
Также способ очень редкий это сговор со служащими банка, люди, работающие в банках могут представить (продать) необходимую инфу кардерам. И от этого, увы, не кто не застрахован.
К вопросу так называемой смекалки, некоторые «мошенники» устанавливают на банкоматы веб камеры.

Также бывают курьезные случаи. Например, на моей памяти ходили слухи, что «мошенники» устанавливали в местах с многочисленным скоплением народа свои - портативные банкоматы. Да, да вы не ослышались, это не опечатка, но все же встречаются и такие изащеренные способы. Хочу заметить, что этот способ очень дорогостоящий, но верный на все сто процентов. Банкомат естественно не работает, он просто считывает нужную информацию с карты, а потом в один прекрасный день его убирают.

B России, масштабы деятельности кардеров (людей, занимающихся аферами с пластиковыми картами) невелики. Может из-за того, что большинство русских кардеров не работают в той стране, где живут. Это своего рода моральный принцип, и с другой стороны залог безопасности - не быть схваченным нашими доблестными органами.
Пока я абстрактно объяснил наиболее распространенные способы мошенничества, не углубляясь в терминологию, благо статья пишется не только для людей в этом заинтересованных (новичков кардеров), но и для простых «смертных». Хотелось бы немного поговорить о кардерах в целом. Вы, наверное, задумываетесь вопросом «а кто же такие кардеры?», «зачем они это делают?», «есть ли у них какие либо принципы?», эти и другие вопросы я попробую вам объяснить.
Кардер это в первую очередь человек, хорошо владеющий компьютером, ну так сказать выше среднего. Что же толкает людей на столь специфический вид заработка, я даже не знаю. Наверное, это дело каждого, как и чем зарабатывать себе на жизнь. Хочу отметить, что кадеры делятся на так называемые негласные категории. Начинаю по иерархической лестницы вниз.

На первом месте так называемые «гуру», может быть это слово звучит слишком вызывающи, но после написанного ниже вы сделаете выводы. Это известные, уважаемые и честные людям, которым все пытаются подражать. С чьим мнением принято считаться и чьи слова воспринимаются почти как аксиома. Это очень опытные люди зачастую с высшим образованием (и не одним), хотя бывают так называемые «самоучки». Зачастую им не приходится утруждать себя работой, за них это делают, те люди, которых наняли (в основном начинающие кардеры) и приносят им не плохой доход. Эти люди с обширными знаниями, даже в своем роде профи своего дела, владеющие передовыми средствами защиты, и самыми изоащеренными методами криптографии. Такие люди профи во всем, это касается и банковских структур. Также есть и опытные программисты, которым доход приносят их «творения». Поверьте, а доход таких людей составляет баснословные цифры. Это те люди заслужившие признания общества, как своеобразная элита кардинга.

Далее идут опытные люди, то есть те люди, которые прилично зарабатывают на своем ремесле, и также освоившие все «прелести» кардинга в совершенстве. На таких людей тоже работают новички. Как и в первом случае, это люди с безупречной репутацией в обществе. Да, да я опять не оговорился, кардинг подрозумивает под собой общество (общину) с морально этическими устоями, и правилами.
Далее идут люди, для которых кардинг это своего рода хобби, в основном это опытные люди, имеющие работу, а то и не одну. Таких людей очень и очень много.

Ну, наконец-то дошли до самой наболевшей теме это - НОВИЧКИ. Я думаю не стоит объяснять кто они такие. Это люди так сказать «интересующиеся» и колеблющиеся между законом и деньгами. Большинство из них обдумают, в какой сфере кардинга они будут работать. И как полагается в цивилизованном обществе младшим помогают старшие. Могу сказать, что новички чаще всего попадаются нашим силовым структурам. Возможно из за своей наивности и не осторожности, желанием сделать быстро деньги затратив на этом минимум времени и средств принибригая какими либо средствами осторожности. Хочу отметить, что возрастной ценз таких людей составляет от 15 до 18 лет, и редко переваливает за 20, в основном «школьники». Зачастую эти люди без элиминтарного представления закона, и без малейшего представления правовой базы страны.

Ну и, наконец, как и в любом обществе, есть своеобразный негатив - это «кидалы». То есть люди с минимум знаний, и просто решив сделать легкие деньги самым изаащеренным способом - это обман своих же товарищей по «цеху». Но действие таких людей пресекается, и делается все возможное, чтобы это не повторилось.
Вот я рассказал немного об иерархичной лестнице кардер общины, причем, отметив наиболее значимые нюансы, да есть и ещё другие люди, которые входят в так называемую «семью». Это хакеры, программисты, юристы, дизайнеры, но это мы рассмотрим в других статьях.
Толкает таких людей заниматься этим, как я упомянул раньше разные причины. В основном это материальные проблемы. Ведь согласитесь, все хотят красивой жизни, ездить на красивых авто, жить в красивых условиях. Почему же в России это так распространенно? Я думаю, на этот вопрос окажется много мнений. Может из-за специфики русского народа, ведь согласитесь, все говорят демократия, демократия, а у нас ведь самый что не наесть капитализм. И глядя на людей богатых и успешных чуточку охота жить как они. Почему они могут жить так, а мы не можем? Ведь получается и там мошенничество, и тут, только некоторые из них не гнушаются моралью и принципами. Может это спицыфическое недопонимание и недолюбливание чужего, на фоне распада СССР, и того, что делали с Россией в последующие годы. В основном целью Русских кардеров становится Америка, но в последнее время от нас страдает и европпа. Почему? А потому-то каждый решает сам для себя, и руководствуется своими принципами. У кардеров есть свой негласны кодекс чести, который каждый понимает по своему. Вы наверно думаете, что это люди лишенные каких либо понятий о справедливости, а вот и нет. Мы часто помогаем детям сиротам, инвалидам и просто тем людям, которые в этом нуждаются. Пусть не всем людям, но для кого-то это помощь оказывается ощутимой. Таких примеров много, но я не буду углубляться в детали, но зачастую эта помощь может кому-то скрасить жизнь, а иногда дает шанс, чтобы жить. В этом увольте, но мы не гнушаемся деньгами ради помощи нуждающимся. Пусть в основном все проходит негласно, но нам и не нужна огласка, в виду спецификации нашего ремесла. И справится с нами не так то просто, в нашем законодательстве много дыр и нюансов, которыми мы зачастую и воспользуемся. А силовые структуры просаживают свои штаны в кабинетах и кусают ногти по причине своей неспособности повлиять на нас. Пока есть интернет, и информационные технологии будем и мы, и хакеры и остальные подобные люди. Пока идет прогресс, прогрессируем и мы! Спрос, как известно, всегда рождает предложение. А мелкий гений и злодейство - вещи очень даже совместные.
Теперь поговорим о цели нашей статьи, это как обезопасить себя.
Как сделать, чтобы мои данные не своровали кардеры... Самые простые правила.

Если для фальшивомонетчика самое главное - подделать рисунок на купюре, то для кардера - скопировать информацию, содержащуюся на магнитной полосе кредитной карточки. Причем эта процедура не требует никакой особой квалификации - достаточно уметь пользоваться обычным компьютером, и иметь определенные програмно-аппаратные средства, чтобы нанести на полосу набор кодов, по которым любой банкомат в любой точке мира прочитает, что за клиент перед ним, в каком банке у него счет и сколько денег на нем находится. Этот пакет сведений еще называют дампом.

Дампы хранятся в банках или компаниях, обеспечивающих работу международных платежных систем, и отгорожены от постороннего глаза десятками защитных программ с паролями, известными очень узкому кругу лиц. Кардеру надо каким-то образом проникнуть в базу данных банка. Поэтому несложно догадаться, что без сообщника по ту сторону «окошка» ему не обойтись.
Если вы стали жертвой кардеров - не отчаивайтесь. Несмотря на кажущуюся безвыходность положения, у вас есть неплохой шанс вернуть свои деньги. Первое, что надо сделать, если вы обнаружили пропажу своей пластиковой карты, - это позвонить в банк и заблокировать её.
Зачастую в договоре о выпуске карты российские банки говорится, что после заявления о пропаже/утере карты все финансовые затраты несет банк. Так что следует поторопиться, и как можно быстрее сообщить в банк о пропаже. Если карту у вас украли, то чем меньше времени вы дадите преступнику, тем больше денег на счёте у вас останется. Может быть и такой случай, что вы как добросовестный держатель карты держите её при себе, не совершав ни каких операции, и вдруг в день, когда должна приходить счет-выписка, вы с удивлением замечаете, что средств на вашей карте «поубавилось». В этом случае надо немедленно позвонить в банк, и сообщить о подозрительных операциях. В свою очередь надо будет заблокировать карту, по одной простой причине, что мошенником стали известны реквизиты вашей карты, и есть большая опасность повторных транзакций.

Далее вы едите в банк, и пишите заявление о несогласии с транзакцией. В заявлении, кроме стандартных данных (фамилии, имени, отчества, контактной информации, типа вашей платежной карты, ее номера и даты окончания срока действия), вы должны будете указать валюту и сумму оспариваемой операции, дату ее совершения и номер в платежной системе, а также название или код магазина или терминала, где она проводилась. Все это можно будет найти в выписке по счету, которую надо взять с собой. После того как вы подпишите заявление, банк примет его на рассмотрение. В первую очередь банк постарается установить, кто ответственен за мошенническую транзакцию. Вариантов два: банк-эмитент, выпустивший для клиента карту, и банк-эквайер, обслуживающий торговую точку, где проводилась операция. На банк-эквайер ответственность за мошенническую операцию ложится, если в "его" магазине расплатились украденной у вас картой и при этом подпись на чеке явно не похожа на вашу. В этом случае банк обязательно вернет украденную сумму, а далее будет разбираться с магазином или рестораном, чей сотрудник обслуживал мошенников. Кроме того, на банк-эквайер возлагается ответственность за операции, проводившиеся в интернете. Гораздо меньше шансов вернуть деньги, если ответственной стороной будет признан банк-эмитент. Такое бывает, например, когда на чеке стоит подпись, хотя бы отдаленно напоминающая вашу.

Как правило, в таких ситуациях ответственность несет банк-эмитент. А он, согласно договору о выпуске карты, имеет полное право отказать клиенту в претензиях по всем операциям, совершенным до блокировки карты. Зачастую банки не хотят терять клиентов, и выносить ссор из избы демонстрировав свою оплошность. Деньги вернут только в том случае, если у банка не будет ни малейшего сомнения в вашей честности. А эти сомнения могут появиться, если, к примеру, ранее вы уже обращались в банк с заявлением о мошеннической операции. Но зато шансы на компенсацию украденного повышаются, если деньги были сняты в банкомате другой страны, а вы при этом никуда не уезжали. В этом случае к заявлению о претензии необходимо приложить все документы, которые могут подтвердить, что эту операцию вы не совершали: подписанные вами чеки об операциях по карте (они будут подтверждать, что карта находилась при вас), медицинские справки, справку с места работы и т. п.. Но если в рассмотрение вашего заявления вам отказали, то не отчаивайтесь, а просто обратитесь в суд. Согласно "Положению о порядке эмиссии кредитными организациями банковских карт и осуществления расчетов по операциям, совершаемым с их использованием, на любом документе, подтверждающем операцию по карте, должна находиться роспись клиента. И банк не имеет права списывать со счета владельца карты деньги, если этого документа нет или же он был подделан. В этом случае суд, скорее всего, примет сторону клиента, не принимая во внимание никакие пункты договора.
Если же оспариваемая операция проводилась, скажем, в банкомате или через Интернет (сейчас многие банки предлагают владельцам карт управлять своим счетом с помощью интернета), то подписью послужит пин-код или специальный цифровой пароль - аналог собственноручной подписи. Оспорить в суде транзакции, подписанные, нелегко, но возможно. Ведь "Согласно ст. 7 закона "О защите прав потребителей", потребитель имеет право на предоставление ему безопасных услуг. Именно на эту статью ссылался клиент, которому наш банк отказал в компенсации украденных денег. В данном случае клиенту такая услуга не была предоставлена, поскольку мошенники сумели подделать карту. И суд обязал банк вернуть украденные деньги". Так что в этих случае от действий кардеров страдают в основном банки.
В России наблюдается увеличение числа электронных атак на информационные ресурсы банковских структур. Теперь мы попробуем выяснить, как понять, что кардеры завладели вашими данными. Этот вопрос на сегодняшний день очень актуален, ведь все больше и больше людей пользуются банковскими картами. Зачастую узнать это можно лишь одним способом, это расплатиться картой в магазине или попытаться снять наличные с банкомата, но к вашему удивлению окажется, что ваши денежки «испарились». Как я писал ранее в первую очередь необходимо обращятся не в милицию с заявлением о краже или утрате карты, а в ваш банк, чтобы у преступников не было возможности снять все деньги с вашей карты. По словам банковских работников, копирование - самое распространенное и болезненное для банков явление. Существует несколько стран, которые являются наиболее опасными это: Австралия, Болгария, Венесуэла, Гонконг, Индонезия, Малайзия, Мексика, Сингапур, Таиланд, Тайвань, Турция, Украина и ЮАР. Но для российских держателей наиболее актуальными являются излюбленные места отдыха - Таиланд и Турция. Как ни странно, зоной особого риска для россиян в этом плане стала и близкая нам Украина. Причем помимо копирования магнитной полосы, мошенники узнают PIN-код держателя карты, это происходит, когда держатель использует свою карту в банкомате. По неофициальной информации, в этом оказались замешаны сотрудники украинских банков и процессинговых центров. Прошлым летом, кстати, некоторые российские банки совсем закрывали Украину для своих держателей, операции оттуда просто не разрешались. Но, по мнению правоохранительных органов, киберпреступлений в банковском секторе совершается намного больше, чем фиксируется. В первую очередь это происходит из-за нежелания банков и платежных систем сообщать об удавшихся нападениях на счета клиентов. Тем самым, отпугивая своих клиентов. Как же обезопасить себя? Хм… вопрос смешной для меня как для кардера, ведь пока есть интернет, и высокие технологии мы идем в ногу со временем придумывая все новые изаащеренные методы кражи данных с карт. Ну ладно расскажу наиболее важные аспекты, как обезопасить себя от «кибер воров». Российские банки, в свою очередь, предлагают держателям самим позаботиться о невозможности снятия денег с их счетов, беря на себя половину затрат, связанных с использованием SMS-сообщений. В большинстве банков владелец карты может подключиться к системе информирования об операциях по карточке при помощи коротких сообщений, которые будут приходить на его мобильный телефон. Это позволяет не только сразу же узнать о несанкционированной операции по карте, но и тут же ее самостоятельно заблокировать. Кроме того, появляется возможность управлять лимитами по карте. То есть вы можете сделать суточным лимитом на снятие к примерно 10 тыс. руб. в то время если вдруг кардеры все же добираться и до вас, и попытаются снять к примеру 100 тыс. руб., то такая операция не пройдет. Эта услуга выгоднее, чем блокировка карты, блокируют счет вам бесплатно, но за разблокирование карты придется заплатит.

Есть еще некоторые возможности себя обезопасить. Для того чтобы не подозревать, скажем, официанта в ресторане в потенциальном мошенничестве, не отдавайте ему карту в руки. Потребуйте, чтобы считывающее устройство принесли на ваш столик, и чтобы снятие денег с вашего счета происходило при вас. То же самое должно происходить в различных магазинах и прочих организациях, где вы решили использовать для оплаты услуг кредитную карточку. Более того, даже когда вы сами намерены снять деньги со своего счета в банкомате, максимально загородите клавиатуру при наборе пин-кода. Ну, и, конечно, не помешает прикрыть заветные цифры накрыв клавиатурный ряд рукой.
Итак - если вы все-таки хотите пользоваться кредиткой в Интернете, то:
1. Открывайте карточку в крупном банке, имеющем свой процессинговый центр, и позволяющем оперативно контролировать остаток на счете
2. Не храните все ваши деньги на этой кредитке (не пользуйтесь зарплатой кредиткой!!!), вы рискуете потерять все, что имеете.
3. По возможности контролируйте остаток по счету. В случае электронной авторизации сумма остатка уменьшается в реальном времени, в случае оффлайновой - должна быть списана в течении примерно двух недель с момента совершения операции.
4. Если вы чувствуете, что с вашей картой происходит что-то неладное, сразу же возьмите банковскую выписку - где должны быть указаны реквизиты торговой точки, позволяющие ее идентифицировать (хотя бы примерно). Если вы не можете опознать "свои" транзакции, а) попросите ваш банк их оспорить и б) поставьте карточку в стоп лист (затраты, которые вы при этом понесете, несравненно меньше того, что вы можете потерять). Впрочем, решайте сами - вполне может быть, что вы просто не помните, где вы были две недели назад. Кстати, обычно "атаки" на счет в виде потока транзакций на небольшую сумму продолжаются несколько дней и наносят ущерб владельцу от нескольких сотен, до нескольких тысяч долларов.
5. Избегайте сомнительных сайтов. Часто сайт - это ловушка для номеров карточек.

Вот, пожалуй основные аспекты, которые надо соблюдать владельцам карт, которые все-таки решились проводить какие либо операции с картами в интернете.

Но какими бы ни были способы проверки, если некто обладает (зачастую незаконным путем) полной информацией о кредитной карте, то все эти мудреные защиты обходятся быстро и без лишнего шума. Я говорю так, потому что по роду деятельности приходилось сталкиваться с этим.
По неофициальным данным, ущерб, который могут нанести своими действиями кардеры в случае удачного для них стечения обстоятельств, может достигать годового дохода солидного коммерческого банка. И хотя в России полноценный рынок пластиковых карт пока еще не сложился, это только - дело времени, и потому недооценивать опасность от преступлений и злоупотреблений в системе безналичных расчетов, по меньшей мере, было бы легкомысленно.
На этом я, пожалуй закончу свой краткий ликбез, в данной статьи рассмотрены основные виды мошенничества с банковскими картами, и действия которые должны делать держатели карт, чтобы их не обули. Да будит правильно воспринято статья моими «товарищами по цеху», ведь как говорил Остап Бендер, существуют сотни способов относительно «честного» отъема денег у населения. Более подробно о кардерах и всех видах мошенничества с пластиковыми картами можно почитать на пока ещё открытом и доступным для всех кардинг-форуме

Вы наверняка встречали в интернете кучу объявлений о продаже новых вещей или техники из США, Европы и так далее. Но вряд ли догадывались, что весомая их часть публикуется кардерами .

Рассказываем, что это за тёмный бизнес, и как кардеры работают.

Предупреждение: статья носит исключительно информационный характер. Кража и мошенничество преследуются законом.

Что такое кардинг?

По большому счёту, кардинг – это кража денег с карты на свою карту , счет, аккаунт в платёжной системе, а также покупка товаров с использованием чужой кредитной карты. Чаще всего кардеры используют снятие наличных, покупку брендовой одежды или электроники.

Раньше многие кардеры работали с американским eBay через PayPal, к которому была привязана чужая карта. Теперь eBay в США и PayPal ужесточили правила, но кардеры никуда не делись – перешли на работу с другими странами, к примеру, Германией, Францией, Италией и т.д.

У кардеров есть свои гуру, каналы в Telegram и обучающие курсы, где учат правильно проворачивать чёрные схемы. И это также приносит доход, порой больший, чем непосредственно от кардинга. В общем, индустрия в тренде.

Как работают кардеры?

Прежде всего, им нужен номер карты и данные для аутентификации (пароль от банковского аккаунта, VDV для карт с 3D Secure, CVV2/CVC2 и т.п.). Часто кардеры покупают базу данных и проверяют актуальность информации в ней или же подбирают пароли с помощью брутфорса или других методов.

В даркнете купить данные карты можно за 300-500 рублей . Кроме того, кардеры оплачивают VPN с возможностью выбора сервера (желательно с точностью до штата или хотя бы до страны) и другие средства анонимизации.

Другой вариант – организация фишинговой кампании . Копируется страница банка с формой для входа в аккаунт или создаётся фальшивое приложение, с помощью спама распространяется ссылка на него.

Пользователь, обеспокоенный тем, что его карту могут заблокировать; банк просит подтвердить операцию; поступил перевод неизвестно от кого – идёт на фальшивый сайт или запускает поддельное приложение. Кардер забирает введённые данные и переводит все деньги себе. Или ждёт больших поступлений, чтобы выгрести по максимуму.

Судя по обсуждениям в даркнете, кардер на старте тратит 5-10 тыс. рублей . Это оплата VPN, туннелей ipsocks, взломанных аккаунтов и доступов к компьютерам, услуг «прозвонщиков», которые общаются с продавцами или службой поддержки банка на нужном языке, сканов документов для посредников. А также «набивание шишек» – далеко не с первой карты всё идёт гладко.

Что такое вбив?

Это процесс ввода данных карты в форму на сайте магазина или платёжной системы. Чтобы не рисковать, кардеры используют для вбива взломанные компьютеры рядовых пользователей. Затем их чистят от логов или избавляются от железа.

Другой вариант – работа с эмулятора Android-смартфона или виртуальной машины. После вбива достаточно удалить программное обеспечение, чтобы замести следы.

Как заказывают товары с чужой карты

Американские и европейские магазины часто не отправляют товар покупателю в Россию, Украину, Казахстан и другие страны бывшего СССР, если он был заказан с привязанного к карте PayPal, который принадлежит гражданину США, Канады или европейских стран. В крупных магазинах и платёжных системах есть системы антифрода, которые блокируют подозрительные транзакции.

Но мошенников это не останавливает.

Они заказывают с карты жертвы подарочную карту (e-gift) , а затем со взломанной почты жертвы получают код этой подарочной карты. Непосредственно заказ осуществляется со своего аккаунта, но по коду подарочной карты.

Кроме того, кардеры создают «самореги» . Покупается взломанный банковский аккаунт, на него регистрируется PayPal, указывается свой номер телефона, адрес и почта. На такой аккаунт часто можно взять кредит, а не только расходовать доступный положительный баланс.

Однако в последнее время этот вариант практически не используют, потому что PayPal в большинстве случаев отклоняет регистрацию и привязку банковского аккаунта.

Ещё один вариант – использовать посредника .

Конечно, теоретически посредник может развернуть посылку обратно, если магазин ему позвонит и укажет, что имеет место кардинг. Но можно нечаянно ошибиться в номере телефона посредника. Это повышает шанс прохода посылки.

Крупные магазины стали бороться с кардерами, но магазины помельче не так активно противостоят мошенникам. Под ударом фактически все магазины, в которых предлагаются подарочные карты или сертификаты. Заказ вещей и техники напрямую с чужого аккаунта с большей вероятностью «завернут».

Кардеры не только заказывают вещи

С карт можно не только заказать физические товары, но и вывести деньги. Есть казино, онлайн-игры и другие варианты виртуальной передачи денег.

Наконец, есть криптовалютные биржи, которые позволяют относительно анонимно купить монеты, затем их продать и вывести деньги на свою карту. Транзакции в криптовалюте невозвратные, так что система не сможет автоматически вернуть деньги держателю карты.

Кассир в супермаркете тоже может быть кардером

Кассиры в супермаркетах и продавцы в магазинах обычно не могут похвастаться высокой зарплатой. Но если они занимаются кардингом, то получают в 5-10 раз больше денег.

Когда вы проводите оплату картой, кассир или продавец может незаметно посмотреть и запомнить данные . Для некоторых сайтов при заказе товаров достаточно номера карты и CVV2, который написан на обороте. Но кардер может пойти дальше и поставить собственный «ридер» для считывания всех данных карты.

Так что если у вас внезапно через несколько часов или дней после посещения магазина с карты вдруг пропадут деньги, на кого вы подумаете? Уж точно не на кассира или продавца…

А что думает полиция?

Обычно полноценное расследование начинается, только если кардер украл значительную сумму средств – более 1000 долларов. Обычно после этого ФРБ направляет запрос полиции. И в запросе содержатся IP-адреса, имена, адреса отправки и другая информация о потенциальном преступнике.

Для этого кардеры используют дропов . Это люди, которые стоят на низшей ступени в цепочке и выполняют самую грязную работу: обналичивают деньги, предоставляют свои данные для получения посылок, отправляют посылки кардерам и т.д.

Кардеры дают дропам минимум информации и практически не контактируют с ними. Так что даже если дропа выследят, у него будет алиби на момент взлома банковского аккаунта или снятия денег с карты. Да и о кардере он ничего не сможет рассказать. В итоге преступление останется нераскрытым.

Почему кардеры избегают наказания

Практика показывает, что если кардер работает через VPN, прокси и другие сервисы, а также соблюдает правила безопасности в интернете, доказать его вину практически нереально. Но ошибаются все…

Однако даже если полиция нагрянет домой к кардеру, сотрудникам ещё придётся доказать факт совершения компьютерного преступления . А если следов нет, то на нет и суда нет.

Ловят чаще всего на переписке в мессенджерах, наличии данных чужих карт и аккаунтов, сборок вредоносного программного обеспечения и т.п. Но если использовать portable-софт, средства анонимизации, самоуничтожающиеся сообщения и криптозащищенные мессенджеры, доказать что-то будет сложно.