Фишка в фишинге

Фишка в фишинге

Хакеры выходят на охоту в ночь перед Рождеством

Вы пришли в магазин за новогодними подарками и желаете расплатиться банковской картой. "Платеж не может быть проведен, на вашем счете недостаточно средств", - злостно бормочет кард-ридер. Торговец глядит с подозрением, его пальцы тянутся к кнопке вызова охраны. После звонка в банк выясняется, что подарки по вашей карте кто-то уже купил, но в Уругвае. И вы еще остались должны. Это не сценарий умопомрачительного кинофильма, а ситуация, с которой сталкиваются тыщи людей. Корреспондент "МК" побывал в логове взломщиков и узнал, как они готовятся к сезону акций распродажи и что необходимо сделать, чтоб от их защититься.

Украсть за 60 секунд

Банковские карты появились в Рф 20 годов назад. Сразу появились и кардеры, другими словами хакеры, специализирующиеся на кражах средств с их. Лет 5 карты были атрибутом богатства, а кардеры - кое-чем дальним, из рубрики «Их нравы». Но глобализация крепнет: приблизительно с 2000 года сотрудники больших русских компаний в добровольно-принудительном порядке получили зарплатные карты. Это нелегально; было выдумано словечко «боссинг», значащее, что шеф навязывает снутри компании какие-то услуги. Создатель этих строк тоже получает заработную плату на карточку. Как все.

На данный момент на выплату заработанного по безналу перебежали не только лишь большие, да и средние, и маленькие компании. В любом банке бизнесменам - обладателям расчетных счетов безотступно предлагают «зарплатный проект», как число служащих организации превзойдет 10 человек. Есть планы перевода выплаты пенсий и пособий только на карточки.

Спору нет: карточки комфортны, их достоинства явны. Организация, платящая заработную плату по карточкам, значительно сберегает на инкассации, отчетности и кассирах. Не в обиде и потребитель: к примеру, бензин по карточкам на многих заправках дешевле, чем за наличный расчет. Не говоря уж о том, что платить можно круглые сутки и в различных местах. Перевод всех платежей на пластик поддержан практически всеми государствами мира. Безналичные платежи просто отследить, они оставляют следы. Финансирование криминала, к примеру, торговля орудием либо наркотиками, идет только через «черный нал», с которым все страны борются. Дошло до того, что в продвинутых странах некие магазины и рестораны закончили принимать наличные средства. Правда, это было сначала нулевых; на данный момент после протестов потребителей потихоньку возобновляют.

Но у триумфального шествия пластмассовых карт по всему миру есть и оборотная сторона: раздолье для взломщиков. Информация о платежах (транзакциях) сохраняется длительно (по закону - 10 лет, в действительности подольше). Соблазн ее добыть и нелегально обогатиться очень велик. Это ж не с ножиком в черном переулке на прохожих кидаться: светлый кабинет, «интеллектуальная работа» на компьютере. А главное - украсть можно больше.

По данным интернациональной Cards Association and Financial Fraud Action, в 2010 году с пластмассовых карт было украдено $7 миллиардов. При всем этом объем средней кражи составил $10 тыс., другими словами было совершено около 70 миллионов (!) нелегальных транзакций. В Рф ситуация также накаляется. В сентябре начальник сектора департамента безопасности Газпромбанка Николай Пятиизбянцев докладывал, что «потери банков от жульнических действий с картами выросли за 1-ое полугодие 2011 года на 70%. В валютном выражении утраты к концу года могут превысить 2,3 миллиардов. руб.».

При всем этом сами банки из категории возможных жуликов, видимо, следует исключить. Макс, начинающий кардер. По виду обычный русский студент, каковым и является. «Кардингом я два года вспять промышлять начал. Поначалу доверчивый был, задумывался: в банк устроюсь и развернусь. Ни фига! Там слежка такая, что хоть какой шаг фиксируется. И шифры просто так не вскрыть. Не буду грузить арифметикой, но они сами себя шифруют и автоматом обновляются. Через год я ушел: в банке кардеру ловить нечего. Зато на данный момент - смотри».

Макс попросил номер моей карты Райффайзенбанка, на которой лежало 80 тыс. руб. Он ввел его в программку на собственном компьютере. Программка работала 20 минут. Потом мне пришла СМС, что с моей карты списано 40 тыс. руб. Через минутку - 2-ая СМС о списании еще 40 тыс. руб. Еще через минутку 3-я - о поступлении назад 79 тыс. 658 руб.: средства кардер возвратил, но комиссия списалась.

Фишинг, скимминг и шимминг

Мошенничество с пластмассовыми картами именуется фишингом, по-английски - «рыбалка». Процесс вправ

44 Responses to “Фишка в фишинге”

  1. Doko 30.11.-0001 at 12:00 дп #

    мда…
    технологии не стоят на месте
    а халявщиков всегда хватает

  2. Doko 30.11.-0001 at 12:00 дп #

    «бензин по карточкам на многих заправках дешевле, чем за наличный расчет» + «$7 миллиардов. При всем этом объем средней кражи составил $10 тыс., другими словами было совершено около 70 миллионов (!) нелегальных транзакций» + IP — заводской номер
    чет после чего доверия к создателю нет вообщем!
    PS «подобрать эти четыре числа не составляет труда» — вот здесь не уверен… но думаю и в банке не дурачины. и при n-ом количестве неправильных попыток заблокируют карту (по аналогии как банкомат после 3 неправильных попыток)! хотя… быстрее взломщик не произнес правду этому горе журналюге как работает прога

  3. Zilonov 30.11.-0001 at 12:00 дп #

    стало не по для себя…

  4. Bizonka 30.11.-0001 at 12:00 дп #

    Ну да… Мне тоже.

  5. Doonka 30.11.-0001 at 12:00 дп #

    Пользовался картами и буду воспользоваться всюду. Комфортно. А то, что дважды уже тискали у меня деньги, выручало смс-оповещение, после этого звонок в банк и блокировка карты. Позже процесс претензии и возврат тиснутой суммы банком. Банки еще никогда не надули. А в отношении карт — волков страшиться — в лес не ходить.

  6. Duhvski 30.11.-0001 at 12:00 дп #

    IP-адрес — заводской номер компьютера?! А далее верно.

  7. Rakiev 30.11.-0001 at 12:00 дп #

    Улыбнуло!!! Только нал…

  8. Dourdeva 30.11.-0001 at 12:00 дп #

    С кредитки тоже снимаете средства? Да? под какой процент наличат?

  9. Duhiko 30.11.-0001 at 12:00 дп #

    «Айпишник — заводской номер компьютера. Употребляется для его идентификации в Вебе.»
    :) ))) далее можно не читать

  10. Pko 30.11.-0001 at 12:00 дп #

    Я тоже так желаю! Где записаться?!

  11. Voluevskaya 30.11.-0001 at 12:00 дп #

    В прокуратуре, со двора. :) )

  12. Alluev 30.11.-0001 at 12:00 дп #

    выстрели для себя в моск

  13. Aloev 30.11.-0001 at 12:00 дп #

    «украдено $7 миллиардов. При всем этом объем средней кражи составил $10 тыс., другими словами было совершено около 70 миллионов (!) нелегальных транзакций.» 70 млн на 10 тыс. будет 700 миллиардов. Считать не научились, где ж средства не утратить.

  14. Rakiev 30.11.-0001 at 12:00 дп #

    $10 тыс — это средняя величина, но они и малым не брезгуют — может и есть столько транзакций, сколько сказано. Всё равно масштабы впечатляют.

  15. Doivka 30.11.-0001 at 12:00 дп #

    очень жалко, что в современной Росси нет способности использовать таланты и энергию этих людей в мирных целях

  16. Aloev 30.11.-0001 at 12:00 дп #

    В мирных — вправду негде: прмышленность — в разрухе, наука — в упадке.

  17. Alexovski 30.11.-0001 at 12:00 дп #

    Спасибо за статью. Задумался.

  18. Dozensky 30.11.-0001 at 12:00 дп #

    Вывод очень обычный — нередко воспользоваться можно только теми карточками, на которых не достаточно средств. Если размер средней кражи составил $10 тыс., то имея кредитку на $1-2 тыс. можно очень не волноваться о её безопасности. Утрата средств с неё будет не страшнее утери кошелька. Вот и выходит, что необходимо иметь отдельную «зарплатную» карту, и раздельно «расчётную» малого номинала.

  19. Bizluev 30.11.-0001 at 12:00 дп #

    Ага, а с маленькой пенсией что делать? Ее тоже на карту перечисляют и другого источника дохода нет, и если ее лишиться … веселуха. Лично я уже сталкивалась с мошенничеством за границей. Средства позже возвратили (минус комиссия), правда через два месяца — сейчас только та сумма, которая нужна для оплаты, к примеру авиабилета, и ни копейкой больше.

  20. Pzensky 30.11.-0001 at 12:00 дп #

    Не понятно одно ведь через 3 неправильных пробы подбора пина карта блокируется! А для покупок через веб пин код не нужен совсем, нужен TVV2 код, который на оборотной стороне и сведения о обладателе. Так что случай с официантами- похож на правду, а с подбором пина- похоже на вымысел создателя. Некие банки употребляют для собственных клиентов вторую карту- с виртуальным номером, на физическом уровне эта карта не существует в природе- это фальшивка- о ее существовании знает только банк и клиент, клиент для покупки в вебе переводит на нее часть средств достаточных для определенной покупки и при платеже показывает эту вторую виртуальную карту. Ей можно воспользоваться только для покупок в вебе.

  21. Bizonov 30.11.-0001 at 12:00 дп #

    Программка этого взломщика подбирала по всей видимости этот самый TVV2 код, но никак не пин.

  22. Ziliko 30.11.-0001 at 12:00 дп #

    «Пасмурное ПРОГРАММИРОВАНИЕ — новенькая разработка, использующая ресурсы присоединенных к Вебу компов без ведома их хозяев.» — Быстрее с ведома юзеров употребляет ресурсы серверов для обработки подходящих этим юзерам задач. Всё напротив:)

  23. Vovski 30.11.-0001 at 12:00 дп #

    Типичная для МК истеричная статейка: главное ошарашить читателя т.н. «правдой». А на самом деле все советы «как уберечься» можно прочесть на веб-сайте хоть какого банка, обслуживающего карты, контроль за использованим карты тривиально осуществляется при помощи «мобильного банка», наличные у людей воруют все-же почаще, чем безналичные с карт и т.д. А именно, часто грабят людей обналичивающих сходу всю пенсию/заработную плату с карты. Ну а техно безграмотность создателя просто умиляет: не считая собственного очень личного толкования Айпишника он еще утверждает, к примеру, что WEB-камера употребляется для считывания инфы с карт… Короче, создатель «слышал гул, но не сообразил, где он…». Зато какой апломб в подаче инфы! И для чего было надо приплетать сюда т.н. «боссинг»? Может еще заместо слова кража ввести «новое» — коммуниздинг?

  24. Alolev 30.11.-0001 at 12:00 дп #

    Столкнулся не так давно с новейшей фишкой мобильных жуликов. Звонят на мобильный телефон и молвят что по ошибке выслали на ваш баланс 50 рублей. Требуют возвратить их и дают номер другого мобильного. Добросовестный человек исправляет ошибку и переправляет средства назад. После этого у него снимают все средства с его кредитной карточки с которой он оплачивает свою электрическую и мобильную связь. Минимум для электрической системы банк-клиент 10 000 рублей снимают как «ягоду с кустика» стремительно, без шума и пыли.

  25. Polev 30.11.-0001 at 12:00 дп #

    Это если вы не понимаете собственный баланс. А если я вижу, что у меня нет никаких добавок на счёт телефона — чего же я буду возвращать. Ну и не все пользуются мобильными кошельками- это ж сколько нужно разослать СМСок, чтоб на подходящего клиента нарваться, такового, чтоб он и добросовестный был, и телефон через мобильный кошелёк оплачивал!

  26. Andronov 30.11.-0001 at 12:00 дп #

    Это кто ж вам такую ужасную историю поведал? Нужно бы знать, что счет телефона, мобильны кошелек и счет карты (кстати, не кредитной, а дебетовой! Кредитные у нас практически не употребляются, а зарплатные карты никогда ими не были и не будут) — это, как молвят в Одессе, три огромные различия. И снять со счета телефона больше, чем на нем лежит нереально. Я пару раз пробовал оплатить услуги в Инете с телефона по объявленной стоимости и получал сообщение, что на моем счету недостаточно средств. Т.е. настоящая сумма была более той, что у меня была на счету и соответственно, больше объявленной! Это тоже мошенничество, распространенное не только лишь в Инете, а и в обыденных гипермаркетах, когда стоимость продукта на ценнике и его стоимость «в компьютере на кассе» отличаются понятно в какую сторону.

  27. Voiko 30.11.-0001 at 12:00 дп #

    IP-адрес — заводской номер компьютера. Употребляется для его идентификации в Вебе.

    Это видимо про мас адресок ну никак не про IP

    Айпишник (айпи-адрес, сокращение от англ. Internet Protocol Address) — уникальный сетевой адресок узла в компьютерной сети, построенной по протоколу IP

  28. Zilolev 30.11.-0001 at 12:00 дп #

    Внести поправку в УК, до 10 лет, за кибермошенничество, как за особо тяжкое. Провоцировать отдел «К»: к примеру перечислять 10% от суммы возвращенных средств. Поглядеть — снизиться количество случаев либо нет.
    В старенькое время так с волютной статьей поступили: до 1962 года, если не ошибаюсь, давали до 5-ти лет, а после это уже была расстрельная статья. Посодействовало либо нет, но адреналина волютчикам прибавило.

  29. Pluev 30.11.-0001 at 12:00 дп #

    Да, меня это тоже как-то смутило, хотя я и не спец. И еще про из словаря про «пасмурное программирование». Видимо создатель, еще наименьший спец чем я.

  30. Dokiev 30.11.-0001 at 12:00 дп #

    Да уж, нагнал создатель пурги…

    Давайте начнем с того, как несчастный кардер-хакер-нахер может пользоваться инфой о чужой карте.

    Вариант 1. Приобрести чего-нибудть через веб. Ну да, самое легкое. Только вот неважно какая покупка — адресная. И писать «доставьте крутую плазму туда-то и туда-то Иванову И.И. лично в руки» — глупо спалиться. Выслать покупку Петрову — это позже выковыривать ее у Петрова. А когда придут за жопу брать Петрова — он будет очевидцем. Так что довольно иметь хоть немножко мозгов, чтоб этим методом не воспользоваться.

    Вариант 2. Изготовка дубликата. Вариант более неопасный для жуликов. Но практически на одну-две транзакции, ну и то не очень большие. Что-то большое приобрести — такое же палево, как и в варианте 1. Только светить придется не адресок/фамилию, а собственное табло, которое запомнят торговцы, сторожи, вероятная видеосъемка. Есть риск, что спросят документы. А съем наличных в банкомате — мероприятие не такое уж и доходное и неопасное. Размер одной транзакции может ограничиваться и банком, выпустившим карту, и обладателем карты, и банкоматом, выдающим наличность. 2-ая транзакция, если обладатель карты не лопух, а секьюрити банка хоть немножко могут работать, уже состояться не должна. А на третьей засранца уже будут пасти. Камерами наблюдения банкоматы на данный момент оборудуются практически поголовно, так что шанс засветить табло тоже немаленький. И… барабанная дробь… — съем наличных просит познания пин-кода. А сказкам создателя про то, как через веб подбирается пин-код, мы ведь уже не поверили. Только скиммеры/шиммеры и собственное головотяпство.

    Так что господа, просто отнеситесь к советам по безопасности со всей серьезностью. Не суйте карту куда попало, не светите пин, пользуйтесь лимитами и ограничениями местности внедрения — и будет вам щщастье!

  31. Dooev 30.11.-0001 at 12:00 дп #

    +100 !

    Ище раз скажу, что верояность лишиться собственных средств, получив томным предметом по голове за наиблежайшим от банкомата углом, после «дальновидного» снятия всех средств с карты, еще выше, ежели лишиться их через трансакцию, проведенную хитроумным взломщиком из сарая с антеннами на секретном на кладбище (кстати, а для чего антенны-то радиомодему? Он что, на КВ работает? И с кем? Смешной рассказ некий).

  32. Dovski 30.11.-0001 at 12:00 дп #

    Ну да, как то удивительно, я, правда, не направил на это сходу внимание, про то как кардер здесь же снял через Веб средства создателя, и здесь же их возвратил. Как я понимаю, для того чтоб снять с карточки средства, и перебросить их на какой-нибудь счет либо электрическую систему через Веб нужно куда-то ввести эти данные, к чему-то привязать карточку (скажем, к PayPal), а позже уже перебросить их на собственный счет либо вправду, что-то вещественное приобрести. Но снова же это путь просто спалиться. Как-то подозрительно просто все это вышло, как в нехороших фильмах про взломщиков, которые за считанные мгновения влезают в базы ФБР и ЦРУ. Может быть, я чего не понимаю?

  33. Raonov 30.11.-0001 at 12:00 дп #

    Всё Вы верно осознаете, Олег. Но статья написана в жанре «а ля ужастик», а законы жанра диктуют своё: читателя нужно всегда пугать и ошарашивать, чтоб он меньше задумывался и больше «чуйствовал», чтоб у него «холодок бежал за ворот»… Те, кто задумывается всегда, тут уже разложили текст по полочкам — выходит, что это фигня полная. Правда, некие почему-либо попробовали вынуть создателя из лужи, в которую он сел со собственной статьей, объясняя, что он по сути имел в виду и что он желал сказать.

  34. Doko 30.11.-0001 at 12:00 дп #

    Эта история — вообщем туфта полная. Во-1-х, чтоб «снять» средства с карты «снимающая» сторона должна быть зарегистрирована в платежной системе. Без этого банк, выпустивший карту, должен транзакцию не разрешать. А зарегистрированный кардер-нахер становится просто нахером :) Куда угодно (и то не все банки разрешают это) перевести средства со собственной карты может только ее обладатель или лично явившись в собственный банк, или через интернет-банк (а там свои логин, пароль, плюс другие методы защиты). А это «куда угодно» — платежка с полным набором реквизитов. И с контролем корректности наполнения реквизитов, предназначения платежа… Я со собственного счета на другой собственный счет с первого раза не всегда мог перевод сделать! А один раз мне даже из банка позвонили на предмет доказательства перевода.

    С возвратом тоже лажа. Если возврат идет из-за отмены операции, то комиссии никакой быть не может! Если перевод снаружи — на зачисление уходит как минимум несколько часов (а реально около суток) у хоть какого банка. Минутка — выдумка брехливого трепла. Если это разблокировка заблокированной суммы, то тоже сроки исчисляются днями, а не минутками.

    Вывод: или создатель карту банковскую в руках не держал, или просто бессовестно лжет.

  35. Pvski 30.11.-0001 at 12:00 дп #

    Да, еще момент. Размер комиссии выходит 0,4275%. Никогда не встречал процента комиссии с 4 знаками после запятой. и чтобы 4 означающих числа — тоже не встречал. Принцип доверия к некруглым числам преобразуется в принцип недоверия к круглым дурачинам.

  36. Alluevskaya 30.11.-0001 at 12:00 дп #

    особо повеселили перлы:

    Айпишник — заводской номер компьютера. Употребляется для его идентификации в Вебе.

    Пасмурное ПРОГРАММИРОВАНИЕ — новенькая разработка, использующая ресурсы присоединенных к Вебу компов без ведома их хозяев.

  37. Androev 30.11.-0001 at 12:00 дп #

    Такое чувство, что над создателем, дальним от компьютерных технологий, кто-то недобро пошутил: «слил» ему в доверительной беседе в каком-нибудь пятнишном пивбаре на тусовке сисадминов всю эту «очень секретную» галиматью, а он и купился на «сенсацию». А размеры краж он уж, видимо, сам выдумал — «для уверительности». Очень типично для МК. Не в нем ли в своё время писали о крысах размером с собаку в столичном метро, которые хрустят ночами косточками запозднившихся одиноких пассажиров? Тоже ведь были ссылки на очевидцев и профессионалов.

  38. Voluevskaya 30.11.-0001 at 12:00 дп #

    Г-н (и не задумайтесь, что государь :lol ) павел чувиляев просто еще одна журнашлюшка в следующем журноборделе. Только, к огорчению, эта порнуха таки продается :( Так что чирьи эти не на пустом месте вырастают :( ((

  39. Rakiev 30.11.-0001 at 12:00 дп #

    Здесь соревнование, кто резвее обчистит
    кошелек: кардеры, либо правительство при помощи
    инфляции. В Белоруссии правительство одолевает.

  40. Dooev 30.11.-0001 at 12:00 дп #

    Цитата: Вспомни: когда платишь, ты карту из рук выпускаешь, отдаешь торговцу… другими словами на самом деле дать кошелёк, портмоне торговцу и возлагать на его честность. Феномен!

  41. Andrluevskaya 30.11.-0001 at 12:00 дп #

    Очердная бредятина в наилучшем стиле МК. Создатель не имеет никакого представления о предмете. Историю со «взломом» PIN-кода карты можно читать только из-под стола — из-за смеха. Для справки: PIN-код употребляется Исключительно в банкоматах, при платежах через Веб он не задействуется, и подобрать его нереально. Или создатель глупо передрал абсурд, который уж тыщу раз писали до него, или он просто лох, которого развели, как малыша. Если он вправду дал в руки жулика свою карту, тому не надо ничего подбирать — все нужные для платежей данные УЖЕ в чужих руках. Ну, и все другое — из той же оперы.

  42. Avdluev 30.11.-0001 at 12:00 дп #

    И сейчас для Уголовного Розыска : ребята,инспектируйте кладбища
    — там вон в сараях аппаратура стоит крутая —вам для работы как раз понадобится по борьбе с преступностью .
    А для неопасного хранения и приумножения средств рекомендую открыть программку в МММ-2011 Сергея Мавроди ,
    вот его веб-сайт : sergey-mavrodi.com , с доходностью по 20-60% за месяц,если на депозит и Интернет-платежи Альфа-Банка ,полностью накрепко и неопасно. Я вот за сезон 400000 снял в МММ и ремонт на данный момент делаю и позже еще сниму.А Банки пусть Вас, коллеги ,и далее дурачятся и кредитами опутывают.

  43. Dihvski 30.11.-0001 at 12:00 дп #

    Кибер гигиена всё же нужна:
    1. Карта для оплат непременно обязана иметь СМС информирование
    2. Не стоит оплачивать картой покупки в небрендовых местах
    3. При оплате всё внимание на карту, пин код всегда закрывать рукою. Кассир должен осознавать, что вы не лох.

  44. Zilzensky 30.11.-0001 at 12:00 дп #

    Чтоб избежать этого Может быть Вам стоит поразмыслить о том, как получить бесплатную оффшорную анонимную дебитную карту.
    Если любопытно, обращайтесь проконсультирую.