Кардер украл $36 000 000 но допустил ошибку

[Cloned Boy]

Как украсть $36 000 000 и почти не попасться? История Quickshift — одного из самых изощрённых мошенников цифровой эпохи. В этой теме вы узнаете, как обычный системный администратор превратился в кардера мирового уровня, используя фальшивые POS-терминалы и уязвимости платёжных систем.

Скимминг, поддельные терминалы, кибервойна и цифровые двойники — это не выдумка, а реальная история, раскрытая изнутри. Мы покажем, как работала крупнейшая схема мошенничества с картами, принесшая десятки миллионов долларов... и как всего одна ошибка привела к её краху.

Эта тема не только о преступлении, но и о технологиях, уязвимостях системы и цене, которую платят те, кто переходит черту.

Внимание: если вы когда-либо пользовались банковской картой в кафе, магазине или уличном киоске — вам стоит дочитать эту тему до конца!

Важно: Вся информация носит исключительно образовательный характер. Мы не пропагандируем и не поощряем какую-либо незаконную деятельность. Мы призываем всех читателей проявлять осмотрительность в Интернете.

Содержание:

• Как работает скимминг и перехват PIN-кодов
• Как создают поддельные платёжные терминалы
• Даркнет, криптовалюты и отмывание денег
• Кто такой Solaris и как он помог выстроить "империю"
• Почему их схему никто не замечал почти 4 года
• Как всё рухнуло из-за новых конкурентов
• Сколько таких схем существует сегодня?

Привет, друзья! Сегодня я расскажу вам историю не о фантазиях, а про реальные дыры в системе, которыми кто-то воспользовался. Но именно так устроен современный мир. Самые изощренные преступления часто остаются в тени. Вы когда-нибудь задумывались, как защищены ваши деньги, когда вы расплачиваетесь картой в кафе или небольшом магазине? Замечали ли вы, что терминал для оплаты выглядит точно так же, как и вчера?

А уверены ли вы, что это тот же самый терминал? В нашем цифровом мире мы ежедневно доверяем свои финансовые данные десяткам систем и устройств. Но что, если кто-то научился виртуозно подменять их? Что, если ваша карта считывается дважды – один раз для настоящего платежа и второй – для невидимого вора? Сегодня я представляю вам исповедь человека, известного в определенных кругах под псевдонимом Quickshift.

Бывшего айтишника, который за несколько лет прошел путь от талантливого самоучки до создателя одной из самых изощрённых схем мошенничества с платёжными терминалами. Эта история не оправдывает преступников. Она не делает их героями. Но она помогает понять, как работает система, которая позволяет воровать миллионы долларов у ничего не подозревающих людей. Понять, чтобы защититься. Я наткнулся на этот рассказ на одном из закрытых форумов в даркнете, где преступники пишут свои исповеди.

Мне потребовалось немало времени, чтобы проверить изложенные факты. Многие детали подтвердились, некоторые нет. Но общая картина, к сожалению, слишком правдоподобна. Устраивайтесь поудобнее, убедитесь, что ваши собственные банковские карты в безопасности. И приготовьтесь к погружению в мир человека, который нашёл способ взломать систему, считавшуюся неуязвимой.

Привет, меня зовут Quickshift, и я бы хотел поведать свою историю. Историю о том, как я воровал миллионы долларов через бесподдельные платёжные терминалы. И как эта игра едва не стоила мне всего. Меня всегда удивляло, как легко люди доверяют свои деньги. Пластиковая карта, пара секунд у терминала, и ваши средства уже в системе. Вы даже не задумываетесь, куда они идут. Да и зачем. Система работает, деньги списываются, товар у вас в руках.

Моё знакомство с этой системой началось в 2013 году. Мне было 26, и я работал обычным сисадмином в IT-отделе сети продуктовых магазинов в Майами. Ничего особенного. Резервное копирование, перезагрузка серверов, периодические выезды в точки для решения типичных проблем. Среди этих проблем часто оказывались и платёжные терминалы. Я не был исключительным специалистом. Обычный парень из среднего класса, выросший в пригороде Майами.

Мой отец работал менеджером в строительной компании, мать – школьной учительницей. Своего дома у нас никогда не было, только съёмные квартиры. Колледж я закончил на кредиты, которые выплачивал ещё долгие годы. С детства у меня был талант разбираться в технике. В 12 лет я собрал свой первый компьютер из старых запчастей. В 16 написал примитивный вирус, который вывел из строя школьную сеть на 3 дня.

Разумеется, меня поймали, тогда я ещё не умел заметать следы. С тех пор я решил быть на стороне хороших парней. По крайней мере, так я думал. В IT я пришёл самоучкой. Никакого специального образования, только сертификаты и бесконечные часы за книгами и видеоуроками. Система та образования никогда не успевала за технологиями, поэтому практический опыт всегда оценился выше диплома. 15 марта 2013 года мне поступил звонок из магазина на Брикел-авеню.

Проблема с POS-терминалом, клиенты недовольны, очереди растут. Стандартная ситуация, я приехал через полчаса, готовый выполнить обычную процедуру – перезагрузить систему и уехать. Но в тот день всё пошло иначе. Вместо обычного сбоя программного обеспечения, я обнаружил физическую неисправность. Пришлось разобрать терминал полностью, и то, что я увидел внутри, изменило мою жизнь. На материнской плате устройства был установлен маленький чип, тонкая плата размером с ноготь. Я сразу понял, что это не часть оригинальной конструкции.

Это был скиммер. Устройство для считывания данных банковских карт. Я должен был сообщить об этом. Должен был передать находку службе безопасности, вызвать полицию. Это была бы правильная законная реакция. Вместо этого я аккуратно извлёк скиммер, завернул его в антистатический пакет и положил в карман. Терминал починил, устранив программный сбой, официальная версия для отчёта. Почему я так поступил?

Не могу сказать, что это был продуманный план. Скорее, инстинкт исследователя. Мне Мне было интересно, как устроена эта штука, как она работает. И возможно, где-то в глубине души я уже тогда понимал, какие возможности это открывает. Дома я изучил находку, скиммер был примитивным. Простой регистратор данных, который копировал информацию с магнитной полосы карты при проведении транзакции. Но для меня это было открытием. Следующую неделю я провёл в интернете, изучая всё о платёжных системах.

Форумы статьи, технические документации. Многие источники были на теневых ресурсах, куда я раньше никогда не заглядывал. Там я впервые увидел, насколько глубока эта кроличья нура. К концу месяца я знал о ПО с терминалах больше, чем любой обычный техник. Я понимал их архитектуру, уязвимости, протоколы передачи данных. И, что важнее, я понимал, как их можно обмануть. В начале мая 2013-го я создал свой первый скиммер.

Простое устройство, способное считывать данные карт. Я не планировал его использовать, это был просто эксперимент, говорил я себе, доказательство концепции. Но устройство работало, и это будоражило. Ещё через месяц мне пришло письмо из банка. Напоминание о просроченном платеже по студенческому кредиту. За ним последовало уведомление о повышении арендной платы за квартиру. А потом счёт за лечение матери, у которой обнаружили предраковое состояние.

Финансовый кризис накрыл меня как цунами. Зарплата сисадмина в продуктовой сети не покрывала половины расходов. Я начал брать дополнительные смены, подрабатывать фрилансом по ночам. Но этого было недостаточно. И тогда я вспомнил о скимере в ящике стола. Это всего лишь эксперимент, говорил я себе, устанавливая устройство в терминал небольшого газетного киоска на окраине города 17 июля 2013 года. Это временное решение, убеждал я себя, первый раз используя украденные данные для небольших онлайн-покупок через анонимные прокси.

Я был осторожен, выбирал мелкие транзакции, которые жертвы могли не заметить, использовал сложные схемы отмывания, о которых вычитал на форумах. И главное, никогда не брал слишком много от одного человека. Так началась моя двойная жизнь. Днем – обычный сисадмин, решающий технические проблемы. Ночью – кардер, совершенствующий свои методы кражи данных.

И с каждым месяцем граница между этими мирами становилась всё более размытой. К концу 2013-го я погасил кредит за колледж, оплатил лечение матери и переехал в квартиру получше. Друзья и коллеги считали, что мне просто повезло с подработками. Если бы они только знали… 10 января 2014 года я встретил человека, который вывел мою деятельность на совершенно новый уровень. Его ник был Соларис, и он изменил мой подход к мошенничеству с платёжными системами так же кардинально, как когда-то скиммер изменил мою жизнь.

Солариса я встретил на закрытом форуме даркнета. В отличие от большинства, он не хвастался достижениями и не продавал дешёвые скрипты новичкам. Он писал редко, но метко. Технические детали, аналитика уязвимостей, прогнозы развития защитных систем. После нескольких недель осторожного общения мы встретились 10 января в Забегаловке – достаточно людное место, чтобы оставаться анонимными.

Но достаточно шумное, чтобы избежать прослушки. Соларис оказался не таким, как я представлял по общению в сети. О себе он говорил скупо, но было очевидно. Передо мной человек с глубоким пониманием POS-систем. По некоторым его замечаниям, я понял, что он имел прямое отношение к разработке защитных протоколов для платёжных терминалов. То, что он знал, невозможно было найти в открытом доступе. «Твои скиммеры – детские игрушки», – сказал он.

«Ты снимаешь сливки, но теряешь молоко. Настоящие деньги не в копировании магнитных полос, а в перехвате и подмене транзакций. Он рассказал о своей идее создавать полноценные поддельные терминалы, неотличимые от настоящих. Устройства, которые бы работали как обычно, но отправляли копию каждой транзакции на наши серверы. «Для этого нужна команда», — объяснил он. «Один человек такую операцию не потянет».

Через две недели Соларис познакомил меня с Маком, – бывшим техником по установке банковского оборудования. Он потерял работу после ссоры с руководством из-за сокращения зарплат. «Я знаю всю логистику, как, где и когда устанавливаются терминалы», – говорил он. «И что важнее, я знаю, как это делать без лишних вопросов». Последним присоединился Леджер – финансовый гений с опытом работы в криптовалютных стартапах. Он разработал схему отмывания денег через цепочку криптовалютных транзакций, делающую их происхождение невозможным для отслеживания.

К марту 2014-го наша команда была сформирована. Мы арендовали небольшой склад в промышленном районе Майами, превратив его в лабораторию. Solaris занимался технической частью, я – программный, Mac отвечал за установку, Ledger – за финансы. Первую модель поддельного терминала мы создали к маю. Внешне – точная копия Verifone VX520, одной из самых распространённых моделей для малого бизнеса.

Внутри – совсем другая система. Сумма, наш терминал работал как обычный, связывался с банком, проводил транзакцию, выдавал чек, но параллельно отправлял копию всех данных на наш сервер в Восточной Европе. Специальный софт, написанный мной, анализировал эти данные и определял, с каких карт можно безопасно воровать. Мы применяли сложные алгоритмы. Не трогали счета с балансом ниже определенной суммы, не снимали больше 15% от доступных средств, избегали корпоративных карт с их усиленным мониторингом.

Вместо разовых крупных краш делали серии мелких транзакций в разных местах. 12 июня 2014 года мы установили первый терминал в сувенирном магазине на Ocean Drive. Владелец даже не понял, что произошло. Мэг представился техником из банка, сказал, что терминал требует обновления и просто подменил устройство.

Первые дни мы были как на иголках, постоянно мониторили трафик, готовы мгновенно отключить систему. Систему. Но всё работало идеально. За первую неделю через этот единственный терминал прошло транзакции на 40 тысяч долларов. Наш алгоритм отобрал карты, с которых можно было безопасно снять около 3 тысяч. К августу у нас было уже 5 терминалов в разных районах Майами. Маленькие кафе, сувенирные лавки, круглосуточные магазины, места с высокой проходимостью туристов, которые редко проверяют счета во время отпуска.

Мы модернизировали систему. Теперь терминалы не только копировали информацию о картах, но и перехватывали пин-коды для дебетовых карт, что открывало возможность снятия наличных через банкоматы, в том числе зарубежные. К концу 2014 года каждый из нас зарабатывал более 30 тысяч долларов в месяц. Я переехал в пентхаус с видом на океан, купил Ауди R8, начал коллекционировать часы.

Родителям сказал, что основал успешный стартап с фейда в сфере кибербезопасности. Они гордились мной, если бы они только знали. В январе 2015-го мы столкнулись с первой серьёзной проблемой. Один из наших терминалов в кафе привлёк внимание. Постоянный клиент, сотрудник IT-отдела банка, заметил странности в работе устройства и сообщил об этом в службу безопасности.

Мэк успел забрать терминал за час до прибытия специалистов из банка. Это был тревожный звонок. Мы поняли, что нужно быть ещё осторожнее, ещё изобретательнее. И тогда Соларис предложил идею, которая вывела нас на совершенно новый уровень. «Что если вместо подмены существующих терминалов мы начнем производить собственные?», – сказал он, – «полностью функциональные устройства, сертифицированные и подключенные к настоящим платежным системам, но с нашими модификациями внутри».

Идея Solaris была настолько дерзкой, что поначалу казалась безумием. Создать компанию, которая официально поставляет POS-терминалы, получить все необходимые сертификаты, выстроить сеть клиентов – это уже не мелкая афера, а бизнес. Криминальный, но бизнес. «У меня есть документация по сертификации», — объяснил Соларис. «Я знаю процедуры изнутри.

Мы сможем создать устройства, которые пройдут все проверки. Безопасники ищут взломанные терминалы, но никто не подозревает компанию, которая сама их производит». Март 2015 года мы потратили на подготовку. Леджер зарегистрировал компанию Secure Pay Solutions через подставных лиц в штате Делавэр. Мы арендовали небольшой офис в бизнес-центре Майами и наняли двух ничего не подозревающих сотрудников для работы с клиентами.

Мы действовали по всем правилам, заполнили десятки форм, прошли проверки, подключились к платёжным системам. Наши терминалы успешно прошли все тесты на безопасность, ведь официально они были абсолютно чисты. Бэкдоры активировались только после финальной сертификации, через обновления, которые мы проводили удалённо. К июню 2015 Secure Pay Solutions получила все необходимые разрешения и начала работу.

Мы предлагали терминалы по ценам ниже рыночных, обеспечивали бесплатную установку и обслуживание. Нашими клиентами стали десятки небольших бизнесов, рестораны, магазины, салоны красоты. «Умная стратегия – не брать всё и сразу», – повторял Ledger на наших еженедельных встречах. Мы выбираем только 5% от общего потока. Банки настроены выявлять аномалии, а 5% – это не аномалия, это погрешность.

К концу 2015 года наша сеть насчитывала более 70 терминалов в Майами и пригородах. Ежемесячный доход перевалил за 800 тысяч долларов на четверых. Деньги отмывались через сложную схему криптовалютных транзакций и реинвестировались в легальные бизнесы. Я купил пентхаус на и коллекцию винтажных автомобилей. Для всех я был успешным IT-предпринимателем, основателем стартапа в сфере финансовых технологий. Я даже выступал на местных бизнес-форумах, рассказывая о будущем безопасных платежей.

Ирония этой ситуации не ускользала от меня. В начале 2016-го мы начали экспансию в другие города Флориды. Открыли представительство в Орландо и Тампе. Наняли региональных менеджеров, которые понятия не имели о настоящей природе бизнеса. Для них Secure Pay Solutions была перспективной финтех-компанией, конкурирующей с гигантами отрасли за счёт инновационных технологий и гибкой ценовой политики.

Наша схема работала безупречно. Мы строго соблюдали правила безопасности – никаких личных встреч в полном составе, никаких записей, никаких следов. Вся коммуникация через зашифрованные каналы, все транзакции через миксеры, фальшивые документы, подставные компании, анонимные серверы в странах, не сотрудничающих с американскими спецслужбами. К осени 2016-го наша империя охватывала большую часть Флориды. Более двухста терминалов, обрабатывающих миллионы долларов транзакций ежедневно.

Мы стали жертвой собственного успеха. Secure Pay Solutions стала заметна на рынке, а нас писали в локальных бизнес-изданиях, нас приглашали на отраслевые конференции. Но в ноябре 2016-го всё изменилось. Мак первым заметил аномалию. Несколько наших терминалов в Орландо начали передавать странные данные. Кто-то перехватывал наш трафик. Не банки и не правоохранительные органы, там были бы другие следы.
Кто-то действовал по нашей же схеме. У нас появились конкуренты, констатировал Solaris после анализа логов. И они не просто копируют нашу Они перехватывают данные, которые мы уже перехватили. Это была серьёзная угроза. Во-первых, неизвестные хакеры могли случайно или намеренно раскрыть нашу схему. Во-вторых, они снижали наш доход, забирая часть улова. В-третьих, их методы были грубыми и могли привлечь внимание безопасников.

Мы провели собственное расследование. Кто-то из технических специалистов, которых мы привлекали для работы над прошивками терминалов, продал информацию на рынке. Теперь наша технология стала доступна другим группировкам. Они не утруждали себя тонкими настройками и забирали гораздо больше 5% от транзакций. Они не строили долгосрочную стратегию, они хотели быстрых денег. «Они как слоны в посудной лавке», сказал Леджер на экстренном совещании в декабре.

«Если так продолжится, через месяц-два банки заметят всплеск мошенничества и начнут глобальную проверку всех терминалов. И тогда под ударом окажемся и мы. У нас было три варианта – свернуть операцию, сменить технологию или нейтрализовать конкурентов. Отказаться от бизнеса, приносившего миллионы, мы не были готовы. Полностью менять схему слишком долго и дорого.

Оставался третий путь. Нам нужно найти их и договориться, предложил я, или перехватить инициативу. Началась настоящая кибервойна. Мы внедрили в наши терминалы специальной ловушке – код, который отслеживал любые несанкционированные подключения. Это позволило нам установить IP-адреса и примерное местоположение конкурентов. К январю 2017-го у нас было достаточно информации.

Эти парни базировался в Тампе и состоял из трёх человек – бывшего банковского программиста и двух хакеров-фрилансеров. Они работали из съёмной квартиры в пригороде и использовали модифицированную версию нашей технологии. «Теперь нам предстояло решить, как действовать дальше. И решение это должно было изменить всю нашу операцию. Февраль 2017-го начался с серии экстренных совещаний. Конкуренты становились всё наглее.

Их алгоритмы снимали не 5% как у нас, а все 20-30% с подходящих карт. Это было не просто воровство нашей технологии, это был прямой путь к краху всей схемы. Они добьются того, что банки объединятся для масштабного расследования. Предупреждал Ledger. «Наша безопасность держится только на статистической незаметности. После долгих дебатов мы выбрали стратегию – не ликвидировать конкурентов, а перенаправить на них внимание. Это было рискованно, но иного выхода мы не видели.

Мы создали анонимный канал связи с отделом безопасности крупнейшего банка Флориды. Через серию случайных утечек предоставили информацию о подозрительных терминалах в Тампе. Конечно, мы не упоминали о собственной причастности, представившись обеспокоенными специалистами в сфере IT-безопасности. План сработал даже лучше, чем мы рассчитывали. В марте 2017-го полиция Тампы провела операцию по задержанию группы мошенников, модифицировавших платёжные терминалы.

Новость об этом разлетелась по всем местным СМИ. Однако нас ждал неприятный сюрприз. Вечером того же дня Мэг получил зашифрованное сообщение. «Мы знаем, кто вы. Мы знаем, как вы работаете, у нас есть доказательства. – встреча, завтра, 15.00, пирс Бэйсайд. Кто-то из задержанных решил торговаться с полицией, сдав более крупную рыбу – нас. Мы оказались на распутье – бежать, затаиться или пойти навстречу.

После бессонной ночи решили, что Соларис и Мэг проведут разведку, оставаясь на безопасном расстоянии от места встречи. То, что они увидели, шокировало всех нас. На пирсе не было полиции. Вместо неё – двое мужчин в дорогих костюмах с телохранителями. Они явно не были представителями закона. «Это люди из русской группировки», – сказал Мэг, когда вернулся. «Я видел их раньше. Они контролируют обналичку в трёх штатах».

Ситуация приняла неожиданный оборот. Русские, очевидно, узнали о нашей схеме от задержанных хакеров и теперь хотели либо получить свою долю, либо полностью захватить бизнес. Мы решили не идти на контакт. Вместо этого активировали протокол экстренного свёртывания операции. За 48 часов ликвидировали все прямые улики, перевели активы в анонимные криптокошельки, уничтожили серверы. Secure Pay Solutions. Официально осталось работать, но все специальные функции терминалов были отключены через удалённое обновление.

Для внешнего мира компания просто стала обычным поставщиком POS-систем. Мы затаились. Сменили места жительства, минимизировали контакты. Я переехал в небольшой городок в Джорджии, где арендовал дом под вымышленным именем. Апрель-май прошли в напряжённом ожидании. Казалось, мы успешно замели следы. Но 7 июня 2018 года мир перевернулся окончательно. От наших контактов в службе безопасности крупных банковских сетей поступила информация о серии тихих арестов в Тампе и Майами.

Несколько техников и программистов из конкурирующей группы были задержаны, но дело намеренно не афишировалось в прессе, чтобы не спугнуть остальных участников схемы. «Это русские», – подтвердил Леджер после проверки информации через свои источники. «Они запустили собственную версию нашей схемы, но действовали слишком агрессивно и привлекли внимание внутренней безопасности банков.

Мы выждали еще три месяца. Никаких признаков того, что следствие вышло на нас, не было. Но вернуться к старой схеме было невозможно. Индустрия платёжных систем теперь была под микроскопом. «В октябре 2017-го мы собрались в последний раз, на частной вилле в Мексике.

Решение было единогласным – официально распустить группу и разделить оставшиеся активы. Было весело, парни, – сказал Соларис, поднимая бокал текилы.

Мы сделали невозможное, и, что важнее, ушли вовремя. Наше состояние к тому моменту оценивалось примерно в 36 миллионов долларов, по 12 на каждого. Деньги были надёжно спрятаны в криптовалютах и оффшорных счетах. Я вернулся в США через месяц. Поселился в Сиэтле, как можно дальше от Флориды. Купил небольшую IT-компанию, занимающуюся легальной разработкой систем безопасности для малого бизнеса. Ирония судьбы, теперь я защищал людей от таких, как я раньше.

Solaris, насколько я знаю, уехал в Европу. Мэк приобрёл ранчо в Техасе. Леджер, всегда самый осторожный из нас, просто исчез. Даже мы не знаем, где он сейчас. Прошло почти восемь лет. Моя компания процветает, у меня уважаемое положение в обществе. Никто не знает о моём прошлом. Но каждый раз, когда я расплачиваюсь картой в магазине, я невольно осматриваю терминал, привычкой, от которой невозможно избавиться.

Иногда я думаю, Сколько ещё таких групп, как наша, действуют сейчас? Сколько людей ежедневно становятся жертвами мошенничества, которое они даже не могут заметить? Технологии развиваются, но принцип остаётся тем же. Там, где есть система, всегда найдётся кто-то, кто попытается её обмануть. И часто эти люди – не какие-то мифические хакеры из фильмов, а обычные айтишники, которые однажды решили перейти черту.

Я не горжусь тем, что делал. Не ищу оправданий. Просто рассказываю, как все было. Возможно, мой опыт поможет кому-то сделать правильный выбор. Или хотя бы дважды проверить терминал, прежде чем вставлять в него карту. Говорят, идеальное преступление – то, о котором никто никогда не узнает. Возможно, мы были близки к этому. Но цена такого «успеха» – постоянный страх разоблачения и необходимость всегда оглядываться через плечо.

Это не та жизнь, которую я бы пожелал кому-либо. Меня зовут Quickshift, и это была моя история.