Сергей Павлович - Как я украл миллион. Исповедь раскаявшегося кардера.

— Среди обывателей распространено заблуждение, что баланс находится на кредитке, но это не так — деньги на ней физически не лежат, кредитка является как бы пропуском к карт-счету в том банке, который ее выдал. Иными словами, она проводит идентификацию владельца счета — может ли он забрать деньги из того сундучка, что стоит в банке. Продавец проводит карту через POS-терминал (от англ. Point of Sale — «торговая точка») — устройство, которое считывает информацию, записанную на магнитной полосе карты, и связывается с банком для проведения транзакции, тот соединяется с процессинговым центром и передает туда данные с вашей карты. Далее процессинг связывается с банком-эмитентом, выдавшим карту, и получает подтверждение или отказ в виде кода. Код успешной авторизации — 00 — APPROVED (одобрено). В противном случае получают запрет на сделку, частенько обыгрываемый в голливудских фильмах («извините, ваш счет заморожен» и демонстративное разрезание карты ножницами). Платежная система типа VISA связывает все звенья этой цепочки воедино, за что и берет до 3,5 % с каждой сделки.

— Это понятно. Но причем здесь «ложная информация»?

— Очень просто — карточка поддельная, я не являюсь ее законным держателем, а значит, любой мой платеж априори считается ложным.

— Кассиры не догадывались, что «пластик» ненастоящий?

— Конечно, нет. Дамп-то был реальным, и деньги списывались с реально существующего счета. Поддельной была лишь сама пластиковая болванка, на которую записывался дамп.

— Что есть дамп?

— Дамп — это совокупность информации, записанной на магнитную полосу кредитки. Состоит из трех дорожек (треков). Первые два используются непосредственно для работы карты, а третий трек предназначен для записи различной служебной информации. Самый важный — это второй трек. Первый трек дублирует основные данные второго — номер карты, срок действия, CVV — код, а также содержит имя владельца карты.

Track1: В4 55990 75607 84214^SMITH/JOHN^1 10210 10000 00000 00000 05270 00000

Track2: 4 55990 75607 84214=11021 01000 00527 00000

Код 101 после срока действия карты указывает на то, что карточка является международной. Если вместо него будет, к примеру, 201 — это означает, что карточка является локальной, то есть по умолчанию работает лишь в «родной» стране. Имея на руках track2, можно легко сгенерировать track1, а вот наоборот сделать достаточно сложно. Для получения наличных в банкомате вполне достаточно только второй дорожки.

— Где ты брал дампы?

— На данный момент существует три способа. Изготавливаются либо приобретаются портативные ридеры (англ. cardreader) — инструменты для считывания магнитной дорожки платежной карты. Самые миниатюрные ридеры, что я встречал, были размером со спичечный коробок и изготавливались в Украине инженерами Boa Factory. Дальше устройства раздаются кассирам в бутиках и дорогих магазинах, официантам в ресторанах, валютным проституткам, и они проводят клиентскую карточку не только через легальный POS-терминал, но и через свой ридер.

Взламывается крупный процессинговый центр банка или торговой сети, через который проходят платежи физических (не виртуальных) магазинов, отелей, ресторанов, и достается база их клиентов. Просто покупаются у тех, кто завладел ими одним из вышеперечисленных способов.

— Дампы ведь нужно еще записать на саму кредитку…

— Конечно. Для этого необходимо специальное устройство, называемое энкодером (encoder). Продаются они совершенно легально и стоят $800–1000. Самая распространенная в кардерских кругах модель — MSR 206. Подключил к компьютеру через USB-порт, вбил дамп в нехитрую программку, провел карточкой через прорезь — и у тебя в руках магнитная копия карты какого-нибудь американского «Буратино».

— Теперь можно идти в магазин? — сделала логическое заключение Галина Аркадьевна.

— Нет, в магазин пока рановато, так как дубликат реальной карточки у нас хоть и есть, но он на куске белого «пластика» (обычно марки CR-80). Продавец в магазине сильно удивится, если ты предложишь ему такую карточку.

— И что делать?

— Договариваешься с продавцом в каком-нибудь приличном магазине, типа: «Вася, у меня такая фигня есть, я приду к тебе, возьму ноутбук и “плазму”, потом продадим и бабло пополам». Это работает — владельцы ресторанов, бутиков и казино отдавали нам 40–50 % наличными от той суммы, что «прокатали», а мы им говорили, что нужно отвечать своему банку, если возникнут проблемы.

— Какие, например?

— Рано или поздно реальный кардхолдер (держатель карты) платеж опротестует. Пожалуется в свой банк, те — в VISA, и вот уже в наше казино нагрянули крепкие ребята из службы безопасности банка, который устанавливал в это казино POS-терминал. Придут и скажут: «Что ж ты, негодник, поддельные карты “катаешь”?» Ну, тут наш олигарх должен глаза пошире выпучить и сказать: «Ниче не знаю. Сейчас кассира, что работала в тот вечер, позову». Зовет Машу. Банкиры ей: