Глава 6. Дороги

Телевизора в хате не было. Настольных игр, за исключением вылепленных из хлеба шахмат, тоже. В этой камере, 144-й, сидели под следствием в основном наркоманы, алиментщики и те, кому не сиделось спокойно на «химии» (в Союзе это называлось «стройками народного хозяйства»). Смотрящий за камерой, Сергей Макаров, был инъекционным наркоманом с немалым, несмотря на его двадцатипятилетний возраст, стажем и колол в вену все, что было запрещено законом. Наверное, если бы был запрещен аспирин, то Макар бы «вмазывался» и им. От него же я узнал, что если раньше белорусские наркоманы чаще всего употребляли героин, маковую соломку (в сезон) и метадон, то сегодня самым распространенным кайфом стали так называемые бубки – семена опийного мака, какими нормальные люди посыпают булки с маком.

– Пришла эта мода к нам из России, – однажды вечером после выпитой кружки чифиря начал Макар. – Вместе с технологией экстракции опия. По закону весь пищевой мак, продающийся в торговой сети, должен проходить термообработку, которая разрушает содержащийся в нем опий. В реальности же обрабатывают не больше 10 % всего мака.

– Сколько сейчас героин в Минске стоит? – перебил я Макара.

– Герыч и «витамин» – по 40 баксов за грамм, метадон – 140.

– А «бубки»?

– Три года назад, в 2001-м, когда еще никто в Минске не знал, что пищевым маком можно колоться, его цена составляла около $3 за 1 кг. Сегодня – от тридцати и выше. Для кого-то это крупный бизнес.

– А что такое «витамин»? – полюбопытствовал я.

– Амфетамин. Синтетический аналог кокаина. Неплохо «ускоряет», но мне не нравится – это больше для дискотек. Подельники есть у тебя? – переключился на другую тему Сергей Макаров.

– Да, – я вздохнул, – к сожалению. Один под подпиской о невыезде, другой здесь где-то плавает.

– Подельники – это плохо, – глубокомысленно изрек Макар. – Хуже нет, когда каждый начинает одеяло на себя тянуть и грузить других. Мусорам это только на руку. Если уж занимаешься криминалом – не важно каким, – делай все один. Одному оно и надежнее, и безопаснее. В какой он хате?

– Кто?

– Ну, подельник твой.

– Пока не знаю. Если увижу его где на коридоре или кабинетах, так спрошу.

– Можешь поисковую написать, – посоветовал мне Макаров. – Эта «малява» по всем хатам централа пройдет, может, и найдется кент твой.

Я написал так называемую поисковую «маляву», тщательно упаковал ее в несколько слоев целлофана от сигаретной пачки и оплавил зажигалкой – «дорога» в нашей хате работала «по-мокрой», через унитаз. Как устроена эта самая «дорога» – тюремная почта, о которой ты наверняка слышал? Для начала нужно сплести «коня» – самодельную веревку из заранее распущенных вязаных вещей. Делается это методом кручения: четыре-пять тонких ниток складываются вместе и перекручиваются между собой, затем складываются пополам и еще раз перекручиваются – получается тонкая и относительно прочная веревка. К одному ее концу прикрепляются «ежи» – сделанные из спичек колючки, или «поплавки»– туалетная бумага, запаянная в целлофан. В соседней хате делают то же самое. Затем два «коня» опускаются в дольняк и с помощью большого количества воды попадают в канализационную трубу, где спутываются между собой. Все, «дорога» наведена. После сработки один из «коней» убирается, а на другом гоняются «малявы» и грузы – в основном чай и сигареты.

По всем хатам централа поисковая «малява» проходит в среднем за два дня. Я отправлял ее дважды, и ни в одной из хат, через которые она прошла, не оказалось моего подельника и когда-то доброго знакомого Паши Воропаева.

– Макар, – обратился я к смотрящему за хатой, – поисковая дважды ни с чем вернулась.

– Такое случается. Посмотри на эту «маляву» внимательно: там отмечены номера всех хат, через которые она прошла. Значит, в этих хатах твоего кореша нет. Но здесь ведь отмечены, – он взял в руки мою «маляву», – далеко не все хаты, которые есть на тюрьме. Есть ведь еще и нерабочие, где навести дорогу по разным причинам невозможно, и откровенно «красные» хаты, где сидят коммерсанты, таможенники, менты и всякое сучье – не исключено, что твой Воропаев в одной из таких хат. Это у нас тут братский ход… В других камерах срабатываются по воздуху. Это если в соседних хатах окна недалеко друг от друга находятся. Одна хата делает «ружье» – полую трубку из плотной бумаги, чаще всего из журнальных листов, и клейстера – самодельного клея из пережеванного и пропущенного через простыню черного хлеба, а также волан – конусообразный дротик из бумаги, утяжеленный тем же хлебом. К волану привязывается «контролька» – тонкая плетеная нить из синтетического носка. Волан из этого самодельного духового ружья выстреливается в сторону соседней хаты. А там уже ловят его «причалом» – самодельной палкой, сделанной из тех же журнальных листов и клейстера. Сработались, потом «конь» запускается, и все как обычно. «Дорога» – это святое, кровеносная система любой тюрьмы, без «дорог» прекращается общение, не решаются общие вопросы, не знаешь даже, что творится на соседнем корпусе – вдруг мусора или суки бьют кого, а от одной «малявы» часто судьба человека зависит – мало ли какие показания с подельниками нужно согласовать или еще какой вопрос серьезный решить. От показаний зависит очень многое в твоем уголовном деле. Вот взять, к примеру, дачу взятки. Сунул «десятку» гаишнику, стало об этом каким-то образом известно – все, держи дачу взятки. Ан нет, всегда можно сказать – если диктофонной или видеозаписи нет, конечно, – что гаишники у тебя деньги вымогали, сказали: «Не дашь лавэ – заберем права». Взятка, данная под угрозой или вымогательством, таковой не считается. Или еще пример: статья 214 УК РБ, «Угон». Скажешь, что хотел автомобиль на запчасти разобрать и так продать – это уже не угон, а кража, и часто за нее наказание меньше, чем за «просто покататься». Тут уже надо в зависимости от стоимости автомобиля смотреть, чтоб не вышла кража в особо крупном…

Глава 7. Все врут, или тринадцать способов получения PIN-кодов

– Вернемся к нашим баранам, точнее, PIN-кодам, – заявила моя адвокат во время своего следующего визита ко мне. – Итак, где ты брал «пины» к карточкам?

«Пины»… В свое время Boa – лучший в мире кардер – говорил: «Если вдруг в очередной раз вы где-то увидите, что кто-то продает дампы с «пинами», – не верьте глазам своим. Дампы с «пинами» – это все равно что кэш в кармане. А что-то никто пока не продавал $100 за $20. Если $100 отпечатаны в Вашингтоне, конечно, а не в Грозном или Тегеране». Первым, кто это опроверг, стал Dark Elvis.

Все началось с того, что однажды утром моя «аська» буквально взорвалась от кучи практически одинаковых сообщений от моих коллег, партнеров и просто клиентов:

– Ты не знаешь, кто такой Dark Elvis?

– Бро, это не ты, часом, Dark Elvis?

– Плиз, подскажи, где найти Дарк Элвиса.

– Да кто это вообще такой?! – возмутился я. – С чего это он вас всех так интересует? Как с цепи сорвались…

– Кого всех?! – первым ответил мой испанский партнер eNdi.

– Утром andycredit спрашивал, потом Mondeo, сейчас ты…

– Бро, ты случайно не заболел? Обычно ты узнаешь обо всем раньше нас. Элвис продает дампы с «пинами».

– М-м-м, дампы с… «пинами»?! Это было бы слишком хорошо, чтобы быть правдой.

Dark Elvis был все равно что НЛО – таинственный объект, о котором все слышали, но никто его не может найти. О нем было известно только то, что он не сидел в тюрьме, но почему не сидел – неизвестно. Зато все знали, что у Элвиса десятки тысяч дампов с «пинами», кто-то даже видел бин-лист, и, конечно, каждый мечтал первым его найти.

– Auger, поделись контактом Dark Elvis'а, – наудачу написал я в ICQ своему постоянному поставщику дампов.

– Ты шутишь?! – практически мгновенно ответил тот.

– А разве похоже на шутку?

– Ладно, проехали. Контакт не дам, но можешь работать с ним через меня. Тебя что интересует?

– То же, что и всех, – дампы с «пинами».

– Ну давай на мыло зашлю парочку штук на тест. Если о'кей – заплатишь за них $600. Идет?

– Да.

Через несколько часов Auger скинул мне два дебетных американских дампа с PIN-кодами, один Maestro, другой – VISA Classic.

– Когда отработаешь? – последовал вопрос.

– Мгновенно – энкодер под рукой.

Сорок минут спустя я уже потрошил один из киевских банкоматов. VISA не сработала, зато Maestro в два приема «подарил» мне $3 тыс., притом что последние $600 упорно не хотели сниматься – проверка баланса перед началом работы показала, что на карточке было $3600. Наверное, дневной лимит установлен в размере $3 тыс., – догадался я.

– Что ж, попробую «добить» ее после полуночи, когда банки посчитают, что начался новый день. С этой мыслью я взглянул на свои часы и отправился коротать оставшиеся до полуночи два часа в McDonalds на Крещатике. Почему именно McDonalds?

В Киеве самая большая в мире концентрация красивых женщин. Спускаешься в метро – навстречу девушка… одна, вторая, третья… на четвертой твоя голова против воли заворачивается назад, да так, что можно шею свернуть. И по новой – одна, вторая, третья, четвертая. А в McDonalds на Крещатике прелестных украинских девушек еще больше, чем в метро. Киев – это рай для холостяка. Средняя продолжительность жизни мужчин там – всего пятьдесят шесть лет, и на каждого двадцатилетнего мужчину приходится четыре женщины того же возраста.

После 24:00 моя Maestro уже не работала. Я пробовал в нескольких банкоматах, но везде выбивало DECLINE (отказ). Впрочем, получить трешку «зеленых», затратив всего шестьсот, было тоже очень даже неплохо.

– Ну как результат? – замигало окно моей «аськи» сообщением от Auger, когда я добрался до дома и подошел к компьютеру.

– Нормально. Classic – нерабочий. Maestro – о'кей.

– Жду 300 wmz. Кошель знаешь.

– Лови, – я открыл свой Webmoney Keeper и, не откладывая, перевел Аугеру 300 баксов.

– Ага, есть. Спасибо. Тебе все еще нужен контакт Элвиса?

– Да мне, по большому счету, без разницы, с кем работать, – не хочешь «палить» Элвиса, тогда давай работать с тобой.

– Ну давай, – согласился Auger. – Вот условия.

И тут он меня немного разочаровал: один европейский дамп с «пином» предлагался за $2 тыс., нерабочие не обменивались (в отличие от первой тестовой партии), минимальная партия составляла десять дампов. Хочешь – бери, не хочешь – не бери.

Я взял один раз – на $20 тыс. И все бы ничего, да отсутствие замен свело рентабельность этой работы к нулю. Больше я в эту лотерею не играл.

И все же я думаю, что в роли мифического Dark Elvis'а выступал сам Auger…

– Не поняла, какой Auger? – у Галины Аркадьевны не было доступа к моим воспоминаниям.

– Ну Аугер – мой поставщик дампов, который продавал мне и дампы с PIN-кодами.

– А-а-а. И почему ты уверен, что Элвис и Auger – это одно и то же лицо?

– Когда я только начинал работать с Аугером, тот обмолвился, что его напарник Aizek[797] как раз работал над реверсией…

– ?..

– Расшифровкой «пинов» из их базы с дампами. Да и невозможность установить прямой контакт с Элвисом укрепляла меня в моей догадке. Скорее всего, у Аугера – высококлассного киберпреступника с многолетним стажем – было несколько сетевых имен, которые даже его партнеры по нелегальному бизнесу не связывают друг с другом, а считают их принадлежащими разным людям.

– Он не сидит? – отчего-то поинтересовалась адвокат.

– Нет-нет, такие люди не сидят. Когда я общался с Аугером в последний раз, тот собирался, по его словам, прикупить какое-нибудь комфортное кресло в «Газпроме» – пару миллионов долларов они с Айзеком уже заработали, – и навсегда завязать с кардингом. Если птица не садится на гнездо, а поднимается все выше и выше, она в конце концов попадает в сетку птицелова. Тот, кто не чувствует, когда нужно остановиться, нарушает законы природы…

– Как Айзек расшифровал «пины»? – прервала мои философские рассуждения Галина Аркадьевна.

– Основное требование платежных систем к хранению и передаче PIN-кода: значение PIN должно всегда находиться в зашифрованном виде, начиная от его ввода на клавиатуре банкомата или POS-терминала и заканчивая проверкой в «святая святых» любой платежной системы – защищенном аппаратном модуле шифрования (HSM-модуле) банка-эмитента. Этот модуль хранит ключ генерации PIN-кодов, и проникновение в него повлечет за собой компрометацию всех PINob, когда-либо сгенерированных с помощью этого ключа. Поэтому доступ к HSM-устройствам строго ограничен как физически (применяются взломостойкие модули), так и через Сеть.

– Что же сделал Айзек?

– На разных этапах обработки PIN-коды проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто – на взломанный HSM-модуль устанавливается сниффер – программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.

– Почему производители HSM-устройств не закроют эти дыры? – задала логичный вопрос адвокат.

– Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо – по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.

– Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невозможно…

– Everyone lies[1].

– А «пины», которые нашли у Сапрыкина, – перешла к более предметному разговору Галина Аркадьевна, – они откуда?

– В начале 2004 года я познакомился с Black Monarch – одним из модераторов carder.org – первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много – всего штук по пятьсот в месяц.

– Ничего себе! Как вы обналичивали такие количества?

– Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.

– Ты сказал, что Black Monarch «делал» дампы с «пинами». Как он их делал? – оживилась адвокат.

– Вкратце схема такова: берем дамп с оригинальным первым треком – там есть настоящее имя кардхолдера. Заходим на www.accurint.com, вбиваем ФИО жертвы, находим его SSN (Social Security Number – номер социального страхования, который положено иметь всем гражданам США в возрасте от одного года), дату рождения, адрес и телефон – чем больше данных о жертве соберем, тем лучше. Понятно, что если имя холдера будет John Smith, то мы устанем гадать, кто же из тех двух тысяч Джонов Смитов, что выдаст нам в результатах поиска accurint, и есть наш, поэтому дамп нужно изначально выбирать с редкой для Америки фамилией. Дальше идем на сайт банка, выдавшего карту, «энроллим» ее (от англ. enroll – «регистрировать») – то есть открываем онлайн-доступ к карте – и особым образом меняем PIN-код. Правда, сменить его можно было не на всех картах, тогда такие дампы с уже открытым онлайн-доступом к карте, а значит, известным балансом, мы продавали – за 15 % суммы на карте. Рентабельность моей работы с Black Monarch превышала 300 %.

Когда совсем нечем было заняться, я через Skype звонил «терпилам» и под благовидным предлогом разводил их на «пины». Можно это и в автоматическом режиме замутить: жертве позвонит программа-робот, озвучит заранее записанный текст, предупреждающий о подозрительных операциях с его счетом, и проинструктирует клиента сообщить номер его кредитной карты, срок ее действия и PIN-код.

– А что делать, если нет доступа к конторе типа accurint? Где искать SNN и прочие личные данные владельца карты?

– На кардерских форумах хватает людей, которые поставили поиск личных данных американцев на поток. Стоит все удовольствие $3–5. Почему именно американцев? Дело в том, что подробные базы с полной информацией о гражданах, включая сведения о браках и разводах, судимостях, месте работы, движимом и недвижимом имуществе, зарегистрированном оружии, кредитную историю и т. п., есть только в Штатах. По Евросоюзу единой базы нет, только по отдельным странам. К тому же в Америке проживает 300 млн потенциальных потерпевших, а, к примеру, в Бельгии – всего десять. Есть разница?

– Как еще можно узнать PIN-код?

– В последний год серьезные обороты набрал фишинг (phishing).

– ?..

– Искаженное английское fishing («рыбалка»). Пользователям рассылаются сообщения со ссылками на сайты, как две капли воды похожие на сайты настоящих банков, платежных систем, социальных сетей и т. д., где злоумышленники выуживают у доверчивых пользователей ценные личные данные – логины и пароли, номера кредиток, PIN-коды, доступы к различным платным сайтам и прочее. По сути, фишинг – это классическая разводка, искусство выдавать себя за того, кем не являешься. Он основывается на незнании пользователями элементарных вещей – в частности, того, что банки и различные сервисы никогда не рассылают писем с просьбами сообщить свои учетные данные. Фишинг особенно распространен в США, где высокий уровень законопослушности населения – если банк прислал запрос, то на него надо обязательно ответить.

– А для чего фишеры крадут доступы к аккаунтам в социальных сетях?

– Для заманивания новых лохов, конечно. Вероятность того, что участник социальной сети пройдет по присланной от имени друга ссылке, примерно в десять раз выше, чем если бы эта ссылка пришла к нему по электронной почте.

Для защиты от фишинга производители интернет-браузеров уже встраивают в них антифишинговую защиту, но проверка на фишинг увеличивает время загрузки страниц и многие юзеры ее просто отключают. Невнимательность и наивность по-прежнему остаются главной причиной любых проблем. Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то «потеряны» флешки. Нашедшие их сотрудники, недолго думая, засовывали устройства в рабочие компьютеры – видимо, хотели посмотреть, что на них записано. Вот так, без особых усилий во многие корпоративные сети проник «троян».

– Ну а какое отношение «пины» имеют к фишингу? – недоумевала моя адвокат.

– У многих фишеров скопились просто гигантские массивы карт и PIN-кодов. Заметьте, карт – но не дампов. Зато дампы были у нас, кардеров, и некоторые из баз насчитывали миллионы треков. Мне пришла логичная идея сравнить на соответствие базы карт с базами дампов. Сравнение происходило, понятное дело, по номеру карточки.

– Получилось?

– Еще бы. Процент совпадений не превышал 0,3 %, но, учитывая, что и у фишеров, и у кардеров на руках были миллионы карт, это стало для меня отличным заработком.

Также существует, но сегодня уже начинает «умирать», еще одна тема по получению «пинов». Услышал я о ней от американцев еще осенью 2003-го. Фишка заключалась в генерации дампа при наличии на руках только номера кредитки, срока ее действия и PIN-кода. Здесь вновь выручили фишеры – этого-то добра у них хватало. Самым сложным было написать рабочий дамп.

Любой дамп – а для банкомата достаточно только второй дорожки – содержит номер карты, срок действия, а также некий защитный трехзначный код. В системе VISA он носит название CVV (Card Verification Value), а у Mastercard – CVC (Card Validation Code). Возьмем, для примера, кредитный дамп Fleet Bank: 4 30550 0092327108=110210100 00529, CVV в данном случае 529.

Или любимый многими MBNA Bank: 4264294318344118=1201101000 0044500000, здесь CVV – 445.

Кстати, ввели этот защитный код в начале 1990-х после весьма занятной истории.

В 1990 году Королевский суд Винчестера в Англии осудил двоих преступников, использовавших простую, но эффективную схему. Они стояли в очередях к банкоматам, подсматривали PIN-коды клиентов, подбирали чеки, оставленные клиентами после завершения транзакции, и копировали номера карт с них на пластиковые заготовки с магнитной полосой. Таких людей называли трэшерами (от англ. trash – «мусор»). Эта уловка удавалась потому, что банки печатали на чеке номер кредитки клиента полностью (сейчас большая часть скрыта звездочками), и прекратили это делать лишь с 1993 года, после того как по телевидению и в СМИ журналисты опозорили эти банки, подняв шумиху вокруг таких вопиющих случаев халатности. Тогда же платежные системы и придумали коды CVV/CVC – чтобы полностью исключить возможность того, что злоумышленник создаст работоспособный дамп, если подсмотрит номер карты клиента.

Казалось бы, теперь подобной схеме мошенничества поставлен надежный заслон. Но нет – несмотря на имеющуюся возможность контроля и сегодня полно банков, которые ей пренебрегают. В основном этим грешат американские банки, но вычислить их можно только эмпирическим путем – ни один кардер не поделится подобной информацией. Из-за отключенной проверки CVV американские банки потеряли миллиарды долларов. Агентство Gartner подсчитало, что только за 2004 год американские финансовые институты потеряли из-за этой аферы около $2,75 млрд. И это только за один год! В 2004 году примерно половина американских банков не проверяли CVV при банковских транзакциях, а также транзакциях с использованием дебетных карт, требующих обязательного ввода PIN. Citibank, крупнейшая американская финансовая организация, пострадала сильнее всего. PINы стали святым Граалем для кардеров.

– Но все эти способы слишком сложны для обычного человека…

– На каждого мудреца довольно простоты – несмотря на многочисленные предупреждения, многие держатели карт записывают PIN-коды прямо на карточках. В случае утери или кражи в руках вора окажется и карточка, и PIN. Я еще понимаю американцев – у них в среднем около семи карт на душу населения, но наши-то… Если уж и записываете PIN на карте, то делайте это так, чтобы никто не понял, что это он, – запишите его под видом номера телефона, например, где первые или последние цифры номера и будут PIN-кодом. Да, и еще одно: номер службы поддержки банка записан на оборотной стороне карточки. Перепишите его куда-нибудь в мобильник, так как, если карту украдут, начнутся беспорядочные метания в поисках нужного телефонного номера, а этого времени может быть достаточно, чтобы мошенник увел ваши деньги.

И последнее: по правилам платежных систем операции по карте, которые были произведены с вводом PIN-кода, опротестовать невозможно. Когда вы получаете карту, то подписываете документ, где указывается, что вы получили конверт с PIN-кодом. Там написано, что вся ответственность за сохранность этого номера лежит полностью на клиенте. И если клиент этот номер «провтыкал» – это его проблемы. Банк имеет полное право отказать в рассмотрении жалобы о краже денег и будет совершенно прав. Поэтому не сообщайте никому свой PIN-код, равно как и карточку в чужие руки не давайте.

Следующие методы получения PIN-кодов подразумевают определенные физические действия с банкоматом. Для первой аферы нужны ровные руки и суперклей. Заклеиваешь на банкомате клавиши «Ввод», «Очистить», «Отмена» и устраиваешь засаду. Приходит жертва, засовывает карту в щель банкомата, набирает PIN-код, после чего обнаруживает, что нужные клавиши не работают, и уходит – например, в отделение банка за помощью. Тут жулики выскакивают из засады и снимают с карты деньги с помощью тачскрина (почему-то кардхолдеры забывают, что все функции управления продублированы на экране банкомата).

Встречаются также фальшивые платежные терминалы, «посы» и даже банкоматы, которые эмулируют настоящие, но запрограммированы только на сбор дампов и PIN-кодов. Нападения этого вида были впервые описаны в США еще в 1988 году. Мошенники построили машину, которая принимала любую карточку и выдавала пачку сигарет. Данное изобретение было размещено в магазине, а PIN-коды и дампы передавались посредством модема. Трюк распространился по всему миру.

Еще одним источником проблем для банков являются тестовые транзакции. Для одного типа банкоматов использовалась 14-значная ключевая последовательность для тестовой выдачи десяти банкнот. Кроме того, руководство по настройке любой модели банкоматов можно найти в Интернете. В нем подробно объясняется, как перевести банкомат в диагностический режим и перепрограммировать на свое усмотрение – например, убедить машину, что она наполнена однодолларовыми купюрами вместо «двадцаток», и получить не $20, а $400. Конечно, вход в такой режим требует знания специального кода, однако большинство банкоматов используют пароли по умолчанию, которые указаны в руководстве.

По своей сути любой банкомат или POS-терминал – это тот же компьютер. И если «посы» работают на собственных «операционках» типа Unicapt или Telium, то банкоматы работают под управлением Windows, а значит, их можно успешно заразить вирусом. Правда, в большинстве своем сети банкоматов не подключены к Интернету, и единственный способ инфицировать банкомат – это снять с него крышку и подключить к специальному разъему ноутбук с заранее сконфигурированным программным обеспечением. Как раз недавно группа украинских кардеров разработала вирус, после установки которого в банкомат можно снять все имеющиеся там деньги с помощью специальной карточки доступа. Помимо этого, вирус позволяет ввести на клавиатуре банкомата определенный код и получить распечатку всех дампов и PIN-кодов, прошедших через зараженный аппарат.

– А разве банкоматы не оборудованы видеокамерами, которые заснимут подозрительные манипуляции с открыванием крышки банкомата и т. п.? – задала резонный вопрос Галина Аркадьевна.

– В каждом втором белорусском банкомате видеокамеры отсутствуют. Я и говорю – страна непуганых идиотов…

Есть еще такой способ получения PIN-кодов, как траппинг (от англ. trap – «ловушка»). Ты подходишь к банкомату, вставляешь карту, вводишь свой PIN и… ничего. Тут к тебе подходит незнакомец и спрашивает, в чем дело, банкомат, что ли, не работает? Ты пытаешься объяснить и вводишь PIN-код у него на глазах. Естественно, опять ничего не происходит. Деньги не снять, карту тоже не достать – она застряла. Разозленный, ты идешь ругаться в отделение банка. Тем временем незнакомец быстро дергает за кусочек тонкой фотопленки, которая была внутри приемника для карты и мешала считать информацию, и вытаскивает ее вместе с твоей картой – а PIN он уже подсмотрел. Чтобы избежать этого, пользуйтесь простыми правилами: не давайте никому подходить к банкомату в то время, пока им пользуетесь вы, и не слушайте ничьих советов. Проблемы с картой решайте, не отходя от банкомата, если что – звоните в службу поддержки своего банка или банка, установившего банкомат. Вводя PIN-код, прикрывайте клавиатуру свободной рукой. Правда, все эти меры предосторожности не помогут, если мы имеем дело со скиммингом.

– ?..

– Скимминг (от англ. skim – «снимать») – один из самых ненавидимых банкирами всего мира видов кардинга. Скиммер – это незаметное, толщиной всего в несколько миллиметров, устройство, которое вставляется в прорезь для карты и выглядит как обычный считыватель карты, поэтому неискушенному человеку его заметить крайне сложно. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним установлен хорошо замаскированный скиммер, считывающий дамп карты и сохраняющий его во встроенную флеш-память. Существуют и более сложные модели скиммеров со встроенным GPRS-модемом, отсылающие данные по SMS или вообще на «мыло» кардеру. Стоимость подобных устройств на рынке начинается от $8 тыс.

– Постой, а как же PIN-код? Скиммер ведь копирует только дамп…

– Съем PIN-кода в данном случае – тоже искусство.