Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 26. «What’s in Your Wallet?»

в 10:15, , рубрики: KingPIN, Батлер, информационная безопасность, кардинг, платежные системы, Поулсен, Профессиональная литература

Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 26. «What’s in Your Wallet?» - 1Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».

В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров.

Квест по переводу книги начался летом в ИТшном лагере для старшеклассников — «Шкворень: школьники переводят книгу про хакеров», затем к переводу подключились и читатели и даже немного редакция.

Глава 26. Что в Вашем бумажнике?

(за перевод спасибо al_undefined )

Продажа 100% проверенных свежих дампов (США), скидки:

$11 MasterCard
$8 Visa Classic
$13 Visa Gold/Premium
$19 Visa Platinum
$24 Visa Signature
$24 Visa Business
$19 Visa Corporate
$24 Visa Purchasing
$19 American Express = снижение цены (было 24)
$24 Discover = снижение цены (было 29)
Минимальный заказ — 10 штук.

Продажа по типам карт. Не по BIN’ам (прим. пер. — идентификатор банка-эмитента).

Агрессивный захват, провернутый Максом был совершен с целью объединить силы комьюнити, а не с целью персонального обогащения. Тем не менее, его бизнес по продаже краденных данных с магнитных полос пластиковых карт после объединения форумов процветал как никогда — он получал порядка тысячи долларов в день, продавая дампы кардерам по всему миру, в дополнении к пяти — десяти тысячам, что он получал от партнерства с Крисом.

На публике, во время встреч ФТК (Федеральная Торговая Комиссия) или где бы то ни было, индустрия кредитных карт изо всех сил старалась скрыть последствия учащающихся фактов кражи данных с магнитных полос по всему миру. Visa, лидер в сфере кредиток, поддержал финансируемый промышленностью отчет компании Javelin Strategy and Research (прим. пер. — агентство, занимающееся оценкой рисков и возможностей в областях: мобильные устройства, платежи, многоканальные финансовые услуги, мошенничество и безопасность), которое обвиняло в сложившейся ситуации потребителей (клиентов), а не компании — источники слива данных кредиток и краж персональных данных: 63% произошедших случаев обусловлены потерей или кражей кошелька с последующей кражей данных доверенными партнерами, кражей электронной почты и исследованием содержимых мусорных контейнеров (Dumpster diving).

Доклад был весьма обманчив — велся только подсчет случаев, в которых жертва была в курсе каким способом была украдена информация. Частные данные компании Visa говорили о реальном состоянии дел. Украденные кошельки не были основным источником мошенничества с середины 2001 г. — кража данных карты с сайтов электронной коммерции била все рекорды роста среди других типов мошенничества с картами, выдавая при проведении транзакции по телефону или в интернет в качестве результата фальсификацию — «не предоставлена информация по карте» (card-not-present, такой тип мошенничества был наиболее распространен в то время).

В 2004 г., когда украденная с магнитных дорожек информация стала массовым товаром в андерграунд комьюнити убытки по поддельным картам выросли с такой же стремительностью. В первом квартале 2006 подделка карт в стиле Криса Арагона (Chris Aragon) выбила с первого места вид мошенничества card-not-present, превысив $125 млн ежеквартальных потерь банков-партнеров Visa (без учета остальных видов мошенничества).

Почти все эти потери были связаны с появлением прейскурантов как у Макса. На форуме Carders Market росло количество страниц с положительными отзывами о продавце Digits и, конечно, росла его репутация как честного торговца. Это было предметом гордости Макса и знаком отличных от большинства нравственных ценностей, что было присуще ему с детства. Макс мог с огромным удовольствием взломать кардера и скопировать всю хранившуюся на его жестком диске информацию, но если клиент заплатил ему за информацию, то он даже не рассматривал вариант какого либо вмешательства.

Щедрость Макса тоже была в почете. Если у Макса были дампы с близящимся к завершению сроком годности, то он предпочитал отдавать их бесплатно, а не оставлять лежать без дела. Примерное ведение бизнеса и качество продаваемого продукта вывели Макса в пятерку лучших дамперов (dumps vendors) в мире, хотя обычно на рынке доминировали продавцы из Восточной Европы.

Макс был осторожен с процедурами автоматической продажи (вендинга, vending). Отказываясь продавать дампы по BIN’ам (bank identification number, идентификатор банка-эмитента) он утяжелял работу федералам: правительство не могло просто купить двадцать дампов, относящихся к одному и тому же финансовому институту и попросить банк проверить общую (схожую) точку покупки по транзакциям. Вместо этого все заинтересованные лица должны были тесно сотрудничать друг с другом для того чтобы выявить источник.

Помимо этого, только несколько наиболее доверенных соратников знали, что Digits и Iceman это одно и то же лицо — в большинстве это были админы, например, как Крис, канадский кардер под псевдониму NightFox и новый член команды под ником Th3C0rrupted0ne.

Со всеми людьми со сцены, что встречался Макс только Th3C0rrupted0ne имел примерно схожее прошлое хакинга. Будучи еще подростком C0rrupted обнаружил сцену с варез контентом в системах электронных досок объявлений, коммутируемую dial-up модемом, а затем занялся хакингом для развлечения, встав под начала Acid Angel, -null- и прочих хакеров. Он взламывал сайты (defaced) для развлечения и присоединился позже к группе хакеров Ethical Hackers Against Pedophiles — vigilante gray hats (Этичные хакеры против педофилов — добровольцы в серых шляпах (прим. пер. — серые шляпы раньше носили законники, что занимались борьбой с организованной преступность (мафией))), которые боролись с детской порнографией в интернете.

Так же, как и Макс ранее он считал себя хорошим парнем, пока не стал Th3C0rrupted0ne.

Если говорить про другие черты — у них не было ничего общего. Продукт трудного детства в большом городе спальной застройки (big-city housing project) C0rrupted стал наркоторговцев в раннем возрасте и получил первый срок, за ношение оружия, еще в 1996 г., когда ему было 19 лет. В колледже от начал делать поддельные удостоверения личности (идентификаторы, IDs) для друзей и как-то раз его интернет исследование (речь идет о поиске способов подделки удостоверений) вывело его на fakeid.net — электронная доска объявлений, где такие эксперты как ncXVI начинали свою деятельность. Он закончил университет, получив возможность устроиться на низкооплачиваемую работу и заниматься мошенничеством с кредитными картами, как раз в то время, когда Shadowcrew прекратила своё существование, а затем поиски привели его к наследникам прекратившей существования доски. (He graduated to small check and credit card scams around the time Shadowcrew went down and then found his way to the successor sites.)

Дипломатичность и спокойствие C0rrupted повсеместно нравились участникам сцены и он наслаждался модерскими или админскими привилегиями, что ему давали на большинстве форумов. Макс поручил ему позицию администратора на Carders Market летом 2005 г. и сделал его неофициальным представителем после враждебного поглощения (hostile takeover). Примерно спустя неделю после того, как C0rrupted занялся полномочия админа Макс посвятил его в свой секрет о том, что и Iceman, и Digits, оба этих псевдонима, принадлежат Максу.

«Очевидно же, что Digits — это тоже я. Мог бы сказать это прямо после того, как я спалился в ICQ (говоря о нашем «форуме» и прочих вещах).
Вообще это довольно большая заноза в заднице — держать это в тайне от людей, которых я знаю и которым я доверяю, например, от таких, как ты. Вот как-то так …

В любом случае, разница такова, что Iceman полностью в рамках закона. Digits — наоборот, нарушает его. Я считал, что если я смогу разделить две деятельности таким образом, то не будет никакой легальной опоры на которую можно будет опереться, заняв позицию администратора после «меня» (I assumed if I could keep it separate there would be no legal leg to stand on for coming after “me” as the forum admin.).»

Крис оставался наибольшей угрозой для безопасности Макса. Каждый раз, когда они сталкивались лбами Макс помнил о том, что он уязвим и он имеет дело с единственным кардером, который знает его в лицо и причастен к его реальной личной жизни. «Я не могу поверить, как много ты знаешь обо мне» — выдавил он, со злобой на самого себя.

Тем временем Крис пытался приобщить Макса к идее о том, что им нужно заняться чем-то серьезным, сорвать куш, что заставит их выйти из криминального бизнеса и заняться чем-то легальным, как вариант, основать новый легальный стартап для Криса в округе Ориндж. Он сделал диаграмму и пошаговый план для обоих и назвал его «Whiz List» («Список виртуозов»).

Предполагалось, что Макс проникнет в банковскую сеть и получит возможность перевести миллионы долларов на счета, что даст Крис. Он должен довести до конца то, чем он занимался с самого начала их партнерства, с того самого времени, когда он работал из гаража Криса, когда он взламывал маленькие банки, счета и займы. Он обладал доступам к сотням таких счетов и займов и мог перевести деньги со счетов клиентов — нужно было лишь только желание. Но финал схемы завис в разработке по вине Криса. Он должен был найти безопасное пристанище для денег, что украдет Макс — какое-нибудь оффшор-хранилище, куда они могли бы перевести деньги без риска, что пострадавший банк отзовет перевод.

Пока ему это не удавалось.

Таким образом, в сентябре, когда Макс обнаружил критическую уязвимость нулевого дня в новом Internet Explorer он поделился этой новостью не с Крисом, а с другим партнером, который обладал большими познаниями в международных финансах — администратором Carders Market под ником NightFox.

Брешь в безопасности была катастрофическая — еще одно переполнение буфера, на этот раз задуманное для отрисовки векторной графики на стороне клиента (посетителя страницы). К сожалению для Макса, хакеры из Восточной Европы нашли уязвимость раньше него и уже во всю пользовались ей. Компания компьютерной безопасности уже обнаружили эксплойт от русских хакеров, что заражал компьютеры при посещении порно сайтов и отправили его в Microsoft. Департамент внутренней безопасности издал довольно тупое предписание для пользователей IE — «Не открывайте нежелательные ссылки».

Уязвимость была известна, но патча еще не было. Все пользователи IE были уязвимы. Макс получил эксплойт русских хакеров ранним утром 26 сентября и с нескрываемым энтузиазмом поспешил поделиться им с NightFox.

«Предположим, что мы получим бесплатный билет на аттракцион — поимей любую компанию сегодня», Макс написал в системе обмена сообщениями Carders Market. «Ок, пожалуйста. Никаких ограничений. visa.com. mastercard.com. egold.com. Любой электронный ящик сотрудников для любых целей. Google. Microsoft. Не важно. Всех можно поиметь хоть прямо сейчас.»

Microsoft выпустил патч позднее в тот же день, но Макс знал, что даже компаниям, относящимся к безопасности со всей серьезностью понадобятся дни или недели на установку обновления на все компьютеры сотрудников. Русский эксплойт уже был обнаружаем антивирусными программами, поэтому он внес в него изменения, чтобы характерные особенности отличались (signature) и прогнал через свою антивирусную лабораторию чтобы убедиться в отсутствии возможности обнаружения.

Единственное что оставалось — социальная инженерия — Максу нужно было обмануть свои цели чтобы они посетили веб-сайт с эксплойтом. Макс остановился на выборе доменного имени financialedgenews.com и разместил его у хостинг провайдера ValueWeb.

NightFox вернулся со списком целей — CitiMortage, GMAC, Experian’s Lowermybills.com, Bank of America, Western Union MoneyGram, Lending Tree и Capital One Financial — один из самых крупнейших эмитентов кредитных карт в стране. У NightFox были обширные базы с внутренними адресами сотрудников компаний, которые он получил от компании «конкурентная разведка» (acquired from a “competitive intelligence” firm) и он отправил Максу тысячи адресов каждой компании, на которую они нацелились.

29 сентября Макс зарядил в свой спам софт адреса и начал выстреливать персонализированным письмом в своих жертв. Отправителем письма числился «Gordon Reily», с обратным адресом g.reily@lendingnewsgroup.com.

Я репортер Lending News и я расследую (doing a follow up story) недавнюю историю о утечке данных клиентов Capital One. Я заметил упоминание имени Mary Rheingold в статье в Financial Edge и хотел бы договориться о интервью для освещения больших подробностей в новой статье.
financialedgenews.com/news/09/29/Disclosure_Capital0ne

Я буду очень признателен если Вы найдете время для дальнейшего обсуждения деталей вышеупомянутой статьи.

Каждая копия письма была кастомизирована (персонализировна), поэтому каждый сотрудник будет думать, что именно его или её имя упомянуто в статье Financial Edge. В Capital One, 500 сотрудников, начиная от руководителей и заканчивая PR представителями и ИТ специалистами получили сообщение. Примерно 125 из них перешли по ссылке и были переправлены на станицу с обычной сводкой финансовой индустрии. В то время как они ломали голову над страницей, скрытый эксплойт (hidden payload) просочился через корпоративный брандмауэр на их машины.

Эксплойт открыл лазейку (opened a back door), позволяющую Максу на досуге проскользнуть на жесткие диски жертв и порыться в поисках конкурентной информации, проанализировать внутренний банковский трафик и украсть пароли. Это не сильно отличалось от того, что он делал с тысячами компьютеров Министерства обороны много лет назад. Тогда, когда это было простое озорство из-за любопытства.

Продолжение следует

Опубликованные переводы и план публикаций (состояние на 24 декабря)

PROLOGUE (Школьники лагеря GoTo)
1. The Key (Гриша, Саша, Катя, Алена, Соня)
2. Deadly Weapons (Юные программисты ФСБ РФ, 23 авг)
3. The Hungry Programmers (Юные программисты ФСБ РФ)
4. The White Hat (Саша К, ShiawasenaHoshi)
5. Cyberwar! ( ShiawasenaHoshi)
6. I Miss Crime (Валентин)
7. Max Vision (Валентин, 14 авг)
8. Welcome to America (Alexander Ivanov, 16 авг)
9. Opportunities (jellyprol)
10. Chris Aragon (Timur Usmanov)
11. Script’s Twenty-Dollar Dumps (Жорж)
12. Free Amex! (Теплица социальных технологий)
13. Villa Siena (Lorian_Grace)
14. The Raid (Жорж)
15. UBuyWeRush (Ungswar)
16. Operation Firewall (Жорж)
17. Pizza and Plastic (готово)
18. The Briefing (Жорж)
19. Carders Market (Ungswar)
20. The Starlight Room (???)
21. Master Splyntr (Ungswar)
22. Enemies (Alexander Ivanov)
23. Anglerphish (Жорж)
24. Exposure (+)
25. Hostile Takeover (fantom)
26. What’s in Your Wallet? (done)
27. Web War One (Lorian_Grace ?)
28. Carder Court (drak0sha)
29. One Plat and Six Classics (+)
30. Maksik (+)
31. The Trial (+)
32. The Mall (Shuflin+)
33. Exit Strategy (done)
34. DarkMarket (Валера ака Дима)
35. Sentencing (comodohacker+)
36. Aftermath (ex-er-sis ?)
EPILOGUE

Автор: th3corruptedone

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js