На просторах нашей родины, как и впрочем и в других странах, огромное количество людей занимаются кардингом. Некоторые из наших могут даже “гордится”, их разыскивает Интерпол.
Мне удалось взять интервью у одного из таких крупных специалистов. Назовем его Игорь.
В начале двухтысячных парень трижды привлекался к суду за киберпреступления. Его приговорили к 15 годам, но через 8 лет освободили условно-досрочно.
Вы думаете это нашего героя остановило? Отнюдь нет.
Через три года выхода на свободу он влез в одно из самых крупных дел о краже персональных данных. Было похищено несколько миллиардов рублей. Естественно, Игорь проворачивал это мероприятие не один. Группу поймали, следствие сегодня еще не закончено, парень находится под домашним арестом. Срок ему грозит значительный. Не жалеет ли он, что вступил в киберпреступный мир? Раскаивается ли в содеянном? Эти и другие вопросы мы задали Игорю.
- Как и почему вы стали кардером?
- Честно говоря, все получилось случайно. Еще старшеклассникам на каком-то сайте увидел предложение о продаже достаточно хорошей современной электроники по низкой цене. Заинтересовался‚ стал копать, быстро понял, что товар покупается за ворованные кредитки. Пошел дальше, нашел объявление о продаже номеров кредитных карт (на сленге мы называем их «СС», от англ. сredit cart). Быстро понял, что можно попробовать отовариться в интернет-магазине за чужой счет, получилось, так и втянулся.
- А вы понимали, что это преступление?
- Разумеется. Потому всегда был очень осторожен. Никогда не давал адреса доставки, хоть как-то указывающие на меня. Собственно, для этого существуют дропы:
случайные знакомые, дворовые алкаши (только двор должен быть на другом конце города). За бутылку или мелкую услугу такие люди всегда готовы принять посыпку, тем более, доставку я всегда оплачивал.
Вещевой кардинг очень популярен во всем мире.
- А можно предотвратить нападение кардеров?
- Элементарно. Самое простое:
установить sms-оповещение о каждой операции с вашей банковской картой, хорошо помогает дневной лимит снятия, если выехали в другую страну, не снимайте там наличку, поставьте запрет на данную операцию. И никогда не давайте свою кредитку в руки посторонним, даже официанту в ресторане. Пусть принесет терминал, вы сами засунете карту, нажмете на нужные кнопки и вытащите ее.
Когда снимаете наличные в банкомате, обязательно внимательно его осмотрите: нет ли никаких посторонних предметов. Чаще всего это различные накладки, позволяющие копировать персональные данные. И в принципе, старайтесь снимать деньги в аппарате, установленном в банке или крупном торговом центре. Там они регулярно проверяются службой безопасности, да и нахимичить в таких помещениях гораздо сложнее. И конечно, не пишите пин-код на своей карте, не носите его в кошельке, в кармане.
- А что скажите про Интернет?
- Расплачивайтесь только на сайтах сто раз проверенных магазинов. данные с таких
порталов передаются по защищенному протоколу ssl (https).
- Получается, владелец кредитки сам виноват, что лишился денег?
- Не всегда. Часто вина лежит и на банке. Массово данные о кредитках воруют из крупных ритейл-сетей типа Walmart . Хакеры их взламывают и утаскивают сразу
миллионы персональных данных. По нашему делу зафиксировано больше 150 миллионов кредиток.
Как говорится, если один человек построил, другой всегда сломать может. Безалаберность владельцев карт, банков, торговых сетей, ресторанов играет нам на руку. Далеко не каждая организация надежно защищает свои компьютерные сети, далеко не все, устанавливая технику, сохраняют по умолчанию заводские пароли.
- А защищают от кардинга чипы и 3D Secure?
- Карты с чипом взломать, конечно, сложнее, но хорошему хакеру вполне посильно. По поводу 3D Secure - в Интернете полно сайтов, где можно провести платеж без ввода
одноразового кода, приходящего в sms-оповещении. Однако с каждым годом таких ресурсов становится все меньше. 3D Secure, естественно, работает, но данную систему тоже можно обмануть. Кардеры на сайте вашего банка меняют номер телефона, привязанный к карте, запрашивают одноразовый пароль ну и так далее. Операция не простая, не буду ее описывать досконально. Но повторюсь, возможно все.
Хотя в последние годы платежи в Интернете стали намного безопаснее.
И еще один совет. Пришло смс от банка. Вас просят обновить данные кредитки, ввести номер и пин-код. И вроде сообщение с номера вашего банка, например у Сбера это 900.
Запомните, банки никогда не рассылают подобных сообщений! Это жулики. И да, вам укажут сайт, где нужно провести операцию, и он один в один будет неотличим от сайта вашего банка.
- Вы жалеете о содеянном?
- После первой отсидки решил, что больше в тюрьму не хочу. Не желаю обманывать людей, приносить им страдания. Открыл
свой бизнес и... быстро понял, задачи те же, что и в криминале:
обойти конкурента, не важно каким способом, взятки, откаты, нужные связи... Я честно старался сделать жизнь людей лучше, проще, экономнее, защищеннее. Ну и, естественно, заработать. Деньги пока еще никто не отменял. Не получилось…
- А вы знаете black-hat хакеров, которые стали честными людьми?
- Только Кевина Митника. Он занялся тестированием сетей крупных организаций на уязвимость. Основал компанию Mitnick Security Consulting . Из русских никого не припомню. И не говорите мне, что горбатого могила исправит. Где у нас достойные зарплаты для подобных специалистов? Месячный доход приличного black-hat хакера десятки тысяч долларов.
- Известны примеры сотрудничества хакеров с правительствами в западных странах. Как вы к этому относитесь?
- Очень хорошо сказал Илья Сачков (владелец компании по компьютерной безопасности Group - IB) ‹Правоохранительные органы стран СНГ никогда не берут на работу бывших хакеров, потому что считают, что если человек хоть раз себя запятнал, то он и дальше продолжит заниматься противоправной деятельностью, поэтому лучше взять молодого человека после института с кристально чистой биографией».
Иногда его совет работает, однако известны громкие судебные процессы над сотрудниками ФСБ и МВД, которые
проделывали те же фокусы, что рядовые хакеры. Большие деньги большой соблазн.
Мне лично никто и никогда не предлагал сотрудничать, тем более работать, у силовиков. Моим коллегам тоже.
А в постоянную связь хакеров с правительством, даже на Западе, я не верю. Такие случаи единичны, как правило, кого-то поймали на криминале, и он вынужден стучать на друзей-соратников, чтобы самому не попасть за решетку.
- После освобождения вы не думали трудоустроится в сферу информационной безопасности?
- Нет, я ведь не технарь. Я креативщик, в моей голове множество идей, мне интересно выстраивать бизнес. Сидеть сутками за компьютером, отлавливая очередных «червей», троянов, вирусов или хакеров мне неинтересно. Да и денежный вопрос...
- Если кто-то из ваших коллег решил уйти из криминала, чем посоветуете заняться ?
- Можно подумать об арбитраж трафике. Как сейчас принято говорить, кто владеет трафиком тот владеет миром. И это правда. Создать крутой интернет-магазин, конечно, не просто, но гораздо сложнее сделать его выгодным, начать получать хорошую прибыль.
Сегодня на рынке полно предложений от компаний и физических лиц, которые за приличные комиссионные гарантируют мощный поток клиентов. Среди них много жуликов, но есть и серьезные профессионалы.
- Может ли хакер построить по-настоящему удачную карьеру в ИБ?
- Трудно сказать. Знаю одно, много он не
заработает. Потому топ-хакеры, выходя из криминала, обычно открывают свой бизнес. А если уж совсем честно, продолжают прежнее занятие.
-;Законодательство какой страны наиболее жестоко относится к киберпреступлениям?
-Самые большие сроки получают хакеры в США, могут дать и пожизненное. В Беларуси одного моего знакомого судили по статье, предусматривающей до 15 лет лишения свободы. Если в Америке ты соглашаешься на сотрудничество со следствием, открываешь все свои ходы-выходы, пароли -явки, не чинишь препятствий следствию, идешь на определенные уступки, сдаешь подельников (на сколько совесть позволяет), то получаешь намного меньше, чем в той же Беларуси. Не всегда, разумеется, но как правило. И, естественно, американские тюрьмы не чета нашим.
Самые маленькие, даже часто условные, сроки киберпреступникам дают в России или на Украине из-за коррумпированности правоохранительной системы и судебных органов.
- Вы говорите, что в России и СНГ полно киберпреступников, но пострадавших от них не так уж много, почему?
- Мои коллеги редко работают в своей стране. Их главная цель Соединенные Штаты. Там больше денег, крупнее и развитее сетевая инфраструктура, вот он большой куш. У нас и денег-то настоящих нет, компьютеры не в каждом городе, отъехали от Москвы километров на 200 250 и, пожалуйста, папки, архивы, бумажные картотеки, учетные книги. Какие уж тут массовые компьютерные атаки, наподобие последних нашумевших WannaCry и Petyа.
Да и старые воровские законы предписывают не воровать у своих.
Я уже говорил о нищите нашего народа, который и так каждый день государство обманывает, обирает. Так что нам совестно.
А вообще-то сегодня в Интернете можно достаточно хорошо зарабатывать легально. Так что выбирайте свой путь.
