Computer Crime Problems Research Center

          Роман Горбенко

Кардеры как реальная угроза е-коммерции или война,
в которой  можно положиться только на самого себя

 

Первым делом хочу рассказать для чего пишется эта статья. Могу с уверенностью сказать что кардинг - это существенная угроза  е-коммерциии вообще и е-банкингу в частности. Поскольку в своей аудитории я вижу добропорядочных пользователей имеющих непосредственное отношение к е-коммерции, я хочу напомнить высказывание одного китайского полководца, - “Знай своего врага”. Поэтому, предлагаю вам ознакомиться со всеми технологиями и методами кардеров. Итак, собственно, кардинг – это незаконное использование кредитных карт для покупки различных товаров и услуг. А кардер соответственно человек, который использует ворованные кредитные карточки. Способов получения  номеров кредитных карт в арсенале кардера существует огромное множество. Например, против  “кротов” из числа банковских работников, которые, пользуясь своим служебным положением, могут списать информацию прямо из банковского компьютера,  реально сделать ничего не удастся. Единственное, что в этом случае всё - таки можно положиться на службу внутренней безопасности банка, и на довольно большую зарплату, которая не как не подталкивает сотрудников банка на противоправные действия. Если что-то в этом случае и можно посоветовать так это выбирать не маленький банк, крупные  и солидные банки обычно больше раскошеливаются на службу внутренней безопасности.

 

 

А вот ещё один кардерский приём. Представьте себе такой  телефонный диалог:

 

Вы: Алло

Кардер: Здравствуйте, это Иван Фёдорович Иванов?

 

Вы: Да, слушаю

Кардер: Я менеджер отдела пластиковых карт банка “X». Нам пришёл счёт в котором написано, что вы вчера совершили покупку на 1000$, для таких операций мы должны получить подтверждение.

 

Вы: [В состоянии шока]  а..а не покупал я не чего!!!

Кардер: Странно…. Значит кто-то не законно пользуется вашей картой или мы просто ошиблись

 

Вы: Конечно, ошиблись!

Кардер: Продиктуйте пожалуйста ваш номер и дату окончания действия

 

Вы: [.. после 2-х минутных поисков .] 123456789   03/02

Кардер: Спасибо, не делайте пока не каких покупок, мы свяжемся с вами через несколько дней, всего хорошего.

 

Вот так пользуясь вашим замешательством, кардер завладел номером вашей карты, и могу с уверенностью сказать, что после это с деньгами на вашем счету можно просто попрощаться Главный урок - никогда, никому и не при каких обстоятельствах не говорите номер своей карты.

 

Теперь остановимся на ещё одном очень  распространенном способе за владения номером кредитной карточки. Кардером или группой кардеров организуется сайт, чащё всего это порно-сайт, и чтобы пользователи могли получить доступ к клубничке необходимо заплатить небольшую сумму денег, порядка 5$/год. Естественно вы расплачиваетесь по кредитной карте, и в этом случае могу вас заверить, как только вы это сделаете её номер оказываться в руках преступников.

Главный урок из этой истории не совершайте покупки, на сайтах в которых вы не уверены, это касается не только порно сайтов, но и всех остальных. Дело в том, что сейчас кардеры стали маскироваться не только под порно серверы, но и под обычные на вид интернет-магазины. Верхом наглости для меня является  появление каких-то магазинов в домене третьего уровня, и размещенных на бесплатном хостинге, например я даже встречал магазин вида xxx.narod.ru. Мой вам совет не в коем случае НЕ ПОКУПАЙТЕ  нечего  в таких магазинах. Если магазин не может купить себе собственное имя и хостинг, а ютятся на сайтах таких сервисов как narod.ru,chat.ru,20m.com  и им подобных то он не заслуживает не какого внимания, и является 100% признаком мошенников , притом мошенников самого низкого пошиба.

И поэтому покупать что-то в интернет -магазине, про который вы ничего не слышали, очень не рекомендую, и даже если это не кардеры, то уж очень велика вероятность, что вам доставят товар не вовремя, или вообще “кинут” т.е. не доставят вообще ничего – это я проверял лично на своём опыте. Вообще – то интернет-магазины в Украине это тема для отдельного разговора,  как-нибудь, собрав все истории, которые со мной приключились, я напишу про них  статью.

Самым же распространенным способом получения номеров  кредитных карт является взлом легальных и работающих интернет - магазинов. Дело в том, что интернет магазины это такое же программное обеспечение скажем как ваш Windows, а как следствие оно также содержит ошибки. Для примера приведу следующую историю : недавно одним из хакеров была обнаружена ошибка в очень распространенном ПО для интернет - магазинов cart32. Следствием умелой обработки  хакерами этой ошибки стало получения доступа к базе содержащей номера кредитных карт клиентов этого интернет - магазина. Конечно, весть про эту ошибку с огромной скоростью распространилась в среде кардеров и хакеров, и как следствие по этому шаблону было взломано ещё несколько десятков магазинов по всему миру, но к счастью остальные магазины скачали и установили программу-заплатку устраняющую ошибку. Но где гарантия, что сегодня - завтра не найдется новой ошибки?

Главный вывод -  по возможности делайте покупки в крупных магазинах. И не смотря на то, что сведения о взломе того или иного интернет - магазина приходят тоже довольно часто, но всё же на крупных сайтах более основательно подходят к вопросам безопасности. Все серьёзные интернет - магазины, во-первых, использую очень надёжное ПО, например, в качестве ОС там используется ОС FreeBSD. В сумме с грамотной настройкой и постоянным администрированием – это составляет почти непреодолимую преграду для хакеров. Также там собственно используеться более дорогое и более качественное ПО интернет-магазина, вовремя с сайта разработчика     скачиваються заплатки и дополнения. 

Также, для сведения, вкратце,  расскажу, как отмываются деньги с краденых кредитных карт. Обычно - это покупка компьютерной техники, мобильных телефонов, ювелирных украшений и мелких  автомобильных запчастей под заказ т. е всего того, что компактно для пересылки и легко продается. После получения товар обычно сдается за пол цены  на рынки.

Также одним из распространёных способов отмывания денег с кредитных карт, являеться оплата чужими кредитными картами платных услуг в интернете, например оплата за хостинг, покупка доменных имен, оплата провайдеру за использование Интернет. Конечно кардеры покупают всё это не для себя. Просто через доски обьявлений, форумы ищуться люди которые хотят приобрести вышеперечисленные услуги за треть от нормальной цены.

Почему же сведения о взломе магазинов приходят  так часто, а новости о том, что того или иного кардера или хакера посадили за решётку приходят так редко? Лично мене известно всего несколько случаев, когда отечественных кардеров судили, и то во всех случаях эти сроки были или маленькими или вообще условными. Всё дело в том, что  заказ товаров осуществляется на лица не имеющих не какого отношения ни кардингу,  ни вообще  к компьютерам, вспомните  слова  Жиглова из фильма  “Место втречи изменить нельзя” про “бабаушку-одуванчик” сидящую на телефоне. Кардеры знают, что  посадить человека лишь за факт получения посылки не возможно. Факт передачи от подставного человека к настоящему кардеру засечь органам тоже почти никогда не удается. Но даже, если и удаёться кого то взять то это обычные пешки, тот “серый кардинал” который собственно взламывает магазины остаёться не досягаемым т.к деньги он получает уже через десятые руки, и доказать какую-либо его причастность просто не возможно.  Многие пойманые кардеры на допросе отвечают по специальной инструкции, представляющей собой видоизменённое руководство “Как вести себя на допросе” написаное  террористами из ИРА (Ирландская республиканская армия). Полное соблюдение этих инструкции сводит на нет все действия правоохранительных органов.

Любознательный читатель может возразит, а как насчёт IP адреса который остается в .log файле любого интернет – магазина, и по которому можно вычислить местонахождение любого покупателя, а следовательно и кардера. На это могу ответить лишь следующее - цепочка из нескольких прокси серверов прячет все концы в воду, также многие опытные кардеры работают из библиотек, институтов, крупных интернет кафе, т.е в местах с общественным доступ к компьютеры, как видите в таких случаях привязать конкретный IP-адрес к конкретному человеку просто невозможно. Но будем надеется, что всё измениться к лучшему и правоохранительные органы будут всегда на шаг впереди кардеров, хакеров, да и вообще любых других  преступников. Пока же делайте выводы из этой статьи, очень внимательно подходите к вопросам своей безопасности и читайте мою статью о том, как самим эффективно бороться против кардеров на
http://www.crime-research.org/library/gorb.htm .

           


Главная | Новости | Статьи | Форум
Ссылки | О Центре | Контакты

Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.

.hotlog.ru/?125238 target=_top>