Читаем Kingpin полностью

Commerce Bank — банк средних размеров в Канзас-Сити, штат Миссури — возможно, был первым, кто понял, что происходит. В 2003 году банковский управляющий безопасностью был предупрежден о необходимости проверить клиентские счета, с которых в течение дня были сняты суммы от 10 до 20 тысяч долларов через банкоматы в Италии — он придет в понедельник и обнаружит, что его банк потерял 70 тысяч долларов за выходные. Когда он провел расследование, он понял, что пострадавшие клиенты стали жертвами фишинговых атак, направленных конкретно на похищение номеров и PIN-кодов их дебетовых карт.

Но кое-что в этой истории не имело смысла: коды CVV должны были предотвратить такой вид мошенничества. Без CVV кода безопасности, хранящегося на магнитной полосе карты, украденная при помощи фишинга информация не должна была сработать ни на одном банкомате в мире.

Он копнул глубже и выяснил правду: его банк просто не проверял CVV коды ни в банкоматах, ни при покупках по дебетовым картам, где покупатель вводит PIN для авторизации. На самом деле, банк не мог проводить подобную проверку, даже если бы захотел — сторонняя процессинговая сеть используемая банком даже не передавала секретный код. Итальянские фишеры могли внести любую бессмыслицу в поле CVV и карта была бы принята, как валидная.

Управляющий сменил процессинговую сеть и перепрограммировал сервер на верификацию CVV. Таинственные выводы денег из Италии прекратились той же ночью.

Но Commerce Bank банк был только началом. В 2004 году примерно половина американских банков, кредитно-сберегательных организаций и кредитных союзов все еще не заботились о верификации CVV в банкоматах и при дебетовых транзакциях, поэтому папки входящих сообщений полнились фишинговыми письмами нацеленными на PIN-коды банков, которые кардеры называли «обналичиваемыми».

Citibank — крупнейший национальный банк по размеру вкладов — был самой известной жертвой. «Это сообщение было отправлено сервером Citibank, чтобы уточнить Ваш адрес электронной почты» — можно было прочитать в сообщении из России во время сентябрьской кампании 2003 года — «Вы должны завершить этот процесс, нажав на ссылку ниже и указав в появившемся маленьком окне Ваш номер карты Citibank и PIN, который Вы используете в банкомате.»

Более творческие сообщения в 2004 использовали обоснованные страхи клиентов перед кибер-преступлениями. «Не так давно произошло большое количество попыток кражи персональных данных направленных на клиентов Citibank», — гласило сообщение, украшенное логотипом Citibank. — «Для того, чтобы обезопасить Ваш счет, мы просим Вас обновить PIN вашей карты Citibank». Нажав на ссылку, клиент банка попадал на отлично подготовленное подобие оригинального сайта, размещенное на хостинге в Китае, где жертве предлагалось ввести данные.

Отлично подходившие для прямого снятия наличности, PIN-коды были святым Граалем кардинга. И был Король Артур (King Arthur) c сайта CarderPlanet, который был наиболее успешен в его поиске. Король, как его звали друзья, руководил интернациональной сетью, специализировавшейся по атакам на клиентов Citibank. Он был легендой в мире кардинга. Один из заместителей Короля Артура, американский экспат в Англии, однажды обмолвился коллеге, что Король делает 1 миллион долларов в неделю на международных операциях. И он был лишь одним из многих выходцев из Восточной Европы занимавшихся обналичиванием в Америке.

Макс включился в историю с Citibank по своему: он заразил трояном американского обнальщика под ником Такс (Tux) и начал перехватывать PIN-коды и номера счетов, которые тот получал от своего поставщика. Через некоторое время, он связался с источником поставок — анонимным Восточно-Европейцем, за личностью которого, как подозревал Макс, скрывался сам Король Артур — и откровенно признался ему в том, что сделал: он сказал, что Такс был виновен в безалаберном отношении к безопасности. Для верности, Макс добавил безосновательное обвинение обнальщика в обкрадывании своего поставщика.

Поставщик сразу же прекратил отношения с Таксом и начал пересылать PIN-коды напрямую ему, признав хакера своим новым обнальщиком. Когда PIN-коды начали поступать, Макс передавал их Крису, который вгрызался в них со всей силы. Крис снимал 2000 долларов наличными — дневной лимит банкоматов — затем посылал девочек совершать покупки в магазинах до полного опустошения счета. Он потрошил карты. Максу это не нравилось. Весь смысл обналичивания был в получении наличных, а не в перепродаже вещей лишь за часть их стоимости. Добавив в схему немного изящества, можно было сделать карты более ликвидными.

Затем ему пришло в голову, что он вовсе не нуждается в своем партнере для этих конкретных операций.