книги хакеры / Пособие_по_кардингу_Авторская_2021

форуме всегда можно дать объявление, найти что-либо необходимое для себя, проконсультироваться и почерпнуть кучу полезной информации.

David: От себя хочу также добавить, что форум помогает общаться новичкам и продвинутым кардерам, обмениваться опытом, получать ответы на различные вопросы и т.п.

XS: Какими способами лично вы достаете креды? Какой из способов считаете самым оптимальным и безопасным?

David: Как? Я лично не хакер, чтобы ломать направо и налево интернетмагазины, поэтому покупаю картон у знакомых.

Graf: Я беру кредитки у друзей. Считаю это самым безопасным способом, а так креды добываются в основном взломом различных порносайтов, онлайншопов и прочих организаций, принимающих к оплате кредитные карты.

XS: Как происходит торговля кредитными карточками?

David: Креды (картон) можно купить у известных людей оптом, что будет намного дешевле, чем в розницу. Картон продают в основном за WebMoney или за E-Gold. Схема такова: ты отправляешь определенную сумму на кошелек продавцу, а тебе взамен присылают по аське или по e-mail'у картон. IMHO, нет ничего проще!

XS: Какие методы используют онлайн-шопы для борьбы с "ужасными" кардерами?

Graf: Методов борьбы очень много, но нам они уже давно известны и хорошо проработаны. Сначала были простые кредитки, сейчас ввели защитный код cvv2 и cvc. Хотя найти сайты с использованием простых кред тоже еще реально. Есть случаи, когда требуется голосовое подтверждение. Часто требуется выслать сканы паспорта, прав или кредитной карты. Но мы не спим и постоянно придумываем методы противодействия различным защитам.

XS: Совесть не мучает?

David: А почему меня совесть должна мучить? Я же не своих граблю, а в основном жадных буржуев или богатых магнатов. Я же не забираю последние деньги у нищего.

Graf: Нет, не мучает. А за что? За то, что я беру немного денег у зажравшейся нации, таких, как Амеры? Страна, где 60% населения страдают ожирением, которые вечно лезут, куда их не просят, что-то

умную фразу: "Мы сделаем Штаты немного беднее, а Россию и СНГ немного богаче".

XS: Ваша позиция ясна. А знаете такой отдел "К"?

David: Конечно. Знаем и про отдел "Р", и про отдел "К". Вот и используем любые средства, чтобы обезопасить себя от них. Практически все кардеры используют анонимные прокси, VPN и прочие фишки.

Graf: Знаю. Попасть к ним в лапы, конечно, не хотелось бы, но, как говорится, волков бояться - в лес не ходить.

XS: Какая ось установлена у вас на ПК, какую считаете самой безопасной?

David: В данный момент установлен Windows 2000 Pro. Не использую Linux, так как привык к окошкам.

Graf: До появления XP использовал 98, а теперь всерьез подсел на XP. А безопасность в микрософте - понятие относительное :).

XS: У кардера какой-то особый софт на тачке или как у всех?

David: На моем писюке прижились Miranda, WinRar, FlashGet, RusmIRC,

SocksCap, CuteFTP Pro, Internet Explorer, Webmoney, WinAmp и прочие софтинки. А помимо этого использую множество самописного софта, перечислять нет смысла - все noname ;).

Graf: Не буду оригинален: IE, OutLook, ICQ, WinAmp, OutPost...

XS: На чем программируете?

David: PHP, ASP и C++.

XS: А чем занимаетесь в свободное от кардинга время?

David: В свободное время пытаюсь находиться на расстоянии от компьютера :). Отдыхаю как все обычные люди.

Graf: Учусь, тусуюсь в клубах, отдыхаю всячески и по-разному.

XS: Что кардеры слушают?

пластиковые карты!

По методу хранения информации весь этот "пластик" можно разделить на три основных категории: карты с магнитной полосой, скретч-карты и смарткарты. В отдельную группу выделяют пластиковые визитные карточки и прочую сувенирную продукцию, виды правонарушений с их использованием якобы неизвестны. Хотя в метро я несколько раз проходил мимо свирепых старушек, показывая им пластиковый календарик, причем прошлогодний :).

Карты с магнитной полосой

Первое, что приходит в голову, когда слышишь термин "пластиковая карта" - это классические карты с магнитной полосой. Появились они еще в 50-х годах прошлого века. Пионером в использовании новой технологии стала компания Diners Club, а затем к ней присоединилась и American Express. За это время карты распространились по всему миру, на них же и приходится самый большой процент противоправных действий или, попросту говоря, случаев мошенничества и воровства.

Согласно стандарту ISO-7810, пластиковая карта представляет собой прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм. Для защиты этого миниатюрного кусочка пластмассы используются последние технологии в самых разных областях: полиграфии, химической промышленности, разработке программного обеспечения и т.п.

Обычно карта несет на себе следующую информацию:

На лицевой стороне:

уникальный 16-значный номер;

срок действия (от и до);

имя владельца.

На тыльной стороне:

магнитная полоса;

подпись владельца.

Кроме того, полиграфическим способом на карту может наноситься множество изображений: фотография владельца, справочная информация для клиентов банка и т.п.

Буквы и цифры на лицевой стороне могут быть выбиты специальным эмбоссером, а могут быть и просто напечатаны, к примеру, как на картах

Visa Electron.

шифрует введенный PIN-код и отправляет его для сверки с тем, что хранится в базе данных банка, выдавшего карту. Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода, а проведение обратного преобразования (инвертирования) на практике очень неэффективно, даже если банковский ключ стал известен. Эта защита была введена, чтобы защитить держателя карты от действий нехорошего дяди, получившего доступ к банковским базам.

Кроме технических средств, большое значение имеют организационные и административные методы защиты. Они включают в себя целый комплекс мер на самых разных уровнях: от специальных замков на кабинах банкоматов и call-центров экстренной помощи, куда следует обращаться в случае утери или кражи карточки, до правительственного контроля над продажей оборудования для производства самих карт.

Казалось бы, в процессе оплаты по пластиковой карте все настолько предусмотрено, а каждая операция проходит столько различных проверок, что проще, наверное, было бы внедриться в зарубежную разведку, чем украсть деньги со счета. И хотя статистику выявления шпионов от нас скрывают, судя по доступной информации о случаях мошенничества, все оказывается далеко не так радужно, как хотелось бы. При удачных атаках добычей хакеров становится информация о миллионах банковских карт. И такие случаи происходят достаточно часто, чтобы заставить беспокоиться каждого, кто хранит свои деньги "на карточке".

Но проблемы, с которыми сталкиваются люди при использовании пластиковых карт с магнитной лентой, не ограничиваются лишь противоправными действиями. Как и любая другая технология полувековой давности, они имеют ряд редостатков. К примеру, массу неудобств приносит тот факт, что любой магнит может элементарно стереть всю хранящуюся информацию, и даже простые царапины могут повлиять на ее целостность. И это еще не самое страшное, по сравнению с другими "родовыми травмами".

Смарт-карты

Технология смарт-карт, призванная исправить эти недостатки, существует довольно давно. Впервые ими начали пользоваться французы в 1984 году. Но до сих пор они не получили повсеместного распространения. Хотя и были планы, согласно которым к 2004 году все платежные системы собирались перейти на использование смарт-карт, банки все продолжают выпускать старый добрый "пластик".

одинаково, но зато внутри... Начну с того, что у обычных карт никакого "внутри" вообще нет, а у смарт-карт там под позолоченными контактами спрятан микрочип. Он может содержать до килобайта RAM, 24 Кб ROM и 16 Кб перепрограммируемого ROM. В нем есть еще и 8-битный микропроцессор, работающий на частоте около 5 МГц. И все это в упаковке тоньше миллиметра! Понятное дело, что с таким богатством магнитная полоса отпадает за ненадобностью.

Вычислительные возможности процессора позволяют перейти от обычной аутентификации к полноценному применению криптографии. И хотя для пользователя, снимающего деньги, процедура выглядит привычно (ввел PIN-код и готово), внутри системы работает сложный механизм обмена зашифрованными данными.

Для того чтобы обеспечить максимальную защиту этих алгоритмов, на каждом этапе жизненного цикла смарт-карт закладывается свой "секрет". Таким образом, даже если злоумышленники внедрятся непосредственно в технологический процесс, сами карты не будут скомпрометированы.

Процессор внутри каждой карты работает под управлением операционной системы, предоставляющей достаточно удобный интерфейс для разработчика. Именно благодаря этой системе и возможно выполнение программ, запись и чтение файлов, шифрование и проверка криптографических данных. Гибкость ее настолько велика, что корпорация Sun даже разработала платформу Java Card, позволяющую использовать для разработки специализированных приложений свою сверхпопулярную технологию Java.

Существенно увеличенная (по сравнению с магнитной картой) емкость носителя и удобный доступ к хранящимся данным позволяют использовать одну карточку для нескольких типов операций. К примеру, в качестве пропуска, для получения зарплаты и доступа в компьютерную сеть компании. Таким образом ты избавляешься от тугой стопки карт в кошельке, получая вместо них одну универсальную.

Что же мешает внедрению этой замечательной технологии на практике? Как ни банально, все опять упирается в деньги. И дело здесь не только и не столько в разнице стоимости готовых карт. Все дело, прежде всего, в огромной инфраструктуре, обширной сети банкоматов, POS-терминалов и прочей техники, охватившей всю планету. Замена и модификация оборудования, разработка и внедрение программного обеспечения, обучение персонала - трудно даже представить, во сколько все это обойдется.

Из-за этих сложностей смарт-карты пока внедряются на более узких рынках. Например, многие современные компьютеры, особенно

устройства для их чтения. Так как большинство операционных систем поддерживают авторизацию пользователей с помощью аппаратных средств, это позволяет существенно повысить безопасность в компьютерной сети компании. Теперь нерадивые пользователи не будут приклеивать бумажку с паролем на монитор или класть ее под клавиатуру :). Будет достаточно вставить свою персональную (без пошлостей) карту в слот и готово.

В новостях регулярно появляются сообщения о том, что правительства разных стран планируют использовать возможности смарт-карт для создания паспортов нового поколения, размещая в памяти целую картотеку данных по каждому гражданину: биометрическую информацию, медицинскую и страховую истории, ключи персональной "электронной подписи" и т.п.

Скретч-карты

Мошенничество с предоплаченными, или скретч-картами, наиболее распространено. Действительно, несерьезно было бы тратить время и деньги на разработку каких-то хитрых технологий для считывания информации под защитным слоем. К тому же прибыли здесь несравнимо меньше и ограничены. Гораздо интереснее закупить оборудование и организовать производство большой партии "двойников", максимально похожих на карты популярных платежных систем, телекоммуникационных компаний и т.п.

Из-за специфики скретч-карт, их графическому оформлению уделяется особое внимание. Обычно отличия "двойников" от оригинала проявляются именно в деталях, когда не удается повторить более сложный технологический процесс или миниатюрные элементы рисунка. Так, в известном инциденте с распространением поддельных карт "БИ+" опознать их можно было по более широким линиям штрих-кода и способу его нанесения (не над защитным слоем ламината, а под ним). Еще одним различием (более заметным) был повторяющийся серийный номер.

В простейшем случае номера генерируются случайно. Если же преступникам каким-либо образом удастся заполучить базы данных действительных номеров и PIN-кодов, а потом выбросить на рынок подобные подделки… Примерно такие кошмары снятся руководителям служб безопасности крупных интернет-провайдеров и компаний-операторов сотовой связи :).

Именно поэтому многие крупные фирмы предпочитают взять выпуск "пластика" в свои руки. Для этого они закупают оборудование на сотни тысяч долларов, обучают персонал и налаживают собственное производство. Впрочем, зачастую бывает достаточно закупать готовые карты у специализированных компаний, а потом на собственных мощностях наносить на них номера и защитный слой.

Три описанные категории не охватывают все разнообразие карт. Для пропусков и страховых полисов, к примеру, часто используются лишь штрих-коды, а в дисконтных и клубных системах карты могут вообще не нести никакой информации, кроме уникального номера и ФИО. В большинстве случаев повысить относительно невысокий уровень защиты позволяет нанесение фотографии владельца (и на проходной, и в магазине достоверность дополнительно проверяется человеком). А защитить карту от подделки помогает сложная полиграфия, например, нанесение голографического рисунка.

В общем, технологий очень много, а завтра будет еще больше. Хорошо ли

это? Да просто замечательно! Но верно сказал классик: воруют...

Номер карты

Номер карты является первичным источником информации о ней: по нему можно узнать тип карты, банк-эмитент, а также номер счета. Структура может различаться (так, существуют карты Visa с 13 и 16-значными номерами), но по первой цифре всегда можно определить, какой системе она принадлежит:

3 – American Express, Diners Club и некоторые другие системы

4 – Visa

5 – MasterCard

6 – DiscoverCard

Жизнь карты

Первый этап: производство компонентов

После сборки в чип закладывается специальный ключ (fabrication key, KF). Он не позволяет внести в него изменения до непосредственного запечатывания в пластик. KF создается с помощью специальных алгоритмов и с использованием мастер-ключа изготовителя, уникален для каждой выпускаемой карты.

Второй этап: перед персонализацей карты

Готовый чип поставляется компании, выпускающей чистые смарт-карты. На месте он устанавливается на пластиковую основу и тестируется. FK заменяется ключом персонализации (personalisation key, KP). Для дополнительной безопасности на KP устанавливается блок Vper (personalisation lock). Физический доступ к памяти полностью закрывается, а для записи и изменения информации используется только программный

ключи, недоступны для чтения и записи.

Третий этап: персонализация карты

Этот этап выполняется компанией-эмитентом (например, банком). В память записывается специальное программное обеспечение, формируются файлы данных, содержащие информацию о владельце карты, PIN-коде и т.д. В конце данные закрываются блоком Vutil (utilisation lock). После этого карта может выдаваться ее новому владельцу.

Четвертый этап: использование карты

В процессе использования активируются программы, они обращаются к логической файловой системе, запускают механизмы шифрования и т.п. Доступ к данным определяется заложенной политикой безопасности.

Пятый этап: истечение срока действия

Переход к заключительному этапу может быть инициирован двумя способами. Первый выполняется программой, которая записывает последний блок (invalidation lock) на мастер-файл. После этого любые операции записи становятся недоступны, но операции чтения могут быть проведены, например, для анализа хранящейся информации. Другой способ заключается в установке блока на PIN-код и дополнительный разблокирующий PIN-код. В этом случае становятся невозможны все операции, даже чтение.

Многие из нас могут даже не догадываться, что являются пользователями смарт-карт. К примеру, SIM-карта твоего сотового телефона являются той самой "умной картой", но без "лишнего" пластика.

Они есть и у студентов, и у бизнесменов, и у домохозяек - дебетные и кредитные, для проезда на общественном транспорте, оплаты телефонных переговоров, доступа в интернет и т.п.

Согласно стандарту ISO-7810, пластиковая карта представляет собой прямоугольную пластину размером 85,6х54 мм и толщиной 0,76 мм.

На банковских картах на дорожки записываются: номер счета, код валюты, код страны выдачи, имя владельца, срок действия (в принципе, та же информация, что напечатана на самой карте, но в цифровом виде).

Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода.