Loe raamatut: «Американская свобода»
Глава 1. Введение в вещевой кардинг
Март 2008 года. После многочисленных проигрышей в букмекерских конторах, скитаний по просторам интернета, в поисках способа заработка в сети, случайно натыкаюсь на неизвестный мне в то время термин – Кардинг. Относительно новый способ заработка, набиравший в то время особенную популярность. Множество непонятных терминов, не имея даже элементарного представления о том, как это все работает, я приступил к изучению этой “науки”. В то время существовало множество форумов этой тематики, одними из самых известных были такие как cardingworld.cc, carder.su, verified. Времена ''планеты'' (carderplanet), shadowcrew, я, к моему большому сожалению, не застал. В последствии какие-то закрывались, люди перебегали с одной площадки на другую, владельцев арестовывали, кто-то уходил из этого бизнеса. Жизнь постоянно кипела в кардерских сообществах. Я жадно штудировал статьи на форумах, пробовал себя в разных сферах деятельности. И вот спустя какое-то время, после очередного вбива (сленг, оплата ворованной кредитной картой) в какой-то интернет-магазин, на мой email пришло письмо с заголовком shipped (англ., отправлено). Моей радости не было предела, и вот спустя несколько дней, дроповод (человек отвечающий за контроль подставных людей – дропов, которые получают на свои домашние адреса посылки с товарами из интернет-магазинов, оплаченные по украденным картам) перечислил на мой интернет-кошелек webmoney $250, по тем временам 7000 рублей. Я просто влюбился в этот прекрасный звук звона монетки, который звучит после поступления денег на твой счёт, в компьютерной программе Webmoney Keeper. Вот именно с этого все и начиналось.
Привлекал меня вещевой кардинг, суть его заключалась в том, что по украденным данным кредитной карты делается заказ в интернет магазине, преимущественно электроники (компьютеры и комплектующие, сотовые телефоны, фотокамеры и т. д.), т.к. это является самым ликвидным и ходовым стафом (сленг, от англ., stuff – вещи) у скупщиков, и за это выплачивают больший процент дроповоды. Менее популярными являются такие товары как: ювелирные украшения, одежда, автозапчасти, и соответственно за них можно получить более скромную денежную компенсацию. Сам процесс происходит в следующем порядке:
1) На форумах находятся продавцы данных кредитных карт, у них покупается так называемый картон (сленг, кардерский термин, обозначающий кредитную карту) той страны, штата, города, где у нас находится поставной человек – дроп.
2) Через сервис на форумах подбирается proxy server или socks, чтобы система интернет-магазина идентифицировала наше местоположение как настоящего картхолдера (владельца кредитной карты).
3) Для скрытия следов своего нахождения в сети, кардеры пользуются VPN серверами (виртуальная частная сеть), чтобы максимально обезопасить себя. В настоящее время, многие сервисы предлагают шифрование вашего трафика через 2–4, а то и больше серверов, находящихся в разных странах. Связка VPN сервер + socks, позволяет свести шансы быть отслеженным по вашим перемещениям в интернете к нулю.
4) Настраивается компьютер, обычно устанавливается варя (сленг, программа VMware), программное обеспечение для одновременного использования нескольких операционных систем на одном компьютере. ОС требуется англоязычная, настраиваются часовые пояса под штат и город владельца карты. Короче говоря, создаём максимальную видимость того, что за компьютером находится настоящий владелец, делающий заказ в интернет-магазине из своего дома, а не мошенник.
5) Немаловажную роль играет время заказа. Нужно обязательно учитывать часовые пояса. К примеру, между США и Россией, как минимум 8 часов различие во времени, и в интернет-магазине будут очень удивлены, почему заказ был размещен поздней ночью, если мы работаем по дневному российскому времени, и поставят нас на ''hold'' (англ., удержание), а нам ведь лишние проверки и задержки ни к чему, правда?
6) Далее, собственно, идет сам вбив в интернет-магазин. Заполняются поля billing address (англ., адрес владельца карты, на который приходят выписки по его счетам) и shipping address (англ., адрес доставки) так указывается информация нашего дропа, куда должны доставить посылку. Express delivery (англ., срочная доставка) вопрос спорный, с одной стороны, в то время, когда будет обработка нашего заказа, погрузка, доставка, владелец карты может заподозрить пропажу денег на своем счете и отменить эту транзакцию. Раньше этот процесс занимал довольно длительное время. Владелец счета получал свой bank statement (англ., выписка по счету) чаще всего раз в месяц, в почтовый ящик, и мог узнать о мошенничестве с его картой только спустя некоторое время. Но сейчас, с появлением различных гаджетов и смартфонов, можно следить за состоянием своего счета 24 часа в сутки, и все это усложняет нашему брату жизнь. С другой стороны, иногда магазины не любят срочную доставку, т.к. им необходимо время для верификации и проверки заказа с целью предотвращения мошеннических действий.
Хотел бы рассказать одну хитрость, кредитные карты Discover и American Express, ''живут'' дольше чем Visa и Mastercard, и chargeback (англ., возврат украденных денег банком на счет владельца) занимает больше времени. Я даже помню бронировал гостиницы, по краденным кредиткам на 1–2 недели, и после выезда, в некоторых случаях, карта оставалась рабочей. Об этом речь пойдет немного позже.
Visa, MasterCard можно заставить работать более длительное время. В платежной системе Visa существует такой протокол как ''verified by visa'', дополнительный уровень безопасности для онлайн-кредитных и дебетовых карт, в кардерском сленге vbv код, а также ''MasterCard SecureCode'', mcsc код соответственно. Суть заключается в следующем: при оплате в интернет-магазине кредитной картой Visa или MasterCard, вас перенаправляют на страницу, где система запрашивает код для подтверждения платежа. Он регистрируется по усмотрению владельца карты, при совершении первой транзакции в интернете. Необходимые данные для этого DOB (англ., date of birth – дата рождения) и SSN (англ., Social Security number – номер социального страхования, которым владеет каждый гражданин США). Я описываю последовательность действий, которые подходят для США, так как практически большая часть моей деятельности в кардинге, была связана с этой страной. Немного я все-таки поработал по Европе и Англии, но, как мне кажется, сама суть всех действий, примерно одинаковая, как и в работе по Америке.
Многообразие различных сервисов, по пробиву dob и ssn, на кардерских форумах, окажет нам помощь в этом вопросе. В конечном итоге у нас имеется кредитная карта со всеми данными владельца, плюс секретный код. Даже после того, как мы оплатили покупку по ней, владелец счета узнает о пропаже денег и заявит об этом в банк, то там ему ответят, что транзакция была совершена с использованием защищенного протокола ''verified by visa'' или ''MasterCard SecureCode''. Visa и MasterCard заявляют о том, что любая транзакция, проведенная таким образом, не может быть отменена или опротестована, и получить возврат средств будет практически невозможно. Настоящий владелец кредитной карты будет рвать на себе волосы, когда узнает об этом, но, к сожалению, ничего уже не сможет предпринять. Большинство интернет-магазинов используют протоколы ''verified by visa'' и ''MasterCard SecureCode'', при оплате заказов, именно поэтому меня привлекали карты Discover и American Express, при использовании которых, и по сей день не требуется никаких кодов, для совершения транзакций в интернете.
Другая проблема, с которой приходилось сталкиваться нашему брату кардеру, это нежелание отправлять товар из магазинов на отличный от billing address. Это означает, что при оплате картой мы вводим платежный почтовый адрес, который указал владелец счета при его открытии, а выбрать для доставки другой, не представляется возможным. Проще говоря, наш американский товарищ Джон, получит посылку на свой домашний адрес, что делает выполненную нами работу абсолютно пустой тратой времени. Несмотря на это мне удавалось забирать посылки, высланные на billing address. Дело было в 2010 году, в Лос-Анджелесе, штат Калифорния. Посылки были разосланы на множество адресов, и я наведывался туда с визитом, и сославшись на чудовищную ошибку службы доставки, которая привезла посылку на неправильный адрес, с помощью моего fake id (англ., поддельное удостоверение личности), забирал их себе. Американцы по своей природе очень честные люди, и не могут себе позволить присвоить то, что было доставлено на чужое имя. Только в последствии выяснялось, что с их счета были украдены деньги, а заказ сделан на то имя и фамилию, которые значились в моем фальшивом удостоверении, но я уже был с посылкой в руках и далеко от их дома. Процессинговая система, обрабатывающая транзакцию по карте, пропускала платеж с подменой имени владельца, а billing address оставался без изменения.
Тот, кто не мог поступать таким образом, как я, действовал следующими способами: на форуме находился сервис, предоставляющий услуги прозвона (сленг, ребята занимались звонками в банки, магазины, платежные системы и другие места, где необходимо было урегулировать вопрос по поводу транзакции с кредитной карты, пройти процесс верификации, вообщем, решить какую-то проблему, связанную с нашим нелегким бизнесом). Эти сервисы предлагали свою помощь 24 часа в сутки, 7 дней в неделю. Любой человек мог связаться с службой поддержки или оставить свою заявку через их web панель. Звонки осуществлялись мужскими и женскими голосами, на различных языках.
В нашем случае, в заявке указывалась необходимость смены billing address кредитной карты на адрес нашего подставного человека, который будет принимать посылку. Предоставлялись все данные владельца счета, телефон банка и т.д. Процесс занимал 10 минут, в некоторых случаях, после их звонка, адрес меняли в течении нескольких дней.
Другим способом являлась самостоятельная смена адреса через систему online banking (англ., доступ к банковскому счету, посредством интернета). Через сервисы на тех же форумах пробивались DOB, SSN, MMN (англ., Mother's Maiden Name – девичья фамилия матери, её требовали банки, как секретный вопрос для доступа к счету), и далее через web сайт банка регистрировался доступ к нашему счету. После, уже находясь в самом аккаунте, осуществлялась смена адреса. Также менялся телефон и email владельца, чтобы обезопасить нас от sms уведомлений, которые рассылает банк для повышенной безопасности. Если же доступ к счету уже был зарегистрирован настоящим владельцем, то billing address менялся только прозвоном. Этот способ был актуален очень давно, впоследствии множество банков начали регистрировать online доступ непосредственно при открытии счета, а также только при личном присутствии владельца. Задача была усложнена тем, что было много секретных вопросов, верификаций и т.д. В Германии, например, использовали специальную карту с одноразовыми кодами, которые пользователь должен был вводить 1 раз, при доступе к счету через интернет. Выдавали ее только в отделении банка, и на каждый код был нанесен защитный слой краски.
Другим препятствием стало введение интернет-магазинов запроса на отправку копий обеих сторон кредитной карты, а также driver license (англ., водительское удостоверение) или ID, а также выписку со счета, с которого была проведена оплата заказа. Все эти проверки были введены для предотвращения мошенничества с интернет-магазинами, но и это нас не останавливало. Были открыты сервисы, на тех же самых форумах, по сознанию сканов (в кардерском сленге это слово употребляют для всех типов документов, которые нужно изготовить для верификации и подтверждении транзакций). Разнообразие шаблонов копий кредитных карт огромного количества банков поражало воображение. Копии водительских прав любой страны, штата. Выписки с банковского счета под любые данные, максимально приближенные к оригиналу. Даже на фотокопии можно было увидеть следы потертости и помятости бумаги. Качество было просто поразительное, выглядело абсолютно правдоподобно. Услугами этих людей пользовались не только те, кто занимался вещевым кардингом, но и кто был задействован в сфере покера (по ворованным кредитным картам пополнялись игровые счета в интернет-покере, деньги с аккаунтов ''сливались'', т.е. проигрывались человеку, который находился одновременно за виртуальным столом, затем благополучно выводились с игрового счета на банковский аккаунт или другим способом обналичивались). Именно этим и занимался один русский товарищ из Майами, арестованный ФБР в начале 2012 года.
Последняя, финальная стадия, в вещевом кардинге, была связана с получением нашим подставным человеком посылки. Эти люди находились несколькими способами:
Разводные дропы – подставные люди, введенные в заблуждение, найденные посредством постинга (сленг, размещения предложений о вакансии, на сайтах по поиску работы) или рассылки по email. У дроповода (человека, который осуществлял контроль за ними) была легенда, в которой чаще всего была какая-то якобы зарегистрированная компания, плюс web сайт, сотрудник которой отвечал на телефонные звонки и электронную почту, с вопросами от дропов. Она занималась посредничеством или перепродажей товаров с интернет-магазинов или аукционов США в страны СНГ и России. Все было грамотно и красиво оформлено, американцам только требовалось получать посылки на свои домашние адреса, и пересылать их по указанию непосредственного начальника – дроповода в страны бывшего Советского Союза. За каждую отправленную коробку он выплачивал денежное вознаграждение, обычно не очень большое по $20–40. Но подставные люди были заинтересованы в долгосрочной работе, тогда они могли зарабатывать уже порядка $500 в неделю и более, в зависимости от того, какой объем посылок успеют получить и переслать, до того, как с неожиданным визитом к ним нагрянут агенты ФБР.
Неразводные дропы – этот тип людей был в курсе всех махинаций, и знал, что полученные по почте коробки, были оплачены посредством ворованных кредитных карт. У них же запросы были побольше, и вести дела с ними приходилось за фиксированный процент от стоимости вещи, которая была в посылке. Обычно это было 30%, но когда речь шла о дорогостоящих фотокамерах фирм Canon, Nicon, ''яблочном стафе'' (Apple) и другого рода подобных вещей, то приходилось выплачивать им до 50–60%. Иногда работали 50/50, это означало, что при получении двух одинаковых товаров, к примеру 2 ноутбука, один отсылался тому, кто скардил (сленг, осуществлял весь процесс заказа в интернет-магазине), а другой оставался у человека, который непосредственно принимал посылку.
В основном заказы всегда делались на имя владельца карты, то есть на адрес приходила посылка с его именем, в США курьерские службы UPS, Fedex не спрашивают удостоверения личности при доставке курьером, а если человека нет дома, просто оставляли коробку у входной двери. Никому и в голову не приходило, подойти и ''приватизировать'' оставленную без присмотра посылку. Представьте себе, что бы было, если бы такое произошло в России, Украине, или другой стране СНГ? У меня даже в голове не укладывается подобное. Другое дело обстоит с USPS (United States Postal Service – государственная почтовая служба США). Если человек отсутствовал во время визита курьера, то на входной двери оставлялся приклеенный стикер, с которым нужно было ехать в ближайшее отделение USPS, и с удостоверением личности забирать посылку. В таком случае требовалось указывать настоящее имя нашего подставного человека.
Всегда возникал вопрос, кто будет оплачивать стоимость пересылки коробки из США, допустим в Россию? Но и это не являлось проблемой. Как вы уже, наверное, догадались, на тех же самых форумах были люди, которые изготавливали карженные лейблы (сленг, предоплаченная услуга по пересылке, почтовых служб USPS, Fedex, UPS, DHL). Они оплачивали теми же самыми ворованными кредитными картами, стоимость транспортировки нашей посылки, и пересылали клиенту их сервиса лейблы, так называемые документы, которые приклеивались к лицевой части коробки. Подставной человек просто приносил в ближайшее отделение почты или офис курьерской службы упакованную коробку, с приклеенным на него оплаченным лейблом, и отдавал ее. На моем лице появилась улыбка, когда, находясь в почтовом отделении, я увидел американца с огромным количеством больших и тяжелых коробок, при вопросе – куда это все отправляется, он ответил: ''This is for my friend in Russia'', ''Это для моего друга в Россию''. Ну я-то уж знаю, что у него там за друг, не удержавшись я начал смеяться прямо там, стоя в очереди.
Самыми популярными лейблами по пересылке были USPS. Так как они проходили нашу российскую таможню с большими лимитами, без оплаты налоговой пошлины, быстро и без особых проблем. В то время как в UPS, FedEx, DHL было ограничение до $200, на содержимое посылки, и если они выясняли, что внутри находится больше, то уже можно было забыть про нее. Так как на взятку таможеннику придется потратить больше, чем останется с продажи товара, находившегося внутри.
Непродолжительное время я работал с немецкими и английскими магазинами. Принцип абсолютно тот же, что и с США, только везде есть свои нюансы. Тогда в 2008–2009 годы, английские магазины одежды отправляли свой товар напрямую в Россию, поэтому я успел урвать для себя разных шмоток, большую часть распродал. Помню еще я заказывал комплекты электронных сигарет, сумма заказа составляла $400–500. Продажи не приносили мне особо большой выгоды, но сам факт того, что американские магазины шлют товар напрямую в Россию, не мог меня не радовать, и я брал объемом, заказывая по 10 разных комплектов, в течении нескольких дней на разные адреса.
Была еще одна интересная вещь с английскими магазинами. В billing address я вставлял адрес доставки в России, и транзакции, к моему большому удивлению, всегда проходили. Ни одной отмены заказа не было, все отсылали в срок. Видимо эти магазины совсем не использовали систему AVS (Address Verification System – система проверки и сопоставления настоящего billing address, с введенными на сайте данными).
Все, в то время, было хорошо. Потихоньку работал, денежка хоть не очень большая, но стабильная, поступала на мой счет. Но в один прекрасный день мне захотелось большего, и я перешел к изучению раздела форума «Реальный кардинг». Вещевуху я не забывал, продолжая одновременно работу и по ней, но большую часть своего времени я старался посвятить абсолютно новому направлению, на которое у меня были большие надежды.
Глава 2. Реальный кардинг
После начала изучения этого принципиально нового направления, для меня это стало большим чем просто новый раздел. В жизни каждого кардера наступает такой переломный момент, когда он переходит на совершенно новый уровень, который открывает перед ним неограниченные возможности. Краткое описание реального кардинга следующее: подраздел, в котором люди занимаются мошенничеством с кредитными картами, далеко за просторами интернета, в реальности, но сама суть определения кардинга сохраняется.
Скимминг – кража данных карты при помощи специального считывающего устройства скиммера. Злоумышленники копируют всю информацию с магнитной полосы карты (имя держателя, номер карты, срок окончания срока ее действия, CVV- и CVC-код). Узнать ПИН-код можно с помощью мини-камеры или накладок на клавиатуру, установленных на банкоматах. Стать жертвой скимминга можно не только снимая наличные, но и оплачивая покупки в торговых точках. Для копирования данных официанты, кассиры, служащие гостиниц, используют переносные скиммеры или устройства, прикрепленные к терминалу. Впоследствии изготавливается дубликат оригинальной карты, по имеющимся данным с магнитной полосы, и деньги с кредитной карты снимаются.
После нескольких месяцев изучения, я решил рискнуть, и попробовать провернуть весь этот нелегкий процесс самостоятельно. Ознакомившись с ценами, я пришел в ужас, на некоторые модели она достигала до 8–12 тысяч евро. Таких вложений, в тот момент, я себе позволить не мог, и решил ограничиться бюджетным вариантом – собрать скиммер самому. Потратил я примерно $1500–1600, чтобы заказать морду (сленг, корпус для скиммера), плюс необходимую электронику – кишки (сленг, внутренности скиммера). Корпус скиммера был выслан через проводника поезда, проходящего через мой город. Продавец отказывался высылать почтой, из-за опасений в своей безопасности. Все посылки проходят через сканер, и работник почтовой службы обязан уведомить о подозрительном содержимом, и сообщить ''куда следует''. Тогда проблемы как отправителю, так и получателю обеспечены. Электроника для скиммера была доставлена обычной почтой.
Сборка заняла несколько дней, у меня имелась несложная схема по сборке, плюс было необходимо припаять дополнительный источник питания, а также позиционировать головку (выставить считывающую головку таким образом, чтобы при прохождении через нее карты, добиться хотя бы 50% считывания магнитной полосы, при входе и выходе). В моем случае, при имеющейся у меня старенькой модели для банкомата NCR, 50% результат был бы просто ошеломляющим, но я его смог добиться только при тестах на столе. Один раз я тестировал мой скиммер в ''боевых условиях''. В 5 утра, я отправился к банкомату, предварительно сделав несколько тестовых проверок на столе. При подходе на место преступления, у меня сильно стучало сердце, был мандраж, может из-за того, что на улице было холодно, или из-за стресса, и сильно тряслись руки. Докурив сигарету, я прямиком направился к банкомату. Одной рукой я прижимал скиммер, а другой вставлял и вытаскивал карту, чтобы протестировать большим количеством прокатываний. При все при этом я умудрялся снимать все происходящее на свой телефон, находящийся в нагрудном кармане куртки, повернутый стороной, где располагается объектив камеры, к банкомату. Эти 3 минуты, как потом выяснилось из продолжительности снятого видео, показались мне целой вечностью. Когда я вернулся домой, и подключил скиммер к ноутбуку, чтобы скопировать результаты моей утренней прогулки, я пришел в шок, все дампы (сленг, данные с магнитной полосы) были битые (сленг, испорченные). Информация считывалась очень плохо, и, сравнивая результаты тестов скиммера на столе и на банкомате, я пришел к выводу, что он не готов для работы. До камеры и изготовления pinpad, у меня руки так и не дошли, и в течение месяца я нашел покупателя, и продал ему скиммер за ту же самую цену, сколько я на него потратил. Он меня еще потом благодарил за удачную сделку и хорошее качество. Но видимо у него, как и у меня, не хватило терпения, чтобы выровнять головку скиммера, и добиться повышения качества считывания магнитной полосы.
Спустя некоторое время, я приобрел еще один скиммер. Он был выполнен профессионалом своего дела, известным, в то время, человеком на форуме, с никнеймом (кличкой) ATMS. Я купил не напрямую через его сервис, а с помощью другого человека, посредника. Цена оказалась уж слишком заниженной, всего $3000, при его действительной цене от 8000 евро, через сервис ATMS. Модель скиммера была для банкомата NCR. Он был выполнен в корпусе из плотного пластика, и окрашен в цвет максимально приближенный к настоящему. Люди, которые занимаются изготовлением и продажей аппаратов такого же качества, имеют доступ к краске, которую используют на заводах по производству банкоматов. Конечная стадия окраски, играет немаловажную роль, ведь именно она позволит скиммеру оставаться незамеченным, и, следовательно, его можно будет оставить на рабочем месте на более длительный срок, что принесет его владельцу большее количество собранного материала (сленг, копий данных кредитных карт).
Этот скиммер работал по технологии GSM. При пропускании кредитки через картоприемник, данные с магнитной полосы жертвы передавались sms сообщением, по каналу сотовой связи на мобильный телефон. После этого владелец карты вводил пин код на клавиатуре. У него и в мыслях не было того, что она не настоящая, а накладной pinpad, который улавливает все нажатия кнопок, и отправляет все это на тот же самый мобильный телефон, куда приходят скопированные данные с кредитной карты. Люди, которые покупали скиммеры большими партиями и работали организованными группами, GSM аппараты не снимали, а оставляли их на банкомате до полной разрядки аккумуляторов. Так как все аресты происходят именно в тот момент, когда человек идет снимать скиммер. Свою стоимость он уже отработал, и принес прибыль в многократном размере.
В моем случае все развивалось по другому сценарию. После получения скиммера я начал разбираться в его устройстве. У каждого такого аппарата были секретные коды, с помощью который можно перепрограммировать скиммер, то есть настроить получение данных на свой сотовый телефон. Продавец не предоставил мне ничего, у меня не было необходимого програмного обеспечения, ни кодов, ни специального телефона. Я мог лишь наслаждаться красиво выполненным корпусом скиммера, так он у меня и пролежал пока я не нашел на него покупателя, он собирался попробовать перепрограммировать скиммер, и настроить его на правильную работу. Мне предложили ту же цену, за которую я его приобрел, $3000. При проведении сделки, покупатель меня обманул, то есть просто кинул, и я остался ни с чем, без своих денег и скиммера. На этом и закончилась моя работа с реальным кардингом, практически так и не начавшись. Позднее, уже через несколько лет, когда я буду жить в США, я вновь буду заниматься этим, а пока я вернулся в уже ранее мне известную тему – вещевой кардинг.