Банковские карты
Jonathan James
Полный разбор банковской карты от бывшего кардера...
Отрывок из книги "Как я украл миллион. Исповедь раскаявшегося кардера".
"Меня зовут Сергей Павлович. В Сети меня многие знают как PoliceDog, panther[757], Fallen Angel, diplomaticos. Говорят, я украл $36 млн."
Примечание: хочу поделиться с вами отрывком из этой книги, где довольно точно описаны виды карт и не только. Кстати всем рекомендую ее прочитать, собственно поэтому и сделал выдержку из нее, дабы стимулировать к ее прочтению.
"Куда бы ты потратил такие деньги? Возможно, с миллионами твоя жизнь была бы особенной, яркой и счастливой? Ты мог бы сделать свою самую сумасшедшую мечту реальностью? Я тратил деньги иногда бездарно, иногда очень умело. Самый красивый способ расстаться с деньгами – это, конечно, женщины. Но самый приятный и, наверное, правильный – стать Санта-Клаусом. Спасти жизнь тяжело больному человеку, оплатив ему операцию в Германии, маме – новую машину, племяннику – компьютер и скутер, маму своей герлфренд отправить в сказочное путешествие к океану, туда же – маму своей бывшей герлфренд. Дать в долг, зная, что не вернут. Исполнить чью-то мечту иногда приятнее, чем свою… Такие мелочи, но я скажу: клево быть Сантой.
– Ты в месяц сколько зарабатывал?
– М-м-м… Ну, где-то $ 30 тыс. (чуть было не вырвалось реальные сто).
– Значит, ты кардер…
– Да. Карточные воры в своей среде называют друг друга кардерами. Своих жертв мы называем кардхолдерами (от англ. cardholder – «владелец карты»).
– Signature что такое?
– VISA Signature – именная карта для очень состоятельных людей.
– А «бин»?
– BIN (Bank Identification Number) – это первые шесть цифр номера карты, по которым можно определить банк-эмитент, который ее выпустил, и ее тип. Вся информация о «бинах» хранится в специальных базах данных – VISA Interchange Directory, Mastercard Member Directory и др. К примеру, BIN 3 71535 – это American Express CENTURION, а если ввести в базу 414750, VISA Signature, о которой я уже говорил, то увидим примерно следующее:
BIN: VISA ©414750
Issuer (эмитент): Merryl Lynch Bank USA
Issuer Phone: 800 – 637-7455
Country (страна): United States
Funding Type (тип счета: Debit, Credit, Prepaid): CREDIT
Card Type (тип карты: Classic, Cold и т. д.): SIGNATURE
Эмитентом пластиковой карты может выступать не только банк. Свои карточки выпускают кредитные союзы и даже крупные магазины (дисконтные карты)
– А что это за «тип счета»? Ты сказал, что моя Electron – дебетная…
– По типу счета все карты разделяются на кредитные и дебетные. На кредитных – деньги банка, которые ты тратишь, а потом раз в месяц возвращаешь. За пользование деньгами банк берет определенный процент. При открытии дебетной карты на счету ноль, и тебе будет доступна только та сумма, что положишь на счет, то есть твои кровные денежные средства. Prepaid-карты, их еще иногда называют gift card (подарочные карты), дают владельцу право на получение товаров или услуг на определенную сумму указанную на карте. Prepaid переводится с английского как «предоплаченная». По сути, это обычная дебетная карта, только без нанесения на нее имени и фамилии владельца. В странах Советского Союза любую банковскую пластиковую карту часто называют «кредиткой» или «кредитной карточкой», однако это не совсем правильно. Ваша Electron вообще ориентирована на студентов и молодежь, а у нас в основном используется для начисления зарплаты…
– А у моего друга какая-то другая VISA, классом повыше…
– Выше Electron стоит Classic – карточка для клиентов, уже имеющих опыт обращения с банковскими картами. Аналогичная карта у Mastercard – Mastercard Standard. Это самые распространенные карты в мире. Они, кстати, позволяют рассчитываться через Интернет, в отличие от Electron. Карты серий Gold (золотые) и Platinum (платиновые) – престижные карточки, подчеркивающие солидность их обладателей. Корпоративные карты (Corporate) предназначены для средних и крупных компаний, сотрудники которых часто ездят в деловые командировки. С помощью этих карточек руководство компании может осуществлять эффективный контроль над расходами своих сотрудников. VISA Business – карты для проведения различных ежедневных платежей: расходов на командировки, оплаты представительских расходов, счетов за офисное оборудование, канцелярские товары, программное обеспечение и т. д. Технически карты «классик», «голд», «платинум», «корпорэйт» и другие ничем, кроме дизайна и стоимости выпуска и обслуживания, не отличаются. Владельцам золотых и платиновых карт многие магазины, страховые компании, фирмы по прокату автомобилей предоставляют скидки и бонусы, хотя большинство держателей карт о них даже не знают. Вдобавок нередко бывает, что с американского «классика» удается снять больше денег, чем с «голд» или «платинум».
– Почему так?
– Я думаю, многие американцы, как и русские, стремятся получить карты класса Gold/Platinum больше для «понтов» – для повседневного использования достаточно и Classic. Зато «снять» в баре знойную красотку будет проще, если светануть перед ней кредиткой «платинум». Ну или ключ от «феррари» на стойку положить…
– У меня VISA, ты упомянул Mastercard… Какие еще кредитки существуют?
– Ведущая платежная система мира – это VISA, около 57 % банковских карточек в мире приходится на ее долю. Главный конкурент, Mastercard, имеет примерно 26 %, третья система, American Express, лидер в области туризма и развлечений, – чуть больше 13 %. Существуют также карты JCB (Japan Credit Bureau – Японское кредитное бюро), Diners Club и Discover.
– Какие из них пользуются наибольшей популярностью у кардеров?
– Любые, на которых есть деньги. Правда, AmEx, Diners и JCB в меньшей степени – ввиду небольшой распространенности карт данных платежных систем в России и Европе. Discover я вживую вообще не видал.
– А самые престижные кредитки какие? Вот у тебя какая была?
– У меня?! – я даже немного удивился наивности вопроса. – Никакой – банки и платежные системы при всем желании не в состоянии обеспечить сохранность денег на карточках. К тому же это «засвет» – отследить историю твоих покупок, а равно и перемещений труда не составляет. А мы все же бойцы невидимого фронта… Что касается карт VIP-уровня, то это VISA Infinite и Mastercard World Signia, а самые престижные карты – символ принадлежности их владельца к верхушке общества – черного цвета: VISA Black Card, черный Diners и American Express Centurion. Они доступны только ограниченному числу очень состоятельных клиентов. За одно открытие Centurion – самой престижной карточки в мире – придется выложить $5 тыс., ежегодная абонентская плата – $2500. Рассчитывать на получение этой карты могут люди, которые тратят $250 тыс. в год и выше. Конечно, и взамен получаешь немало: всевозможные услуги страхования, скидки до 50 % на отели, билеты и прокат авто, бронирование столиков в ресторанах, даже когда «мест нет», возможность пользоваться залами ожидания первого класса в крупнейших аэропортах мира вне зависимости от категории авиабилета, круглосуточный консьерж-сервис, бесконечный кредитный лимит и многое другое. Получая доступ в закрытые клубы для «сильных мира сего», владелец черного «пластика» переходит на новую социальную ступень. Часто это становится основной причиной приобретения карты класса премиум.
Среди обывателей распространено заблуждение, что баланс находится на кредитке, но это не так — деньги на ней физически не лежат, кредитка является как бы пропуском к карт-счету в том банке, который ее выдал. Иными словами, она проводит идентификацию владельца счета — может ли он забрать деньги из того сундучка, что стоит в банке.
Продавец проводит карту через POS-терминал (от англ. Point of Sale — «торговая точка») — устройство, которое считывает информацию, записанную на магнитной полосе карты, и связывается с банком для проведения транзакции, тот соединяется с процессинговым центром и передает туда данные с вашей карты.
Далее процессинг связывается с банком-эмитентом, выдавшим карту, и получает подтверждение или отказ в виде кода. Код успешной авторизации — 00 — APPROVED (одобрено). В противном случае получают запрет на сделку, частенько обыгрываемый в голливудских фильмах («извините, ваш счет заморожен» и демонстративное разрезание карты ножницами). Платежная система типа VISA связывает все звенья этой цепочки воедино, за что и берет до 3,5 % с каждой сделки.
— Что такое дамп?
— Дамп — это совокупность информации, записанной на магнитную полосу кредитки. Состоит из трех дорожек (треков). Первые два используются непосредственно для работы карты, а третий трек предназначен для записи различной служебной информации. Самый важный — это второй трек. Первый трек дублирует основные данные второго — номер карты, срок действия, CVV — код, а также содержит имя владельца карты.
Track1: В4 55990 75607 84214^SMITH/JOHN^110210 10000 00000 00000
0527000000
Track2: 4559907560784214=11021010000052700000
Код 101 после срока действия карты указывает на то, что карточка является международной. Если вместо него будет, к примеру, 201 — это означает, что карточка является локальной, то есть по умолчанию работает лишь в «родной» стране. Имея на руках track2, можно легко сгенерировать track1, а вот наоборот сделать достаточно сложно. Для получения наличных в банкомате вполне достаточно только второй дорожки.
— Где ты брал дампы?
— На данный момент существует три способа. Изготавливаются либо приобретаются портативные ридеры (англ. cardreader) — инструменты для считывания магнитной дорожки платежной карты. Самые миниатюрные ридеры, что я встречал, были размером со спичечный коробок и изготавливались в Украине инженерами Boa Factory. Дальше устройства раздаются кассирам в бутиках и дорогих магазинах, официантам в ресторанах, валютным проституткам, и они проводят клиентскую карточку не только через легальный POS-терминал, но и через свой ридер. Взламывается крупный процессинговый центр банка или торговой сети, через который проходят платежи физических (не виртуальных) магазинов, отелей, ресторанов, и достается база их клиентов. Просто покупаются у тех, кто завладел ими одним из вышеперечисленных способов.
— Дампы ведь нужно еще записать на саму кредитку…
— Конечно. Для этого необходимо специальное устройство, называемое энкодером (encoder). Продаются они совершенно легально и стоят $800–1000. Самая распространенная в кардерских кругах модель — MSR 206. Подключил к компьютеру через USB-порт, вбил дамп в нехитрую программку, провел карточкой через прорезь — и у тебя в руках магнитная копия карты какого-нибудь американского «Буратино».
— Теперь можно идти в магазин?
— Нет, в магазин пока рановато, так как дубликат реальной карточки у нас хоть и есть, но он на куске белого «пластика» (обычно марки CR-80). Продавец в магазине сильно удивится, если ты предложишь ему такую карточку.
— И что делать?
— Договариваешься с продавцом в каком-нибудь приличном магазине, типа: «Вася, у меня такая фигня есть, я приду к тебе, возьму ноутбук и “плазму”, потом продадим и бабло пополам». Это работает — владельцы ресторанов, бутиков и казино отдавали нам 40–50 % наличными от той суммы, что «прокатали», а мы им говорили, что нужно отвечать своему банку, если возникнут проблемы.
— Какие, например?
— Рано или поздно реальный кардхолдер (держатель карты) платеж опротестует. Пожалуется в свой банк, те — в VISA, и вот уже в наше казино нагрянули крепкие ребята из службы безопасности банка, который устанавливал в это казино POS-терминал. Придут и скажут: «Что ж ты, негодник, поддельные карты “катаешь”?» Ну, тут наш олигарх должен глаза пошире выпучить и сказать: «Ниче не знаю. Сейчас кассира, что работала в тот вечер, позову». Зовет Машу. Банкиры ей:
— Срок действия карты проверяла?
— Конечно.
— А подпись владельца карты на обороте была?
— А то. Я ее даже с подписью в его паспорте сравнила. И на слипе он точно так же расписался.
— На каком слипе?
— Чек, который выходит после оплаты товара по кредитке, называется слипом. На нем печатается вся информация о покупке: время, дата, название организации, реквизиты места, где была совершена покупка. Кстати, данные для слипа берутся из первого трека. И если дампу абсолютно все равно, какое имя ты укажешь в первой дорожке — реального владельца карты или имя, которое указано в твоем «левом» паспорте, то номер карты все равно надо писать оригинальный, иначе платеж (транзакция) не пройдет. А то было бы, конечно, неплохо: тупо обзаводишься «левым» паспортом, тупо идешь с ним все равно в какой банк в любой стране и так же тупо открываешь счет с дебетной картой. В результате на руках у тебя кредитка с именем Жени Соколова с $5 на ней и паспорт на то же имя с твоей фотографией. Стираешь на фиг все данные с магнитной полосы, берешь дамп из тех, что у тебя есть, меняешь в первом треке имя на Женю Соколова, пишешь этот дамп на карточку и вперед — хоть в банк, хоть в магазин. Закончились деньги на этом дампе — стираешь его, подготавливаешь и записываешь новый. И так, пока Женю Соколова не станут искать на всем земном шаре все банки и все магазины. Тогда покупаешь новый паспорт и по кругу снова. Ну а если уже в лицо начнут узнавать — то только пластическая операция тогда.
— Банкиры спросят, сверяла ли кассир номер карты и фамилию на чеке и лицевой поверхности карты — кассир ответит, что, конечно, да, добавит, что карта не была повреждена и признаков подделки не было, и на этом «допрос» окончен — при всех подозрениях у банка нет правовых оснований заблокировать платеж. Конечно, если бы продавцы в минских магазинах проверяли, совпадают ли данные на слипе с цифрами на самой карте, то было бы невозможно превратить уже использованную карту в многоразовую, однако в Беларуси — стране непуганых идиотов — кассиры повсеместно «забивали» на правила по безопасному обслуживанию банковских пластиковых карт и мне нередко удавалось совершать покупки с дампов, записанных на оригинальные, но просроченные, а то и вовсе на дисконтные карты. В работу с белым «пластиком» нередко вовлекались бизнесмены, которые задолжали криминальным авторитетам и у которых не было выбора. Конечно, мы не «доили» одну точку слишком часто, иначе обслуживающий банк мог отобрать терминал и мы бы остались вообще без работы.
— Надеюсь, что такое PIN — вы знаете?
— Знаю, четыре циферки, без которых наличные в банкомате не получишь.
— Верно. Но я дополню. Во-первых, PIN-код нередко требуется и при оплате покупок. А во-вторых, PIN (Personal Identification Number — «персональный идентификационный код») необязательно состоит из четырех цифр. Его длина должна быть достаточно большой, чтобы минимизировать вероятность его подбора методом проб и ошибок, а с другой стороны — достаточно малой, чтобы кардхолдер мог его запомнить. Поэтому длина PIN-кода варьируется от четырех до двенадцати цифр. Чаще, конечно, четыре.
— «Пины» ты где брал?
— «Пины»… Рядовые кардхолдеры уверены (и банкиры постоянно твердят им об этом), что PIN-код взломать или украсть невозможно, но я знаю способов десять, как это сделать.
— Ого! Рассказывай.
— Может, не сегодня? Это тема для отдельного разговора...