Как я украл миллион
Hidden News
В России, как и впрочем в СНГ, огромное количество людей, занимающихся кардингом, некоторые даже висят в списках Интерпола.
В 2004—2009 годах его трижды привлекали к суду за киберпреступления. В общей сложности он должен был провести в тюрьме 16 лет, но через 10 лет был досрочно освобожден. Будем называть его Сергей.
В 2008 году Сергей стал одним из фигурантов дела о «самой крупной краже персональных данных за всю историю США», в результате которой было похищено более 1 миллиарда долларов. За участие в этой операции ему грозит пожизненное заключение в американской тюрьме.
Сидя в тюрьме, он написал книгу «Как я украл миллион. Исповедь раскаявшегося кардера». В своей книге автор призвал не повторять его ошибок и держаться подальше от киберпреступного мира. Приступим к интервью:
Почему вы решили стать кардером?
Произошло это, можно сказать, случайно: я как-то, еще будучи школьником, наткнулся на сайт «Компьютерной газеты», на доске объявлений которой среди гор всякой продающейся современной электроники (купленной в основном, как позже выяснилось, за ворованные кредитки) нашел объявления о продаже номеров кредитных карт (на сленге мы называли их «СС», от англ. credit card). Я быстро смекнул, что можно попробовать купить что-то в интернет-магазине за такую кредитку, у меня получилось, а дальше пошло-поехало.
Конечно, я с самого начала понимал, что это незаконно, поэтому предпринимал определенные меры предосторожности: товар никогда не заказывался на почтовые адреса, имеющие какое-то отношение ко мне, чаще всего отправляли «дропам» – случайным знакомым или местным пьяницам, за пару бутылок готовым принять твой товар.
Это направление кардинга называлось «вещевым кардингом» и существует и поныне.
Как можно защититься от действий кардеров?
От посягательств на вашу кредитную карту могут помочь элементарные меры предосторожности, такие как: установить sms-оповещение о каждой операции с вашей банковской картой, установить дневной лимит снятия, поставить запрет на снятие наличных за границей, не передавать карточку в руки чужим лицам, например, официант в ресторане пусть приносит терминал и совершает расчет при вас, а не как раньше карту уносили куда-то в подсобку и там проводили вашу транзакцию, также при съеме наличных в банкомате обязательно стоит осмотреть банкомат на предмет наличия всяких посторонних накладок, которые скопировать данные с магнитной полосы вашей карты, а лучше вообще снимать наличные в банкоматах, установленных только в помещениях самих банков или в крупных торговых центрах, где намного сложнее незаметно установить считывающее устройство.
В Интернете оплачивать карточкой стоит только в проверенных магазинах, данные с сайтов которых передаются по защищенному протоколу ssl (https). Также ни в коем случае не стоит записывать ПИН-код прямо на своей карте: при ее краже/утере злоумышленники быстро снимут все деньги. Об остальных методах защиты своих карточек от преступных посягательств читайте в моей книге.
Самым слабым звеном в цепочке передачи банковской информации не всегда является пользователь – очень часто виновником выступает сам банк. А вообще, самые крупные утечки информации о кредитных картах происходили из крупных ритейл-сетей типа Walmart – взламывая их, хакеры похищают сразу миллионы кредитных карт покупателей(у меня по делу проходило около 200 миллионов кредитных карт).
Все, что построено человеком, можно взломать, и в основном это происходит из-за халатности самих банковских/торговых структур, ненадежно защищающих свои компьютерные сети или использующих при установке оборудования заводские пароли по умолчанию.
Насколько сильно современные технологии помогают в деле защиты от кардинга? Например, чипы для карт и 3DSecure?
Карты с чипом взломать гораздо сложнее, но возможно. По поводу 3D Secure – в Интернете все еще полно сайтов, позволяющих осуществить платеж без ввода одноразового кода, приходящего в sms-сообщении, но с каждым годом таких становится все меньше. 3D Secure тоже не панацея, так как кардеры могут через сайт банка сменить номер телефона, привязанный к вашей карте и заказать одноразовый пароль на него, но это все, конечно, уже гораздо сложнее.
В целом, платежи в Интернете в последнее время стали намного безопаснее. Главное – использовать проверенные магазины. Также нужно быть внимательным, когда вам приходит email-сообщение якобы от сайта банка с просьбой обновить данные вашей кредитки, ввести ее номер и ПИН-код – банки никогда не рассылают подобных сообщений, и все таковые являются «фишинговыми» (поддельными), при этом сайт, где вы вводите свои данные может выглядеть один в один как сайт вашего банка.
Когда к вам пришло осознание того, что выбранный вами жизненный путь – неправильный?
После того, как я отсидел 8 лет в белорусских тюрьмах. Я понял, что я не хочу больше сидеть, никогда, и реализовывать свой потенциал в криминальном направлении неправильно. Поэтому сразу после освобождения я занялся бизнесом – фактически, ты решаешь все те же задачи, что и в криминале, только думаешь уже не о том, где половчее украсть, а как обойти конкурентов и сделать сервис, который будет делать жизнь людей лучше, проще, экономнее, защищеннее и так далее. Ну а деньги – неизбежное следствие этого.
Каким образом black-hat хакеры могут служить на благо обществу?
Из известных хакеров переквалифицировался и стал делать все то же самое, но только уже легально(по заказу самих же компаний тестировать их компьютерные сети на уязвимости), если мне не изменяет память, только Кевин Митник, основав компанию Mitnick Security Consulting. Из русских я не знаю никого. И проблема здесь не только в том, что «горбатого могила исправит», а в том, что наши компании/правительство не могут предложить достойных зарплат, ведь месячный заработок нормального black-hat хакера исчисляется десятками тысяч долларов.
В СМИ иногда появляются сообщения о сотрудничестве хакеров с властями западных стран. Известны ли вам такие примеры?
Об этом очень хорошо сказал Илья Сачков (владелец компании по компьютерной безопасности Group-IB): «Правоохранительные органы стран СНГ никогда не берут на работу бывших хакеров, потому что считают, что если человек хоть раз себя запятнал, то он и дальше продолжит заниматься противоправной деятельностью, поэтому лучше взять на работу молодого человека после института с кристально чистой биографией».
Как показывает практика, это тоже не является панацеей – на скамье подсудимых мы нередко видим высокопоставленных сотрудников ФСБ и МВД, занимающихся тем же самым, что и обычные хакеры. Большие деньги являются немалым соблазном.
Если брать лично меня, то ни мне, ни кому-то из моих знакомых хакеров и кардеров никогда не предлагали работу в правоохранительных органах – вероятно, по вышеупомянутой причине. Ну а то, что хакеры западных стран работают на правительство – такие случаи бывают, но чаще всего назвать это работой нельзя – обычно они «стучат» на своих же соратников, чтобы самому не загреметь на скамью подсудимых.
После освобождения из тюрьмы у вас не было мысли поработать в сфере информационной безопасности?
Нет, не было, потому что, в первую очередь, я не «технарь». Я генератор идей, как я сам себя называю, «архитектор идей», поэтому мне интересно выстраивать бизнес. Сидеть сутками за компьютером, отлавливая очередных «червей», троянов, вирусов или хакеров мне неинтересно. Да и заработки, опять же.
Чем заняться человеку, решившему уйти из киберпреступности в «легальное поле»?
Я бы посоветовал обратить внимание на арбитраж трафика. Как сейчас принято говорить, кто владеет трафиком – тот владеет миром. И это действительно правда. Потому что даже создать крутой интернет-магазин намного легче, чем привести в него покупателей.
Сегодня на рынке полно предложений, например, от магазинов, которые предлагают тебе приводить клиентов за щедрые комиссионные с каждой продажи, и если тебе есть где брать клиентов – безбедное существование тебе обеспечено.
Считаете ли вы карьеру в сфере ИБ хорошей возможностью для хакера, желающего выйти из тени?
Не знаю, возможно для какого-то технически грамотно специалиста, не претендующего на большие деньги, это и хорошее решение, в основном же топ-хакеры предпочитают после отсидки заниматься бизнесом или продолжают свои прежние занятия.
Сравнивая законодательство разных стран — какое из них наиболее жестоко по отношению к киберпреступлениям? И наоборот.
Если взять отдельно уголовный кодекс, то самые большие сроки за киберпреступления в Соединенных штатах Америки. Если в Беларуси меня судили по статье, предусматривающей до 15 лет лишения свободы, то в Америке вполне могут дать и пожизненное. НО! Если в Америке ты соглашаешься на сделку со следствием, даешь им весь «расклад» (кому охота работать, расследуя несколько лет твое дело!), не создаешь следователям особых проблем и идешь на определенные уступки (не обязательно при этом «сдавать» подельников; на сколько тебе совесть позволяет), то на практике получается, что ты получаешь намного меньше, чем в той же Беларуси. Не всегда, но в большинстве случаев.
Да и сидеть там не в пример лучше... Самые же мягкие, чаще всего условные, сроки киберпреступники получают в России или Украине – из-за коррумпированности правоохранительной системы и судебных органов.
Почему в России и СНГ так много киберпреступников, однако жертв их деятельности не такое относительно большое число?
Конечно, основными «мишенями» хакеров и кардеров всех мастей всегда были и будут Соединенные Штаты – по причине большого числа денег и развитой сетевой инфраструктуры, которую можно взломать. В СНГ мало того, что денег практически нет, так еще и не все компьютеризировано, до сих пор многие базы данных существуют только в локальных сетях(а то и в папках в архивах). Это, с одной стороны, неудобно для самих же работников таких отсталых структур, но, с другой стороны, спасает от массовых компьютерных атак наподобие последних нашумевших WannaCry и Petya.
Этические причины были раньше – еще у моего поколения киберпреступников, когда мы редко воровали у своих по причине:
а) отсутствия больших денег
б) а также потому, что наш несчастный народ уже государство не раз обобрало и продолжает это делать, если еще и мы будем...
В целом, могу констатировать, что сегодня гораздо больше различных способов заработка в Интернете, чем в мое время, и нужно быть последним дураком, чтобы воровать в Интернете вместо того, чтобы зарабатывать в нем гораздо больше. Легально. Думаю каждый усвоет свой урок.
С вами был коллектив «Hidden News», свои истории вы можете предложить в @hidenovostibot. Мы их обязательно прочтем! «SecureNews»