Интервью с бывшим кардером.

Почему вы решили стать кардером? Пришло ли осознание того, что вы занимаетесь противоправной деятельностью, постепенно или вы с самого начала это понимали?

Произошло это, можно сказать, случайно: я как-то, еще будучи школьником, наткнулся на сайт «Компьютерной газеты», на доске объявлений которой среди гор всякой продающейся современной электроники (купленной в основном, как позже выяснилось, за ворованные кредитки) нашел объявления о продаже номеров кредитных карт (на сленге мы называли их «СС», от англ. credit card). Я быстро смекнул, что можно попробовать купить что-то в интернет-магазине за такую кредитку, у меня получилось, а дальше пошло-поехало.

Конечно, я с самого начала понимал, что это незаконно, поэтому предпринимал определенные меры предосторожности: товар никогда не заказывался на почтовые адреса, имеющие какое-то отношение ко мне, чаще всего отправляли «дропам» – случайным знакомым или местным пьяницам, за пару бутылок готовым принять твой товар.

Это направление кардинга называлось «вещевым кардингом» и существует и поныне.

Как можно защититься от действий кардеров? Кто, на ваш взгляд, является наиболее слабым звеном в цепочке пользователь-банк-поставщик товаров/услуг? И какие серьезные ошибки совершаются в ходе операций с банковскими картами?

От посягательств на вашу кредитную карту могут помочь элементарные меры предосторожности, такие как: установить sms-оповещение о каждой операции с вашей банковской картой, установить дневной лимит снятия (например, не более 200 долларов), поставить запрет на снятие наличных за границей (потому что чаще всего украденный «дамп» вашей кредитной карты обналичивают в другой стране), не передавать карточку в руки чужим лицам, например, официант в ресторане пусть приносит терминал и совершает расчет при вас, а не как раньше карту уносили куда-то в подсобку и там проводили вашу транзакцию, также при съеме наличных в банкомате обязательно стоит осмотреть банкомат на предмет наличия всяких посторонних накладок, могущих скопировать данные с магнитной полосы вашей карты (накладка обычно надевается на картоприемник и внешне выглядит как вполне заводская деталь; называется это направление кардинга «скиминг» – от англ. skim – снимать), а лучше вообще снимать наличные в банкоматах, установленных только в помещениях самих банков или в крупных торговых центрах, где намного сложнее незаметно установить считывающее устройство. В Интернете оплачивать карточкой стоит только в проверенных магазинах, данные с сайтов которых передаются по защищенному протоколу ssl (https). Также ни в коем случае не стоит записывать ПИН-код прямо на своей карте: при ее краже/утере злоумышленники быстро снимут все деньги. Об остальных методах защиты своих карточек от преступных посягательств читайте в моей книге.

Самым слабым звеном в цепочке передачи банковской информации не всегда является пользователь – очень часто виновником выступает сам банк (так, сейчас в одном из московских судов слушается дело, когда из-за стандартных настроек банкоматов, инструкция к которым есть в Интернете, преступники смогли настроить банкоматы на выдачу денег и похитили свыше миллиарда рублей). А вообще, самые крупные утечки информации о кредитных картах происходили из крупных ритейл-сетей типа Walmart – взламывая их, хакеры похищают сразу миллионы кредитных карт покупателей (у меня по делу проходило около 200 миллионов кредитных карт). Все, что построено человеком, можно взломать, и в основном это происходит из-за халатности самих банковских/торговых структур, ненадежно защищающих свои компьютерные сети или использующих при установке оборудования заводские пароли по умолчанию.

Насколько сильно современные технологии помогают в деле защиты от кардинга? Например, чипы для карт и 3DSecure?

Карты с чипом взломать гораздо сложнее (это факт), но возможно. По поводу 3D Secure – в Интернете все еще полно сайтов, позволяющих осуществить платеж без ввода одноразового кода, приходящего в sms-сообщении, но с каждым годом таких становится все меньше. 3D Secure тоже не панацея, так как кардеры могут через сайт банка сменить номер телефона, привязанный к вашей карте и заказать одноразовый пароль на него, но это все, конечно, уже гораздо сложнее. В целом, платежи в Интернете в последнее время стали намного безопаснее. Главное – использовать проверенные магазины. Также нужно быть внимательным, когда вам приходит email-сообщение якобы от сайта банка с просьбой обновить данные вашей кредитки, ввести ее номер и ПИН-код – банки никогда не рассылают подобных сообщений, и все таковые являются «фишинговыми» (поддельными), при этом сайт, где вы вводите свои данные может выглядеть один в один как сайт вашего банка.

Когда к вам пришло осознание того, что выбранный вами жизненный путь – неправильный?

После того, как я отсидел 8 лет в белорусских тюрьмах (а всего я отсидел 10). Я понял, что я не хочу больше сидеть, никогда, и реализовывать свой потенциал в криминальном направлении неправильно. Поэтому сразу после освобождения я занялся бизнесом – фактически, ты решаешь все те же задачи, что и в криминале, только думаешь уже не о том, где половчее украсть, а как обойти конкурентов и сделать сервис, который будет делать жизнь людей лучше, проще, экономнее, защищеннее и так далее. Ну а деньги – неизбежное следствие этого.

Каким образом black-hat хакеры могут служить на благо обществу?

Из известных хакеров переквалифицировался и стал делать все то же самое, но только уже легально (по заказу самих же компаний тестировать их компьютерные сети на уязвимости), если мне не изменяет память, только Кевин Митник, основав компанию Mitnick Security Consulting. Из русских я не знаю никого. И проблема здесь не только в том, что «горбатого могила исправит», а в том, что наши компании/правительство не могут предложить достойных зарплат, ведь месячный заработок нормального black-hat хакера исчисляется десятками тысяч долларов.

В СМИ периодически появляются сообщения о сотрудничестве хакеров с властями западных стран. А известны ли вам примеры кооперации хакеров с правоохранителями Беларуси и России? Если нет, то в чем, на ваш взгляд, причина отсутствия такого сотрудничества?

Об этом очень хорошо сказал Илья Сачков (владелец компании по компьютерной безопасности Group-IB): «Правоохранительные органы стран СНГ никогда не берут на работу бывших хакеров, потому что считают, что если человек хоть раз себя запятнал, то он и дальше продолжит заниматься противоправной деятельностью, поэтому лучше взять на работу молодого человека после института с кристально чистой биографией». Как показывает практика, это тоже не является панацеей – на скамье подсудимых мы нередко видим высокопоставленных сотрудников ФСБ и МВД, занимающихся тем же самым, что и обычные хакеры. Большие деньги являются немалым соблазном.

Если брать лично меня, то ни мне, ни кому-то из моих знакомых хакеров и кардеров никогда не предлагали работу в правоохранительных органах – вероятно, по вышеупомянутой причине. Ну а то, что хакеры западных стран работают на правительство – такие случаи бывают, самый яркий из них (работа Альберта Гонсалеса с Секретной службой США) описан в моей книге, но и в тех случаях назвать это работой нельзя – чаще всего они «стучат» на своих же соратников, чтобы самому не загреметь на скамью подсудимых.

После освобождения из тюрьмы у вас не было мысли поработать в сфере информационной безопасности?

Нет, не было, потому что, в первую очередь, я не «технарь». Я генератор идей, как я сам себя называю, «архитектор идей», поэтому мне интересно выстраивать бизнес. Сидеть сутками за компьютером, отлавливая очередных «червей», троянов, вирусов или хакеров мне неинтересно. Да и заработки, опять же.

На какие сферы деятельности стоит обратить внимание человеку, решившему уйти из киберпреступности в «легальное поле»?

Я бы посоветовал обратить внимание на арбитраж трафика. Как сейчас принято говорить, кто владеет трафиком – тот владеет миром. И это действительно правда. Потому что даже создать крутой интернет-магазин намного легче, чем привести в него покупателей. Сегодня на рынке полно предложений, например, от магазинов, которые предлагают тебе приводить клиентов за щедрые комиссионные с каждой продажи, и если тебе есть где брать клиентов – безбедное существование тебе обеспечено. Трафик можно брать в разных местах: например, создать паблик в соцсетях и раскручивать его, а потом предлагать там какие-то товары или рекламировать конкретные магазины или услуги, можно купить трафик дешево в одном месте (например, дешевый «мусорный» трафик типа попандеров и кликандеров) и сливать его на оффер какого-то магазина/сайта – главное, чтобы он при этом монетизировался. Раньше я доставал трафик при помощи email-спама и сливал его на порносайты и казино, но это незаконно, поэтому сейчас я привожу клиентов в кэшбэк-сервисы. Если вы не знаете, что такое кэшбэк, то это сайт, предлагающий вернуть (реально) часть денег с каждой вашей покупки в Интернете. Также на них есть купоны и промокоды, поэтому я уверен, что сайты-купонаторы, или, как их еще называют, «промокодники» в скором времени умрут. Потому что зачем использовать только купон, если на сайте кэшбэк-сервиса ты можешь использовать не только купон или промокод, но еще и получить обратно кэшбэк. 6% – как на Алиэкспресс или Ламоде, или все 40% (столько обычно возвращают с продажи программного обеспечения, игр, приложений или домена и хостинга для вашего сайта). Арбитраж вообще означает, что вы в одном месте берете трафик дешевле, чем получаете в дальнейшем с его продажи или монетизации другим способом. Кстати, всего 10% покупателей в Интернете, знают, что такое кэшбэк. Поэтому работы – поле непаханое.

Считаете ли вы карьеру в сфере ИБ хорошей возможностью для хакера, желающего выйти из тени?

Не знаю, возможно для какого-то технически грамотно специалиста, не претендующего на большие деньги, это и хорошее решение, в основном же топ-хакеры предпочитают после отсидки заниматься бизнесом или продолжают свои прежние занятия.