Как сделать кредитную карту.

[Cartographer]

Для начала я расскажу об основных понятиях и сленге, которым оперируют кардеры. Дамп - это информация, записанная на магнитную полосу карты. Он обычно состоит из трех треков ("дорожка", англ.), каждый из которых представляет собой набор байт, несущий некоторую идентифицирующую карту информацию. Самый главный трек - второй, имея его, можно частично восстановить информацию, хранящуюся на первой дорожке. В большинстве карт используются только первый и второй треки, третий же существует лишь для записи дополнительной технической информации о транзакциях, которая чаще всего не представляет интереса для кардеров. Данные с магнитной ленты карточки считываются при помощи специального устройства, называемого POS-терминалом. Этот девайс связан с банковской системой и проверяет на корректность считанные данные, после чего осуществляет финансовую операцию - перевод денег с одного счета на другой.
Ключевой этап всей технологии "пластикового" кардинга - изготовление поддельной карточки - невозможен без специального оборудования и дампов реальных карт. Ведь даже зная полную информацию о карте и ее владельце, можно составить лишь первый трек дампа, второй, самый главный, восстановить по этим данным невозможно. Существует несколько способов получения дампов карточек жертв. Каждый кардер, занимающийся пластиком, выбирает наиболее выгодный для него способ.
Самый жестокий путь, который выбирают настоящие экстремалы - взлом процессингового центра банка или платежной сети, в которой производятся операции реальных магазинов. После получения контроля над руководящими серверами, изъять несколько тысяч дампов не составит большого труда. Более того, ты сможешь сам процессить финансовые платежи и перевести увесистую сумму на анонимный счет в каком-нибудь черногорском банке. Второй путь, пожалуй, самый популярный, состоит в следующем. Покупаются портативные ридеры карт и раздаются своим людям, которые работают в различных фирмах, клиенты которых часто расплачиваются кредитками. Такие вот "крысы" снимают информацию с карточек клиентов и передают ее кардерам.
И, наконец, самый простой путь - просто покупать дампы у людей, которые достали их одним из вышеуказанных способов. После того как ты получил дамп какой-то cc, данные наносятся на магнитную ленту подпольно изготовленной карты. К работе с таким вот пластиком кардеры подходят уже очень серьезно. Часто подделываются документы на имя кард-холдера, чтобы их можно было предъявить по просьбе кассира в случае возникновения каких-то подозрительных моментов в процессе осуществления платежа. Изготовив несколько карт, мошенники начинают их прокатывать в различных магазинах, покупая ценный товар (обычно дорогую электронику, ювелирные изделия, одежду etc.). Само собой, все накарженное таким образом добро впоследствии выгодно сбывается по более низкой цене, но за уже вполне реальные шуршащие деньги. Однако и тут для кардеров не все так гладко, как могло показаться. Наличие дампа еще не гарантирует его стопроцентную работоспособность: из десяти карт в среднем три дают отказ по каким-либо причинам. А теперь представь такую картину. Набрал кардер полную тележку ноутбуков, подошел к кассе, а креда на имя Джона Ричардсона из Аризоны бабах - и не работает. И тут он, не краснея, достает другую, на имя подданной Великобритании Элизабет Тейлор, но карта опять не принимается. Друг, его повяжут еще до того, как он достанет третью карточку, оформленную на богача из Испании.
Согласись, это довольно палевное занятие, и подходить к каждой покупке надо со всей ответственностью - валидность той или иной кредитки опытные мошенники проверяют с мобильника через специальные wap-сайты непосредственно перед совершением транзакции. Стоит учитывать и тот факт, что, работая с реальным пластиком, кардеры уже занимаются откровенным мошенничеством. Учитывая, что редко когда мошенник работает один, это уже "преступление, совершенное группой лиц по предварительному сговору" - условный срок может не удовлетворить судей.

Оборудование для печати карт
Чтобы изготовить карты, ничем не отличающиеся по виду от настоящих, требуется специальное оборудование и так называемый "белый" пластик, который, на самом-то деле, не обязательно бывает белым - кардеры люди экономные, зачем тратиться на лишнюю краску, если карта, скажем, синяя? Сам пластик представляет собой кусок устойчивой к механическим и термическим повреждениям пластмассы и имеет габариты 85,6х53,9х0,76 мм. Сам механизм превращения белого пластика в полноценную карту состоит из нескольких этапов.
Для небольших тиражей используется метод сублимационной печати. Для этой цели используются специальные принтеры, печатающие изображение прямо на пластике. В зависимости от цены и производителя, они бывают монохромные или цветные, односторонние или двусторонние. В принципе, существенной разницы между односторонними и двусторонними принтерами нет, просто при печати на картах придется одну и ту же болванку прогонять дважды: сначала с одной стороны, потом с другой. Безусловными требованиями к печатающему оборудованию являются разрешение в 300 точек на дюйм и возможность печати без полей на картах толщиной 0,76 мм.
Если принтер не подходит хотя бы по одному из этих требований, то он не подходит для печати кредитных карт в принципе. Некоторые такие принтеры имеют возможность подключать дополнительные блоки, позволяющие наладить целый конвейер, выполняющий кучу операций над изготавливаемой картой. Встроенный ламинатор после печати изображения на карте позволяет покрыть ее тонкой защитной пленкой, энкодер позволяет нанести дамп на магнитную полосу карты, при помощи эмбоссера на карту путем выдавливания наносится идентифицирующая информация - инфа о владельце, карте и банке-эмитенте. Типпер позволяет окрашивать эмбоссированный текст, также возможно подключение устройства, позволяющего вклеивать голограммы и полосы подписей. Самые известные торговые марки сублимационных и термотрансферных принтеров - Eltron и Fargo. Стоят такие принтеры от тысячи долларов и позиционируются производителями как устройства для печати клубных карт . Подробнее об этом рассказано на eltron.ru.
Если принтер не поддерживает возможность подключения дополнительных модулей, описанных выше, кардеру приходится отдельно покупать все это оборудование. Все эмбоссеры дают на выходе одинаковое качество, и разница между ними только в цене, которая зависит от их производительности. Самый дешевый вариант - ручной эмбоссер - не требует даже электропитания. При выборе типпера стоит обратить внимание на цену и доступность фольги для него. Пожалуй, это все оборудование, которое потребуется кардеру для организации подпольного цеха по производству левых карт. Полный набор оборудования можно купить за 3-4 тысячи долларов.

Что у дампа внутри?
Как я уже говорил, дамп представляет собой совокупность информации, записанной на треки магнитной ленты кредитной карты - основной интерес для кардера представляют только первый и второй треки. Возьмем абстрактный пример дампа, состоящего из треков 1 и 2, и разберемся, что в них записано:
B4000001234567890^PETROV/IVAN^03101011123400567000000;;4000001234567890=031 01011123495679991. В этом примере B4000001234567890^PETROV/IVAN^03101011123400567000000 является информацией первого трека, а 4000001234567890=03101011123495679991 - информация, занесенная во второй трек. Не стоит пытаться использовать алгоритм построения первого трека, используя данные со второго, так как приведенный выше пример является лишь наглядным пособием, и в разных банках используются разные шаблоны.
Теперь посмотрим пристальнее на первый трек: он начинается с латинской буквы В, которая указывает на то, что это банковская карта. 400000 123456789 0 - это так называемый номер карты или PAN, как его называют профессионалы, 400000 - BIN, по которому можно определить банк, эмитировавший карту, и тип самой кредитки, 123456789 - номер карты в банке.
Ноль в самом конце PAN'а является контрольной цифрой. ^PETROV/IVAN^ - имя владельца карты, кард-холдера. 0310 - экспайр карты, то есть та дата, до которой карта является действительной. В данном случае это октябрь 2003 года. 101 – сервис-код. Обычно он равняется 101. 1 - номер ключа, по которому зашифрован PIN-код карты. Нужен только при работе с банкоматом и при тех операциях, когда требуется PIN. 1234 - зашифрованное значение PIN-кода. Нужно оно в тех же случаях, что и номер ключа выше. 567 - CVV, проверочное значение для номера карты. Получается путем шифрования парой банковских ключей сервис-кода, PАN'а и экспайра. CVV2 получается тем же путем, только сервис-код заменяется нулями, из-за чего значения ЦВВ и ЦВВ2 отличаются друг от друга. Второй трек во многом схож с первым, но он является основным, и, имея его, можно построить информацию с первого трека.

Разделение труда
Умный кардер никогда не станет делать всю работу в одиночку. На это у него просто не хватит сил и времени. Да и небезопасно это. Поэтому профессиональный кардер лишь руководит глобально всем процессом, мотивируя хорошими деньгами специально нанятых им людей. Сам же он, по сути, остается "не при делах", только рубит капусту с оборота. Но обо всем по порядку.
Держать оборудование для печати пластика у себя дома кардер не станет - зачем ему лишний риск? Обычно для этого есть специальный человек, который мало с кем контактирует и особо нигде не светится. У него хранится все оборудование, а кардер платит ему деньги за работу, молчание и послушание. Имя, адрес и телефон такого человека кардер обычно нигде не записывает из соображений конфиденциальности и посещает его в строго оговоренное заранее время лишь для того, чтобы забрать изготовленные карты и принести новую порцию дампов. Следующий этап - покупка всяческого стафа за счет владельца подделанной карты. Этим занимаются дропы - люди интеллигентного вида, которые ходят по магазинам с фейковым пластиком и совершают дорогие покупки. Умные кардеры выстраивают также третий уровень защиты - нанимают надежного человека, который подыскивает подходящих дропов, шпыняет их, проводит разъяснительные беседы, повышение квалификации и т.д .
Дроп получает за свою работу процент, соответственно, он напрямую заинтересован в получении максимальной прибыли с каждой карты, но и о своей заднице он тоже постоянно беспокоится - ведь, если что, крайним окажется именно он. Человек, занимающийся контролем дропов, ходит с ними по магазинам, контролируя производимые покупки, после чего собирает товар и передает его кардеру в заранее оговоренном месте в назначенное время. Для связи с таким дроповодом у кардера существует отдельная мобила и заранее придуманная байка на случай, если вдруг дропа или дроповода повяжут, и придется объяснять дядям-милиционерам, по какой причине они так много общались.
Само собой, в разговорах по телефону кардер и дроповод используют специальный сленг и своего рода стеганографию в стиле "Ездил к бабушке, привез яблок, антоновка, килограмм 10. Давай встретимся, покушаешь, витамины нужны, скоро зима". То же самое касается и СМС - федералы могут долго "пасти" кардеров, стараясь собрать как можно больше доказательств. Как я уже отмечал выше, кардер должен доверять дроповоду, ведь он всегда рассказывает ему все, что сам знает о работе с пластиком. Это делается для того, чтобы дроповод мог грамотнее направлять своих дропов и давать им полезные советы, в результате чего дроп будет чувствовать себя увереннее и сможет импровизировать при выполнении заказа, играя то импульсивного итальянца, то скупого немца, то сынка понурого, но богатого англичанина.
Все это благотворно влияет на исход операции, что очень важно для любого члена выстроенной цепочки: каждый пойманный дроп увеличивает шансы на крах всей системы в целом и приближает то время, когда кардер попадет за решетку. Дропы также, во избежание подозрительных взглядов продавцов, должны соответствовать своим внешним видом той сумме, на которую делается заказ. Действительно, если бы я был продавцом, и у меня производилась покупка дорогого ноутбука человеком бомжеватого вида, я бы тотчас же забил тревогу . Чаще всего выручка делится между "коллегами" следующим образом: человек, у которого хранится оборудование для печати пластика, получает 5-10% от общего дохода, дроп за свой труд поощряется 10-20% от общака, а дроповод имеет свою долю примерно в 20-30%. Таким образом, умный кардер, руководя всем процессом и являясь мозгом организации, получает ни много ни мало - 40-60%, что является неплохим наваром, согласись. Ведь с одной карты при хорошем раскладе можно снять до $10k, соответственно, если 10 дропов будут облизывать по одной карте в день, месячный доход кардера с учетом выходных и праздничных дней составит более полумиллиона долларов! Тут уже можно подумать об оплачиваемом отпуске, медицинской страховке и бесплатных обедах в ресторане для своих сотрудников .

Кто за это платит?
Наверное, ты уже задался вопросом: кто же остается крайним при такого рода кардерских махинациях с использованием карточек с крадеными дампами? Возьмем, к примеру, мануалы международной платежной системы Visa. Все операции возлагаются в случае махинаций на банк-эмитент, то есть на банк, выдавший кредитную карту кард-холдеру. Но это совсем не значит, что можно радостно потирать руки и идти в магазин договариваться с продавцом о работе "фифти-фифти" и день и ночь без устали прокатывать карточки через пос-терминал.
Визовские мануалы гласят, что если в торговой точке будет превышен разрешенный процентный барьер операций, по которым приходят отказы и протесты, и банк, обслуживающий торговую точку, ничего по этому поводу не предпринимает, то платежная система имеет право оспорить данные операции и возложить все убытки на этот банк. Это не значит, что дело тухлое. Можно прокатывать карты через POS-терминал магазина, но за короткий срок (в течение нескольких дней). В этом случае банк, обслуживающий торговую точку, может оспорить возложенную на него материальную ответственность, заявив и доказав, что на момент проведения мошеннических операций у него не было никаких опротестований, и он не мог принять никаких мер по отношению к торговой точке. Тогда уже убытки будет нести сама платежная система (Виза или любая другая, в зависимости от того, какие фальшивые карты были использованы). Получается, что на деньги попадают все, в зависимости от того, как работали кардеры.
Разумеется, никто не желает расставаться со своими честно заработанными деньгами, и все стараются максимально себя обезопасить, предотвратив заранее возможное кидалово. Многие торговые точки, обслуживающие клиентов по кредитным картам, требуют предъявления вместе с карточкой документов, удостоверяющих личность. Этот шаг является неправомерным, так как никто не имеет права требовать с тебя документы до начала авторизации. В процессе авторизации, если появились какие-то вопросы, неувязки, требование предъявить документы вполне нормально, но ДО авторизации - самая настоящая импровизация работников торговых точек. С другой стороны, их тоже можно понять: никто не желает быть кинутым, и излишняя осторожность никогда не помешает.