Как у вас крадут данные банковских карт

Мошенничество с банковскими картами — популярный вид бизнеса в даркнете. В нём, как догадываетесь, ровно ноль легального. Увы, это не мешает ему развиваться вовсю.

Рассказываем, как и где в даркнете получают данные банковских карт. И что с ними происходит дальше.

Примечание: вся информация в этой статье даётся в ознакомительных целях. Помните, что любые действия с чужими картами – уголовное преступление.

Главный вопрос. Как всё-таки получают данные чужой карты?

Методов очень много. Многие из них можно распознать с опытом, а некоторые – только вручную, пошарившись руками по банкомату или заметив неладное с ним заранее.


1. Ставят скиммеры на банкоматы

На банковской карте есть магнитная полоса, с которой банкомат, терминал и другие устройства считывают информацию. Это вы точно знаете.

Но если на банкомат установить собственное считывающее устройство, данные до банка не дойдут.

Такие считыватели называются скимерами. Обычно это щель для считывания данных с магнитной полосы и фальшивая клавиатура для кражи пин-кода.

Вместо клавиатуры могут использовать камеру: она обходится недорого и подходит для любого банкомата. А клавиатуру приходится подбирать под конкретную модель банкомата.

Чип на карте не защищает от скиммера.

2. Крадут через кассы и терминалы

POS-терминалы – это штуки, к которым вы прикладываете айфон или прокатываете карточку, когда оплачиваете покупку. Если установить на них вредоносное ПО, то данные с банковской карты можно попросту украсть.

Этим способом нередко злоупотребляют в кафе, на заправках, на кассах супермаркетов. А главное, жертва скорее подумает на вирус, заразивший его компьютер при интернет-оплате, чем на поход в магазин.

Недавно троих граждан Украины арестовали за кражу данных 15 млн (МИЛЛИОНОВ!!!) карт. Они заражали компьютеры с кассовыми аппаратами, затем рассылали письма от Комиссии по ценным бумагам и биржам США и от различных отелей.

Самый известный российский кардер Роман Селезнев также крал данные карт пачками в США. Порой их хранили просто в текстовых файлах на кассовых компьютерах.

Селезневу дали 27 лет тюрьмы. Не будьте как Роман.

Вариант со скимером также возможен, но скорее теоретически. Слишком заметен считыватель на небольшом терминале, который всегда на глазах.

Но в США на заправках была целая эпидемия со скиммерами, которые внедряли в терминалы.

3. Запоминают данные карт

В барах, ресторанах и кафе официанты нередко забирают вашу карту с собой и уносят к кассовому аппарату. Несложно запомнить номер, дату окончания срока и CVC/CVV-коды по дороге.

А ещё проще сфотографировать лицевую и оборотную стороны карты, пока клиент не видит.

4. Используют фишинговые приложения и сайты

Сверстать сайт, который выглядел бы точь-в-точь как оригинальный, можно меньше чем за $100. Приложение немного дороже. Отдельную страницу отрисуют за пару часов и тысячу рублей.

Чаще всего копируют сайты и приложения банков, реже популярных интернет-магазинов. Самое дорогое в этой схеме — купить или разработать фишинговое приложение или организовать рассылку по нужной базе данных.

Мошенникам нужно распространить ссылку на фишинговый сайт или приложение, заставить пользователя вбить данные для доступа в фальшивую форму.

Кроме того, фишинговые приложения часто перехватывают SMS для авторизации. Всего этого достаточно, чтобы снять деньги с вашего банковского счета подчистую.

Фишинговых сайтов сотни — только служба безопасности «Сбербанка» выявилаи добилась блокировки 600 доменов.

На фишинговые письма ведутся 48% пользователей. Практически каждый второй. Возможно, и вы однажды попались, просто не заметили.

5. Взламывают сайты интернет-магазинов, авиаперевозчиков и др.

Заказывая товары или билеты в интернете, вы можете лишиться денег не только на фейковом, но и на реальном сайте. Такие случаи относительно редки и часто придаются публичной огласке.

К примеру, западные ритейлер Sears и авиакомпания Delta признали, что их подрядчика по чат-поддержке взломали, в результате пострадали клиенты. Утекло около 100 тыс. записей о картах от Sears и сопоставимое количество данных от Delta.

Ещё один пример — премиальные американские ритейлеры Saks Fifth Avenue и Lord&Taylor. Хакеры взломали их платежную систему и собрали данные о 5 млн банковских карт. 125 тыс. записей о картах выставили на продажу.

Одеваются в магазинах люди небедные. Так что даже если 125 тыс. записей умножить на $10 тыс. в среднем на счету, можно больше не работать. Никогда.

6. Перехватывают данные в открытых Wi-Fi-сетях

Халявный Wi-Fi небезопасен, iPhones.ru уже писал об этом. Да и домашние роутеры нередко взламывают люди «с улицы».

Инструментов для этого хватает, даже в даркнет лезть не нужно. В итоге уведут не только аккаунт в Facebook, но и деньги с банковского счета.

7. Вам звонят и представляются сотрудником банка

Номер вашей банковской карты находят на сайте объявлений, посте для сбора пожертвований, да даже в чате WhatsApp, где все скидываются на цветы к 1 сентября.

Затем вам внезапно звонят якобы представители банка и под предлогом повышения безопасности / разблокировки карты / подтверждения платежа заставляют выдать всю информацию о карте или аккаунте онлайн-банкинга.

Самый главный момент: мошенники под видом сотрудника банка просят сообщить код подтверждения операции, который придёт в SMS.

На вас это, может, и не подействует. Но менее опытных юзеров вроде вашей бабушки обычно облапошивают именно так.

Отменить операцию и доказать, что владелец аккаунта не виноват, в таких случаях крайне сложно. Ведь получается, вы номинально подтвердили операцию кодом, ничего несанкционированного не случилось.

8. Сотрудник банка хочет помочь в личке соцсети

Жертв находят в пабликах банков ВКонтакте и на форумах.

Якобы представитель финучреждения связывается с пользователем, который задал вопрос в официальной группе или на странице банка. Обещает решение проблемы. Или золотые горы, кредит по гуманным 5% в год и тому подобное.

Для продолжения просит данные карты, счета, аккаунта онлайн-банкинга, контрольные вопросы или что-нибудь ещё, что позволит «подтвердить личность». Спорим, знаете, что будет дальше?

August 23, 2018
by @lizardsquad
0
32

Как вас могут вычислить по левой симке.

Первый вариант.

Вы пользуетесь "анонимным" мобильником, а настоящий находится рядом и включен. 

Следователи запрашивают логи всей соты в которой работает (работал) "анонимный" аппарат. Это всё, что им потребуется, что бы Вас вычислить (причем не только "по горячим следам", но и через неделю, месяц, не спеша, в кресле своего кабинета за чашечкой кофе).

Делают рекурсивные выборки по промежуткам включения и смотрят кто ещё был в соте кроме "анонимного" аппарата.

Например в одной соте были ещё 1000 включенных телефонов. При следующем включении 500 из тех, что были в первый раз. При следующем - 20 из тех, кто был в первый и второй раз. Чаще всего удается с логов трех-четырех включений найти точно пару телефонов, которые не покидают соту.

Реже включений требуется больше: в таком случае можно попробовать пробить историю по номерам множеств совпадений, а так же их владельцев. Если это бабуля 90 лет из которых номер у неё уже 10 лет и квартиру она не покидала 5 лет - то, явно, вариант отпадает.

Таким образом следователи достаточно быстро выходят на настоящий номер телефона, одна история звонков по которому раскроет все карты.

Нередко спецслужбам везет и со 2 включения: быстро изучить и отмести сотни номеров - дело лишь в количестве сотрудников. Бывает даже, что на настоящий номер выходят с первого и единственного включения "анонимного"! Не верите? А зря. Динамика в соте, поведение других аппаратов, будни / праздники могут существенно упростить работу силовиков. Могут во время работы "анонимного" мобильника все остальные выйти из соты, кроме Вашего (ну взяли остальные люди и переместились куда-то) или делать исходящие, отправлять СМС.

Сейчас такое время, когда все ни минуты без мобилы. И это Вас палит: Вы же не можете одновременно делать исходящие с двух телефонов. Значит пока Вы "работаете" с "анонимного" все, кто звонит в Вашей соте - выходят из под подозрения и сужают кольцо вокруг Вас. Кроме того господин Случай не на Вашей стороне: у спецслужб логи, в которых все данные от и до, а у Вас обычный быт со всеми непредсказуемостями.

Пример: Вы сёрфите "анонимно" в интернете и тут Вам звонят на настоящий телефон. Вы начинаете говорить и трафик данных по интернету падает на время, статистически отличное от времени между средними загрузками страниц. Сопоставить все звонки в соте на точное совпадение с провалом трафика - дело секунд - и Ваш номер обнаружен. Может быть, конечно, что Вы просто пошли в туалет, но ведь проверить нужный ли номер "обнаружен" не сложно. А если Вам позвонят два раза?

Второй вариант.

Вы пользуетесь "анонимным" мобильником, а настоящий предусмотрительно заранее выключаете.

 Невероятно, но вы только упростили задачу следователям. Они просто посмотрят, кто отключился - именно отключился (телефон передает в сеть сигнал об отключении), а не покинул сеть незадолго до появления "анонимного". Можно смело говорить, что таких в соте будут единицы или даже вы один. Для уточнения данных можно сравнить кто включился после отключения "анониста". И, также пробить на бабуль и прочих. Как видите, отключение настоящего аппарата при пользовании "левым" только ухудшает анонимность.

Вариант третий.

Вы оставляете настоящий телефон дома включенным, а сами едете в другую соту, и только там включаете "анонимный". 

Думаете хитрый план? А вот и неправда. Три фактора все равно выдают ваш настоящий аппарат.

Во-первых, отрабатывается та же схема, что и в первом варианте, только уже не по одной соте, а по нескольким. Сначала по одной, потом по соседним и так далее, пока не дойдут до сравнения соты "анонимного" с сотой настоящего.

Во-вторых и в главных, ваш аппарат дома находится без хозяина и не может отвечать на звонки. Следовательно, рано или поздно будут пропущенные, которые так же видны в логах. Нужно только сравнить на каком аппарате были пропущенные во все времена "включения" анонимного. Как думаете, многие из абонентов постоянно не берут трубку как раз в то время, когда вы выходите с анонимного? Да никто, кроме вашего настоящего телефона!

Кроме того, данный способ хорошо помогает в общем поиске: следователи могут очень быстро обзвонить номера, что остаются после сравнения логов сот. И если телефон не берут - в подозреваемые.

В-третьих, вы не можете оставлять настоящий аппарат где попало - каждый раз в разных местах. Скорее всего он у вас дома. То есть в одном месте на каждое включение. На этом можно построить дополнительную выборку для фильтра: сколько одних и тех же аппаратов находилось в одной и той же соте. В целом всё это приведет к быстрому, хоть и чуть менее быстрому, чем в предыдущих случаях, выходу на настоящий номер.

August 21, 2018
by @lizardsquad
0
20

Крадем деньги с карт с помощью мобильного приложения

В данной статье Lizard Squad расскажет вам о том, как зарабатывать, сливая деньги с чужих банковских карт.

Что мы должны сделать, дабы слить чужой кэш на наши карты:

  1. Пользоваться мы будем общедоступным приложением удаленного доступа к мобильному телефону - AirDroid​;
  2. Наша задача найти максимальное количество людей, которые установят его и авторизуются под нашими данными. Самая лояльная аудитория - от 25 лет​;
  3. Просто снять кэш с карты через отправку смс на короткий номер 900 (если сливаем бабки с сбербанка, если банк другой, гуглим)​.

Приступаем:

  1. Качаем себе на ПК приложение с офф сайта http://web.airdroid.com/ , предварительно регистрируя мыло по типу test_user_air_droid@gmail.com , пример пароля test123 - зачем, расскажем дальше;
  2. Мы будем искать людей на вакансию тестировщика приложения (навыки работы не требуются, особых умений не нужно, только скачать приложение и проверить функционал) оплата 40-60 долларов, зависимо от времени тестирования софта, аванс 50% . Наша задача - найти МАКСИМАЛЬНО большое количество людей, размещая обьявления на различные доски, форумы, вк, ок и тд , обращений будет много, так как предложение очень заманчиво. После того, как люди начнут вам писать и узнавать подробности, пишем примерный текст​: "Добрый день, спасибо, что обратились к нам. Программа называется AirDroid, официально одобрена Play Market'ом, на рынке уже больше года. Вкратце о работе - Наши пользователи начали жаловаться о том, что приложение начинает "глючить" во время зарядки мобильного, поэтому тестировать работу приложения мы будем при подключении телефона к зарядному устройству. Все ошибки постараемся найти и устранить в течении одного часа! По поводу оплаты - за работу, мы заплатим Вам от 40 до 60 долларов, зависимо от того, на сколько затянется процесс, но точно, не более часа. А непосредственно после установки, мы готовы будем оплатить аванс 20 долларов на карту Вашего банка. Если такие условия Вас устраивают, пожалуйста, ждем Вашего ответа!"

Примерно 90% на практике соглашаются и спрашивают о дальнейших действиях. Далее пишем: "Перейдите по ссылке в плей-маркет, и установите приложение https://play.google.com/store/apps/details?id=com.sand.airdroid&hl=ru , после чего, введите логин и пароль (тот, что вы регистрировали на сайте) , дабы сотрудник из отдела программирования мог заниматься своей работой и составил необходимый отчет."

Примерно 60% согласятся выполнить данные пункты, отсеются те, кто поняли, что это приложение удаленного доступа. Все остальные даже не будут понимать суть данного приложения и сделают все как нужно. Как только человек выполнил все пункты, спрашиваем на какой банк переводить, и какой номер карты. После получения номера, говорим, что работа началась, поставьте телефон на зарядку, оплата аванса будет произведена в течении 15 минут.

Все, наша жертва готова, заходим в приложение на своем ПК, подрубаемся к телефону жертвы и заходим в смс. Еще, если вдруг связь с телефоном теряется, оперативно пишем нашей жертве и просим, чтобы она выключила и включила приложение (так бывает, когда долгое бездействие).

Наша задача только списать деньги на свою карту посредством отправки СМС (образцы смс разные зависимо от банка жертвы, смотрим в гугле) далее, если вам пришел код подтверждения, быстро отправляем его, чтобы жертва не спалила! Отправлять можно суммы от 500-1000 рублей, по несколько раз, главное быстро!

И да, не забываем о безопасности и о левых картах, не знаем, работает ли перевод на виртуальные карты, в любом случае пробуйте.

Таким образом, даже при очень плохом уровне СИ, в сутки можно делать от 1-2 тысяч рублей. Да, нужно научиться, да, нужно "придрочиться"! Поэтому дерзайте и не опускайте руки! Главное делайте так, чтобы вам писало максимальное количество людей в сутки, потейте.

В любом случае, это не твердое руководство, а лишь краткое описание рабочего способа заработка, поэтому прилагайте усилия, и у вас все получится.

August 15, 2018
by @lizardsquad
0
37

Как взломать терминал QIWI

lizard Squad расскажет о 5 способах взломах терминалов QIWI. Для начала отметим, что терминалы QIWI охраняются не так тщательно, как банкоматы. После вскрытия банкомата охрана приезжает через 3 минуты. А зачем грабить банкомат, который имеет множество степеней защиты и поставлен на пультовую охрану, когда есть ящики с деньгами, не имеющие вообще никаких защит и зачастую даже не стоят под камерами наблюдения. В платежных терминала мало денег, скажете вы? Это не проблема, т.к. перед ограблением можно зарядить деньгами терминал пополнив qiwi кошелек, а потом их же и забрать. А теперь расскажем о 5 способах взлома.


Для Медвежатников

Замок в терминале несложный и банальная отмычка поможет открыть дверцу - правда тут нужно обладать ловкими руками,что дано не всем.


Взлом софта

Киви терминал работает на ОС Windows XP, сама прошивка низкого качества и в ней есть несколько уязвимостей. Большинство из них не известны широкой публике, однако есть люди которые продают такую информацию.


Рыбалка

Довольно нехитрый способ, суть заключается в том, что надо вытащить заглоченную купюру как рыбку из пруда. Есть два варианта - первый это привязывание лески к купюре, второй делаем длинную купюру при помощи либо скотча либо длинного листка бумаги скрепленного с купюрой.


Транспортировка

Самый простой и надежный способ - это взять терминал подмышку, донести до машины и с ним уехать, времени займет меньше минуты. Весит он очень мало по сравнению с банкоматом - около 85 кг, справится можно одному или лучше вдвоем. Если в районе установки терминала нет камер, то можно даже сделать вид, что терминал забирается на обслуживание техниками. Терминал можно погрузить в тачку либо же дотащить до подворотни, где его и раскурочить.


Физический взлом

Как говорится против лома нет приема, у терминалов в отличи от банкоматов довольно простенькая защита от грубого физического воздействия. Вставляете гвоздодер между панелями и проворачиваете.

Еще есть вариант бить кувалдой по центру, тогда дверца вогнется внутрь и ее можно будет открыть.


Опасности

-на каждом терминале есть камера, которая смотрит в лицо клиенту, поэтому нужна либо маска, либо заклеить камеру наклейкой;

-неподалеку от терминалов могут быть камеры в самых неожиданных местах, хотя есть много таких, где их нет вовсе;

-многих палят именно на выводе денег с киви кошелька, используйте обмен киви на биткоины и прогоны через 2-3 обменника прежде чем обналичить деньги;

-хотя в терминал можно загрузить до 7 500 000 рублей, у некоторых терминалов есть установленное владельцем ограничение в 300 000 - 500 000 руб, при достижении которого терминал перестает зачислять деньги на киви кошелек, хотя и продолжет принимать деньги. Все что было внесено выше лимита будет зачислено на киви кошелек только после того, как приедет владелец терминала и заберет деньги с терминала. Тем не менее даже 300 000 руб, за 5 минут работы это неплохие бабки, а риск в 100 раз ниже чем при работе с банкоматом;

-не перепутайте бокс для денег с принтером который печатает чеки.

August 14, 2018
by @lizardsquad
0
20

Как создаются магазины-лохотроны в интернете.

Виды сайтов:

Полноценный ресурс. Само название говорит за себя. Перед глазами будущей жертвы находится полноценный сайт, это может быть онлайн- магазин, форум, доска объявлений и т.д. 

Плюсы подобных ресурсов заключаются в количестве товара, тем самым вы создаете более высокий интерес общей массы пользователей, больше вариаций поисковых ключей, а также разброс цен, ведь один клиент может купить товар за 3 тысячи рублей, второй же сделает этот за 10 тысяч и т.д 


landing page. Одностраничный сайт ориентирован на один или несколько товаров схожей тематики. С одной стороны, вы не можете работать на большую клиентуру, но можете более детально "отрабатывать" по ЦА определенного товара, тем самым в процентном соотношении к вам заходят меньше "поглазеть". Преимущества лендингов со своими коллегами (обычными ресурсами) заключается в конверсии, а также при грамотно сконструированном лендинге вы можете правильно выстроить поведение пользователя во время посещения собственно лендинга, называют подобное явление "автоворонкой". 


Расходы 

Сайт. Расходы на лендинг и полноценный сайт, конечно, сильно различаются. Лендинг выходит в среднем в 4-5 раз дешевле. Если приводить цифры, то грамотно продуманный лендинг выходит в среднем 10-30 тысяч, в то время как полноценный ресурс выходит в 40-150к. 

Но опять же, смотря у кого вы заказываете данную работу. Можем лишь добавить, что не стоит заказывать в веб-студиях и у Антошки с соседнего подъезда. Отметим, что чаще всего коллективу, который промышляет обманом, обычно делает проекты один и тот же человек, либо в самом коллективе есть профессиональный верстальщик, так как от опытности создавать именно лохотроны, будет на прямую зависеть профит с ресурса, а так же не только знающие свое дело, смогут привязать формы оплаты, которые необходимы именно вам.


Реклама. Любой продукт требует рекламы, и лохотроны в этом списке также есть. Основной поток клиентов идет с Яндекс.Директ и Google Adwords. В среднем, один ресурс требует 15-30 тысяч рублей в месяц. Но можете выдохнуть, так как данную сумму не нужно тратить за один раз, порой на старт проекта тратится 2-3к рублей, и в дальнейшем рекламный бюджет пополняется с дохода самого ресурса. 


Хостинг. Ресурсу необходимо где- то находиться, верно? Поэтому арендуется хостинг, стоимость их крайне низкая, большинство хостеров на минимальных тарифах берут 100-120 рублей. 


Домен. Доменное имя дается каждому ресурсу, собственно, по нему и выводит на ваш сайт, арендуется на год, средняя стоимость 150-300 рублей, если на ru сегменте. 


Принцип работы подобных ресурсов. 

Принцип работы крайне прост, как уже частично описывалось выше, но повторенье - мать ученья. Клиент попадает на ваш ресурс, оплачивает продукт и идет нахуй - вот собственно и весь секрет:) 

Дальше деньги выводятся на левые яндекс.деньги, либо киви, и все, они ваши. 

Для большей конверсии рекомендуем, конечно, настраивать обратную связь (окошко чата, ссылка на группу в вк, почтовый ящик для связи), так как после общения человек более тепло относится к вашему ресурсу, следовательно, вероятность покупки увеличивается на 30-40%.


Доход подобного проекта 

Доход напрямую зависит от объемов рекламы, тематики ресурса, вида ресурса, но мы ведь говорим о средних цифрах, так?) 

В среднем лендинг приносит в месяц 30-50к+ чистыми владельцу проекта, при этом цены лендинга недостаточно высокие, чтоб жертва шла в полицию и, тем более, чтоб полиция вас искала. 

Полноценный сайт приносит уже на порядок больше, в среднем 80-130 тысяч рублей в месяц, но опять же, продавая товар, за который вас не будут искать. Так как продавая те же айфоны по 30 тысяч за шт и так по несколько шт в день, то, конечно, большая вероятность, что вас начнут искать. 

August 11, 2018
by @lizardsquad
0
17
Show more