symkin163
Пользователь
- Регистрация
- 2/4/11
- Сообщения
- 382
Кардинг – это одна из отраслей хакинга с конкретной специализацией, заключающейся в махинациях с банковскими картами. В деле кардерства существует строгая специализация. Кто-то добывает пин-коды и номера карт, кто-то изготавливает так называемый "белый пластик" - кредитные карты, на которых записаны данные настоящей карты, но которые не выглядят, как настоящие, кто-то наносит на данный пластик рисунки, эмблемы и голограммы с целью придать ей вид настоящей карты. А кто-то, в основном малолетки и бомжи, идут и обналичивают эти карты или покупают на них что-либо. Как бы там ни было, в любом случае суть кардинга – это использование чужой кредитной карты, либо данных банковских счетов для проведения мошеннических операций и лишения вас ваших денежных средств.
Кардинг можно разделить на две категории: реальный кардинг – создание физических дубликатов кредитных карт и обналичивание по ним денег в банкоматах или магазинах; сетевой кардинг – обналичивание средств путем совершения покупок в интернет-магазинах и проведения других онлайн платежей с использованием похищенных реквизитов чужой кредитной карты без изготовления ее физического дубликата. Сетевой кардинг является именно веб-мошенничеством, т.к. реквизиты кредитных карт, как правило, берут со взломанных серверов Интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (часто с помощью "троянов" и "червей"). Наиболее распространённым методом воровства реквизитов электронных кредитных карт на сегодня является фишинг (англ. phishing, искаженное "fishing" – "рыбалка") – создание мошенниками сайта, который будет пользоваться доверием у пользователя. Например, сайт, похожий на сайт банка пользователя кредитной карты, через который, собственно, и воруется кредитная карта. Также на сегодняшний день появилось множество сервисов, где можно приобрести ворованные реквизиты из рук других кардеров, которые торгуют ими оптом, обычно по 1-2 $ за штуку. Один из самых крупных комьюнити кардеров долгое время был carderplanet.net. Там собирались веб-мошенники, делились новостями и технологиями, ну и заодно осуществляли сделки по купле/продаже различных "аксессуаров" для кардинга. Однако ресурс был обнаружен и закрыт властями. Но разумеется, существенных успехов в борьбе с кардингом это не принесло. В настоящее время, благодаря кардингу, страховые и банковские службы ежегодно теряют миллионы долларов. Каким образом воруют?
Способ 1. Этот способ основан на уязвимости OnLine магазинов. Достаточно зайти на какой-нибудь известный поисковик (например,
/orders
/Order
/Orders
/order
/config
/Admin_files
/mall_log_files
/PDG_Cart PDG_Cart
/order.log PDG_Cart
/shopper.conf
/pw /store
/customers
/store
/temp_customers
/WebShop
/webshop
/WebShop
/templates
/WebShop
/logs
/cgi
/PDG_Cart
/order.log
/PDG_Cart
/authorizenets.txt
/cgi-bin/PDG_Cart
/mc.txt
/PDG
/order.txt
/cgi-bin
/PDG_cart
/card.txt
/PDG_Cart
/shopper.conf
/php/mlog.phtml
/php
/mylog.phtml
/webcart
/carts
/cgi-bin
/orders.txt
/WebShop
/logs
/cgi-bin
/AnyForm2
/cgi-bin/mc.txt
/ccbill/secure
/ccbill.log
/cgi-bin
/orders
/mc.txt
/WebCart
/orders.txt
/cgi-bin
/orders
/cc.txt
/cvv2.txt
/cgi-bin
/orderlog.txt
/WebShop/logs
Способ 2. Создание порносайта.
За это практически всегда готовы платить. Создается крутая начальная страница, желательно на флеше и без фреймов (так юзеры любят), и страница для бесплатного доступа (free trial) с десятком качественных фоток на ней. Делается регистрация для получения от ламеров/юзеров номеров их кредиток и данных, необходимых для изъятия данных с карты. Всей работы на 2 часа! При этом зарегистрировавшемуся обещается, что пароль для доступа будет выслан через 2 часа, и таким образом узнается еще и почтовый ящик - двойная выгода. Понятно, что пароль никто не пришлет, но зато придет уведомление о том, что сайт временно не работает. Основная фишка: не загибать цен. А кредитные карты обманщиками проверяются на то, не являются ли несовершеннолетние их владельцами. Данный способ дает доступ к минимальному количеству карт. Т.е. создание подобного сайта становится для мошенников не очень прибыльным. Поэтому у них
Способ 3. есть идея получше: открытие интернет-магазина.
Посетителям предлагаются различные продукты по ценам ниже рыночных . Как это делается? Очень просто: вымогатели просто предлагют, но ничего не продают. Например: создаётся сайт по продаже супернаворороченных компьютеров по смешной цене. После некой рекламы про супернизкие цены на сайт приходит посетитель и хочет купить данные компы. Он покупает их с помощью банковской карты, данные которой уходят на е-mail взломщикам, а через пару дней покупатель получает письмо такого содержания: Компания извиняется, но выполнение услуги невозможно,
Способ 4. MetaCart2.sql - система покупок, основанная на ASP + MS SQL.
Обнаруженная уязвимость в программе позволяет атакующему получить доступ к базе данных, где хранятся чувствительные данные (номера кредитных карточек, адреса, E-mail и т.п). Уязвимость обнаружена в MetaLinks MetaCart2.sql. Эта система стояла на многих онлайн-магазинах. Сам по себе Cart32 был очень дырявый, можно было просматривать базы данных с кредитными карточками. К счастью, сисадмины дырки позакрывали. Сейчас существует почти аналог Cart32, так назваемый VP-ASP. Он, как ни странно тоже дырявый. Все нижеописанные действия проводятся через анонимный прокси. К примеру, набрав на Альтависта shopadmin.asp, выбирается любой сайт, который предлагает ввести пароль и логин. По дефолту пароль с логином: admin/admin, vpasp/vpasp или 'or''='. Если удалось зайти, то хакер может смотреть/удалять/изменять разные данные: списки товаров, категории товаров, а также информацию о банковских картах. Но если сисадмин грамотный, то он изменяет пароль. В таком случае хакеры опять могут получить доступ по дефолту к базе данных о пользователях в незашифровонном виде, которая находится в файле shopping300.mdb/shopping400.mdb. Опять же грамотный админ может изменить имя файла. В таком случае мошенники могут просмотреть файл shopdbtest.asp, который доступен всем и раскрывает месторасположение базы данных внутри значения xDatabase. Копируется имя файла и добавляется расширение .mdb, так как имя файла прописано без расширения. Если мошеннику повезло и у него все получилось, то у него в руках база дынных кредиток, которыми он, возможно, сам пользоваться не станет, а продаст.
Способ 5. В больших супермаркетах принимают к оплате кредитные карты.
У покупателя после подобной оплаты остается чек и "Слип". И многие просто выкидывают его в урну. Не стоит этого делать, так как кардер получает практически настоящую карту. Здесь подходят только Visa, MasterCard и AmericanExpress (aka Amex). (Это обычно пишется на слипе.)
Способ 6.
Кардер может попросить друга-официанта незаметно переписать номер карты и дать/продать его, поэтому не стоит даже не некоторое время давать в руки посторонним людям свои карты.
Способ 7.
Крупный хакер в состоянии взломать какой-нибудь web-shop и скопировать файл или лог с данными о картах.
Скимминг
Частным случаем кардинга является скимминг (от англ. skim — снимать сливки), при котором используется скиммер - инструмент для считывания, например, магнитной дорожки платёжной карты. Устройство устанавливается в картоприёмник и картридер на входной двери с зону обслуживания клиентов в помещении банка и представляет собой девайс со считывающей магнитной головкой, усилителем-преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга - считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при проведении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, "скиммированной" карты. Вместе со скиммером может использоваться миниатюрная видеокамера, устанавленная на банкомат и направленная на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов, так можно получить ПИН держателя, а затем получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной). Данные устройства питаются от автономных источников энергии - миниатюрных батарей электропитания, а чтобы их сложнее было обнаружить, изготавливаются и маскируются под цвет и форму банкомата. Скиммеры могут как накапливать украденную информацию о пластиковых картах, так дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости. Скопированная информация дает возможность изготовить дубликат карты и, зная ПИН, снять все деньги в пределах лимита выдачи, как в России, так и за рубежом. Кроме того, мошенники, используя полученную информацию о банковской карте, могут совершать покупки в торговых точках.
Кардинг можно разделить на две категории: реальный кардинг – создание физических дубликатов кредитных карт и обналичивание по ним денег в банкоматах или магазинах; сетевой кардинг – обналичивание средств путем совершения покупок в интернет-магазинах и проведения других онлайн платежей с использованием похищенных реквизитов чужой кредитной карты без изготовления ее физического дубликата. Сетевой кардинг является именно веб-мошенничеством, т.к. реквизиты кредитных карт, как правило, берут со взломанных серверов Интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (часто с помощью "троянов" и "червей"). Наиболее распространённым методом воровства реквизитов электронных кредитных карт на сегодня является фишинг (англ. phishing, искаженное "fishing" – "рыбалка") – создание мошенниками сайта, который будет пользоваться доверием у пользователя. Например, сайт, похожий на сайт банка пользователя кредитной карты, через который, собственно, и воруется кредитная карта. Также на сегодняшний день появилось множество сервисов, где можно приобрести ворованные реквизиты из рук других кардеров, которые торгуют ими оптом, обычно по 1-2 $ за штуку. Один из самых крупных комьюнити кардеров долгое время был carderplanet.net. Там собирались веб-мошенники, делились новостями и технологиями, ну и заодно осуществляли сделки по купле/продаже различных "аксессуаров" для кардинга. Однако ресурс был обнаружен и закрыт властями. Но разумеется, существенных успехов в борьбе с кардингом это не принесло. В настоящее время, благодаря кардингу, страховые и банковские службы ежегодно теряют миллионы долларов. Каким образом воруют?
Способ 1. Этот способ основан на уязвимости OnLine магазинов. Достаточно зайти на какой-нибудь известный поисковик (например,
/orders
/Order
/Orders
/order
/config
/Admin_files
/mall_log_files
/PDG_Cart PDG_Cart
/order.log PDG_Cart
/shopper.conf
/pw /store
/customers
/store
/temp_customers
/WebShop
/webshop
/WebShop
/templates
/WebShop
/logs
/cgi
/PDG_Cart
/order.log
/PDG_Cart
/authorizenets.txt
/cgi-bin/PDG_Cart
/mc.txt
/PDG
/order.txt
/cgi-bin
/PDG_cart
/card.txt
/PDG_Cart
/shopper.conf
/php/mlog.phtml
/php
/mylog.phtml
/webcart
/carts
/cgi-bin
/orders.txt
/WebShop
/logs
/cgi-bin
/AnyForm2
/cgi-bin/mc.txt
/ccbill/secure
/ccbill.log
/cgi-bin
/orders
/mc.txt
/WebCart
/orders.txt
/cgi-bin
/orders
/cc.txt
/cvv2.txt
/cgi-bin
/orderlog.txt
/WebShop/logs
Способ 2. Создание порносайта.
За это практически всегда готовы платить. Создается крутая начальная страница, желательно на флеше и без фреймов (так юзеры любят), и страница для бесплатного доступа (free trial) с десятком качественных фоток на ней. Делается регистрация для получения от ламеров/юзеров номеров их кредиток и данных, необходимых для изъятия данных с карты. Всей работы на 2 часа! При этом зарегистрировавшемуся обещается, что пароль для доступа будет выслан через 2 часа, и таким образом узнается еще и почтовый ящик - двойная выгода. Понятно, что пароль никто не пришлет, но зато придет уведомление о том, что сайт временно не работает. Основная фишка: не загибать цен. А кредитные карты обманщиками проверяются на то, не являются ли несовершеннолетние их владельцами. Данный способ дает доступ к минимальному количеству карт. Т.е. создание подобного сайта становится для мошенников не очень прибыльным. Поэтому у них
Способ 3. есть идея получше: открытие интернет-магазина.
Посетителям предлагаются различные продукты по ценам ниже рыночных . Как это делается? Очень просто: вымогатели просто предлагют, но ничего не продают. Например: создаётся сайт по продаже супернаворороченных компьютеров по смешной цене. После некой рекламы про супернизкие цены на сайт приходит посетитель и хочет купить данные компы. Он покупает их с помощью банковской карты, данные которой уходят на е-mail взломщикам, а через пару дней покупатель получает письмо такого содержания: Компания извиняется, но выполнение услуги невозможно,
Способ 4. MetaCart2.sql - система покупок, основанная на ASP + MS SQL.
Обнаруженная уязвимость в программе позволяет атакующему получить доступ к базе данных, где хранятся чувствительные данные (номера кредитных карточек, адреса, E-mail и т.п). Уязвимость обнаружена в MetaLinks MetaCart2.sql. Эта система стояла на многих онлайн-магазинах. Сам по себе Cart32 был очень дырявый, можно было просматривать базы данных с кредитными карточками. К счастью, сисадмины дырки позакрывали. Сейчас существует почти аналог Cart32, так назваемый VP-ASP. Он, как ни странно тоже дырявый. Все нижеописанные действия проводятся через анонимный прокси. К примеру, набрав на Альтависта shopadmin.asp, выбирается любой сайт, который предлагает ввести пароль и логин. По дефолту пароль с логином: admin/admin, vpasp/vpasp или 'or''='. Если удалось зайти, то хакер может смотреть/удалять/изменять разные данные: списки товаров, категории товаров, а также информацию о банковских картах. Но если сисадмин грамотный, то он изменяет пароль. В таком случае хакеры опять могут получить доступ по дефолту к базе данных о пользователях в незашифровонном виде, которая находится в файле shopping300.mdb/shopping400.mdb. Опять же грамотный админ может изменить имя файла. В таком случае мошенники могут просмотреть файл shopdbtest.asp, который доступен всем и раскрывает месторасположение базы данных внутри значения xDatabase. Копируется имя файла и добавляется расширение .mdb, так как имя файла прописано без расширения. Если мошеннику повезло и у него все получилось, то у него в руках база дынных кредиток, которыми он, возможно, сам пользоваться не станет, а продаст.
Способ 5. В больших супермаркетах принимают к оплате кредитные карты.
У покупателя после подобной оплаты остается чек и "Слип". И многие просто выкидывают его в урну. Не стоит этого делать, так как кардер получает практически настоящую карту. Здесь подходят только Visa, MasterCard и AmericanExpress (aka Amex). (Это обычно пишется на слипе.)
Способ 6.
Кардер может попросить друга-официанта незаметно переписать номер карты и дать/продать его, поэтому не стоит даже не некоторое время давать в руки посторонним людям свои карты.
Способ 7.
Крупный хакер в состоянии взломать какой-нибудь web-shop и скопировать файл или лог с данными о картах.
Скимминг
Частным случаем кардинга является скимминг (от англ. skim — снимать сливки), при котором используется скиммер - инструмент для считывания, например, магнитной дорожки платёжной карты. Устройство устанавливается в картоприёмник и картридер на входной двери с зону обслуживания клиентов в помещении банка и представляет собой девайс со считывающей магнитной головкой, усилителем-преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга - считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при проведении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, "скиммированной" карты. Вместе со скиммером может использоваться миниатюрная видеокамера, устанавленная на банкомат и направленная на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов, так можно получить ПИН держателя, а затем получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной). Данные устройства питаются от автономных источников энергии - миниатюрных батарей электропитания, а чтобы их сложнее было обнаружить, изготавливаются и маскируются под цвет и форму банкомата. Скиммеры могут как накапливать украденную информацию о пластиковых картах, так дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости. Скопированная информация дает возможность изготовить дубликат карты и, зная ПИН, снять все деньги в пределах лимита выдачи, как в России, так и за рубежом. Кроме того, мошенники, используя полученную информацию о банковской карте, могут совершать покупки в торговых точках.
