Откровения бывшего киберпреступника

Практически всем довелось слышать стандартные рекомендации, как предотвратить кражу персональных данных и не стать жертвой «карточных» мошенников. Однако часто ли преступники сами делятся своими «секретами мастерства»? Сайт CreditCards.com публикует интервью с Дэном ДеФелиппи, который был осужден в 2004 году за незаконные операции с кредитками. «Меры безопасности никогда не бывают чрезмерными», — говорит он.

29-летний ДеФелиппи в основном подделывал кредитки, пользуясь информацией о пластиковых картах, которую он находил онлайн. «Я создавал фальшивые удостоверения личности и покупал лэптопы и прочие дорогие вещи, а потом продавал их на eBay», — признается он. Кроме того, ДеФилиппи занимался и фишингом (от англ. phishing, кража данных посредством подставных интернет-сайтов или программного обеспечения. — Прим. ред.), в основном его жертвами были пользователи AOL (веб-ресурс America OnLine) и дебетовой электронной платежной системы PayPal. Мошенничества с кредитными картами — «это по-прежнему до смешного просто. Любой, у кого есть компьютер и 100 долларов, может без труда этим заняться», утверждает ДеФелиппи.

Согласно приговору, преступник получил восемь лет тюремного заключения, однако, согласившись признать себя виновным, он получил возможность замены наказания на участие в исправительных работах и выплату 200 тыс. долларов за нанесенный ущерб. Помимо того он сотрудничал с Секретной службой США U. S. Secret Service), помогая отслеживать источники мошенничеств и проводя тренинги для сотрудников этой организации по наиболее актуальным преступным технологиям. В течение двух лет он помог арестовать около 15 злоумышленников. Сегодня ДеФелиппи работает веб-разработчиком и графическим дизайнером в Рочестере (штат Нью-Йорк). В интервью он рассказывает свою историю и дает советы читателям о том, какие правила безопасности нужно соблюдать, чтобы не стать жертвой подобных преступлений.

— Как все началось?

— Когда я был в средних и старших классах, занимался тем, что можно назвать «невинным хакерством». Я не стремился таким образом делать деньги — мне просто было интересно этим заниматься. В колледже я начал подделывать удостоверения личности и продавать их. Я был активным участником одного из интернет-чатов, где люди часто обсуждали эту тему, и постепенно начал понимать, что это благодатная почва для кредитных преступлений и что я могу хорошо заработать на этом, не особенно напрягаясь. И вот с этого момента я покатился по наклонной.

— Вы говорили, что покупали данные о кредитных картах онлайн. Расскажите об этом подробнее.

— У пластиковых карт имеется магнитная полоса с записанными данными. Некоторые хакеры взламывают компьютеры, на которых эта информация хранится. Кроме того, обслуживающий персонал в ресторанах и прочих подобных местах иногда использует скиммеры (от англ. skimmer, прибор для считывания данных с пластиковых карт. — Прим. ред.). Они также продают такие данные в Интернете. За данные об одной карте я платил от 10 до 50 долларов. Затем при помощи кодирующего устройства записывал эти данные на поддельный «пластик», шел в магазин и совершал при помощи этой карты покупки.

— Отдают ли преступники предпочтение каким-либо особым картам?

— Многие карты American Express в США не имеют установленных расходных лимитов, поэтому, пользуясь ими, можно совершить очень много покупок. С другой стороны, многие магазины требуют больших мер безопасности по отношению к American Express, нежели к другим видам пластика. Для совершения операций с AmEx с вас могут потребовать дополнительно ввести четырехзначный код на лицевой стороне карты или ваш zip-код (код согласно системе почтовых индексов, используемой Почтой США. — Прим. ред.). Как правило, подобная информация не записана на магнитной полосе карты. Так что мошенникам в дополнение к номеру карты нужен четырехзначный код или zip-код.

— Что скажете о дебетовых картах?

— Я всегда был против их использования. Если вы пользуетесь дебетовыми картами, то на счету хранятся ваши реальные деньги. И если кто-либо украдет данные о вашей карте, подделает ее и украдет с нее средства, то убедить банк вернуть вам деньги будет очень сложно, это потребует долгой бумажной волокиты. Кредитки гораздо надежнее в плане защиты от мошенничества. А если вы беспокоитесь насчет задолженностей, то вам следует просто исправно вносить платежи каждый месяц.

— Какой самый главный совет по финансовой безопасности вы можете дать?

— Вероятно, вы слышали его и раньше — внимательно следите за своими счетами. И я имею в виду не просмотр кредитных выписок раз в месяц. Если вы так поступаете, то мошенники могут воспользоваться вашими данными в начале месяца и нанести вам огромный ущерб, который вы заметите слишком поздно. Речь может идти о тысячах долларов, которые будет нелегко вернуть, а злоумышленников будет трудно поймать. Для отслеживания средств на счетах существуют специальные веб-ресурсы, например Mint.com, где информация обо всех счетах объединена в единую базу. Я заглядываю на этот сайт каждый день, и, кроме того, стоит дважды в год проверять данные о своей кредитной истории, чтобы быть уверенным в том, что никто не воспользовался вашими данными.

— Безопасен ли шопинг онлайн?

— Здесь нужна осторожность. Сейчас легко открыть поддельный онлайн-магазин или магазин, главная цель деятельности которого — не продавать товары, а собирать данные о кредитках покупателей. Лично я пользовался бы лишь магазинами с проверенной репутацией, о которых есть хорошие отзывы. В некоторых онлайн-магазинах предлагаются востребованные товары по нереально низким ценам. Это слишком хорошо, чтобы быть правдой, и в подобных случаях велика опасность мошенничества. Кроме того, чем больше вашей личной информации требуется магазину, тем больше вы должны быть уверены, что эти требования адекватны и что сайт существует на законном основании. Не покупайте ничего по предложениям, присылаемым на e-mail, какими бы соблазнительными эти предложения ни были. Если вы получаете прямое электронное письмо от компании, о которой никогда ничего не слышали, не связывайтесь с ней.

— В чем заключалась суть вашей схемы фишинга?

— Сейчас люди гораздо опытнее в плане финансов. Когда я начинал, это не было столь распространенным явлением. На мои прямые письма я получал гораздо больше ответов. Прежде всего я ориентировался на пользователей AOL, поскольку предполагал, что они менее искушены в вопросах безопасности и легче попадутся на мою удочку (сервисами AOL, одного из старейших сетевых ресурсов, как правило, пользуется старшее поколение американцев, не обладающее большим опытом работы в Интернете. — Прим. ред.). Сообщения, которые я рассылал, содержали примерно такой текст: «Информация о вашей кредитной карте неактуальна. Зайдите на этот сайт и обновите свои данные, иначе ваш счет будет закрыт». То же самое я проделывал и с пользователями PayPal. Я рассылал письма, где говорилось: «Кто-то взломал ваш аккаунт. Ваш доступ на сайт заблокирован. Пожалуйста, в целях безопасности зайдите по этой ссылке и введите ваши данные». Ссылка вела на поддельный веб-сайт, и люди вводили на нем свои данные, а мы требовали ввести их заново для подтверждения информации.

— Где вы брали электронные адреса для этой рассылки?

— Существуют специальные программы, которые собирают с сайтов записанные адреса электронной почты, поэтому никогда не оставляйте свой адреса e-mail в свободном доступе. Когда я был заинтересован в определенной целевой аудитории, то собирал адреса на тематических ресурсах. К примеру, для мошенничества с PayPal мне нужны были люди моего возраста или помоложе, поэтому я работал со студентами колледжей и университетов. Я искал жителей штата Массачусетс, поскольку подделывал персональные удостоверения жителей именно этого региона. Кроме того, зная адреса e-mail, я узнавал даты рождения, адреса, номера полисов социального страхования и водительских прав. Таким образом, вся информация на моих поддельных удостоверениях была точной, за исключением фотографии. Самому иногда не по себе становилось из-за того, сколько информации мне удавалось выудить.

— Какие еще ошибки люди совершают, пользуясь своими кредитками в Сети?

— Когда вы онлайн, между вашим компьютером и Сетью происходит постоянный обмен информацией. Если кто-либо получает доступ к этой связи, это называется сниффингом (от англ. to sniff, одно из значений этого глагола переводится как «выслеживать, вынюхивать». — Прим. ред.). Таким образом злоумышленники могут получить информацию о том, с каким сайтом вы связываетесь. Поэтому очень важно заходить только на безопасные сайты, особенно если речь идет о важной личной информации, которую вы там размещаете. Еще одна из самых современных опасностей — это бесплатный wi-fi. В этом случае, скорее всего, никаких мер безопасности по борьбе с перехватом данных не предпринимается.

— Какие меры безопасности онлайн вы сами предпринимаете?

— Все финансовые сайты имеют двухступенчатую систему идентификации, то есть в дополнение к введенному паролю вам необходимо ввести что-либо еще. В системах многих банков это контрольные вопросы, но не стоит предаваться ложному чувству безопасности, ведь многое можно узнать о людях в Сети. Может, я и перестраховщик, но ответы на такие вопросы я попросту выдумываю и не размещаю никаких реальных данных. К примеру, один из самых распространенных вопросов — это «В каком городе вы поженились?». Я, правда, не женат, но на этот вопрос я отвечу таким образом, чтобы никто не мог вычислить правильный ответ. Я обязательно выдумываю ответ на хотя бы один из вопросов.

— Что вы посоветуете при пользовании банкоматами?

— Сейчас во главе угла наличные, а поскольку наличные находятся в банкоматах, то и скимминг (от англ. to skim, что означает «скользить по поверхности», перен. «снимать сливки». — Прим. ред.) получил широкое распространение. Вкратце скимминг — это когда специальное устройство, прикрепленное к кардридеру, считывает данные и пинкод кредитной карты, вслед за чем опустошается счет держателя карты. Часто скиммеры выглядят как часть банкомата, и их сложно обнаружить, тем более что сейчас они стали весьма сложными и высокотехнологичными. Поэтому стоит пользоваться одним и тем же банкоматом постоянно, чтобы в случае чего заметить, что с привычным устройством что-то не так, особенно вокруг кардридера. В основном я пользуюсь банкоматами в банках, а не в универмагах, барах или клубах. Бывало и такое, что злоумышленники устанавливали свои банкоматы со встроенными скиммерами. В банках такое вряд ли возможно.

— Как еще банки могут защитить своих клиентов?

— Прежде всего им следует отказаться от использования магнитных полос. Они практически не защищены, а скиммер за 5—10 долларов купить может каждый. Смарт-чипы, которые широко используются в Европе и по всему миру, гораздо безопаснее и устойчивее к «взлому». Они практически на 100% защищены от скимминга, если не считать необходимости вводить пинкод. Однако эмитенты кредитных карт подсчитали, что при пользовании чиповыми кредитками клиентам придется часто вводить пинкод, а значит, они реже будут пользоваться картами, а это банку невыгодно. Поэтому сейчас разрабатываются технологии, когда держателям не нужно будет даже вынимать карту из кармана, не говоря уж о том, чтобы пропускать ее через кардридер. Однако здесь тоже существует опасность, поскольку информацию с таких кредиток сможет считать кто угодно, имеющий соответствующее оборудование.

— На чем вы попались?

— Я с еще одним приятелем, с которым вместе работал, пошел в магазин бытовой электроники купить ноутбук, а менеджер там оказался хорошо подкованным. Когда карту моего приятеля пропустили через кардридер, менеджер попросил его удостоверение личности. Приятель дал ему поддельное водительское удостоверение, но затем на мониторе у кассы высветилась надпись «Запрос авторизации». Это очень плохой признак: если требуется авторизация, то, значит, в банке заподозрили что-то неладное. Менеджер сказал, что ему нужно пойти к администратору, чтобы закончить оформление покупки. После того как он ушел, мы тут же по-быстрому ушли из магазина. Однако проблема была в том, что у менеджера осталось поддельное водительское удостоверение моего приятеля с его фото, и это фото показали по телевизору. Приятеля вскоре арестовали, он все рассказал полиции, а вслед за ним поймали и меня. Мне повезло, что я не попал в тюрьму. Мне осталось еще по крайней мере два года исправительных работ, и если я как-то могу компенсировать все проблемы, которые я доставил людям, то, дав это интервью, я попытался это сделать.

Оригинал статьи: CreditCards.com

Перевела Наталья ЧЕРКАШИНА, Banki.ru