Что такое картинг, рассматривалось тут.
Кардинг – это одна из отраслей хакинга с конкретной специализацией, заключающейся в махинациях с банковскими картами. В деле кардерства существует строгая специализация. Кто-то добывает пин-коды и номера карт, кто-то изготавливает так называемый "белый пластик" - кредитные карты, на которых записаны данные настоящей карты, но которые не выглядят, как настоящие, кто-то наносит на данный пластик рисунки, эмблемы и голограммы с целью придать ей вид настоящей карты. А кто-то, в основном малолетки и бомжи, идут и обналичивают эти карты или покупают на них что-либо. Как бы там ни было, в любом случае суть кардинга – это использование чужой кредитной карты, либо данных банковских счетов для проведения мошеннических операций и лишения вас ваших денежных средств.
Кардинг можно разделить на две категории:
- реальный кардинг – создание физических дубликатов кредитных карт и обналичивание по ним денег в банкоматах или магазинах;
- сетевой кардинг – обналичивание средств путем совершения покупок в интернет-магазинах и проведения других онлайн платежей с использованием похищенных реквизитов чужой кредитной карты без изготовления ее физического дубликата.
Сетевой кардинг является именно веб-мошенничеством, т.к. реквизиты кредитных карт, как правило, берут со взломанных серверов Интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (часто с помощью "троянов" и "червей").
Наиболее распространённым методом воровства реквизитов электронных кредитных карт на сегодня является фишинг (англ. phishing, искаженное "fishing" – "рыбалка") – создание мошенниками сайта, который будет пользоваться доверием у пользователя. Например, сайт, похожий на сайт банка пользователя кредитной карты, через который, собственно, и воруется кредитная карта.
Также на сегодняшний день появилось множество сервисов, где можно приобрести ворованные реквизиты из рук других кардеров, которые торгуют ими оптом, обычно по 1-2 $ за штуку. Один из самых крупных комьюнити кардеров долгое время был carderplanet.net. Там собирались веб-мошенники, делились новостями и технологиями, ну и заодно осуществляли сделки по купле/продаже различных "аксессуаров" для кардинга. Однако ресурс был обнаружен и закрыт властями. Но разумеется, существенных успехов в борьбе с кардингом это не принесло. В настоящее время, благодаря кардингу, страховые и банковские службы ежегодно теряют миллионы долларов.
Каким образом воруют?
Способ 1.
Этот способ основан на уязвимости OnLine магазинов. Достаточно зайти на какой-нибудь известный поисковик (например, http://www.altavista.com/ или http://www.yahoo.com/) и ввести пару слов. Каких именно?! Многие админы оставляют открытыми такие директории:
/orders /Order /Orders /order /config /Admin_files /mall_log_files /PDG_Cart PDG_Cart/order.log PDG_Cart/shopper.conf /pw /store/customers /store/temp_customers /WebShop /webshop /WebShop/templates /WebShop/logs /cgi/PDG_Cart/order.log /PDG_Cart/authorizenets.txt /cgi-bin/PDG_Cart/mc.txt /PDG/order.txt /cgi-bin/PDG_cart/card.txt /PDG_Cart/shopper.conf /php/mlog.phtml /php/mylog.phtml /webcart/carts /cgi-bin/orders.txt /WebShop/logs /cgi-bin/AnyForm2 /cgi-bin/mc.txt /ccbill/secure/ccbill.log /cgi-bin/orders/mc.txt /WebCart/orders.txt /cgi-bin/orders/cc.txt /cvv2.txt /cgi-bin/orderlog.txt /WebShop/logs /orderb/shop.mdb /_private/shopping_cart.mdb /scripts/iisadmin/tools/mkilog.exe /cool-logs/mylog.html /cool-logs/mlog.html /easylog/easylog.html /HyperStat/stat_what.log /mall_log_files/ /scripts/weblog /super_stats/access_logs /trafficlog /wwwlog /Admin_files/order.log /bin/orders/orders.txt /cgi/orders/orders.txt /cgi-bin/orders/orders.txt /cgi-sys/orders/orders.txt /cgi-local/orders/orders.txt /htbin/orders/orders.txt /cgibin/orders/orders.txt /cgis/orders/orders.txt /scripts/orders/orders.txt /cgi-win/orders/orders.txt /bin/pagelog.cgi /cgi/pagelog.cgi /cgi-bin/pagelog.cgi /cgi-sys/pagelog.cgi /cgi-local/pagelog.cgi /cgibin/pagelog.cgi /cgis/pagelog.cgi /scripts/pagelog.cgi /cgi-win/pagelog.cgi /bin/DCShop/auth_data/auth_user_file.txt /cgi/DCShop/auth_data/auth_user_file.txt /cgi-bin/DCShop/auth_data/auth_user_file.txt /cgi-sys/DCShop/auth_data/auth_user_file.txt /cgi-local/DCShop/auth_data/auth_user_file.txt /htbin/DCShop/auth_data/auth_user_file.txt /cgibin/DCShop/auth_data/auth_user_file.txt /cgis/DCShop/auth_data/auth_user_file.txt /scripts/DCShop/auth_data/auth_user_file.txt /cgi-win/DCShop/auth_data/auth_user_file.txt /bin/DCShop/orders/orders.txt /cgi/DCShop/orders/orders.txt /cgi-bin/DCShop/orders/orders.txt /cgi-sys/DCShop/orders/orders.txt /cgi-local/DCShop/orders/orders.txt /htbin/DCShop/orders/orders.txt /cgibin/DCShop/orders/orders.txt /cgis/DCShop/orders/orders.txt /scripts/DCShop/orders/orders.txt /cgi-win/DCShop/orders/orders.txt /dc/auth_data/auth_user_file.txt /dcshop/orders/orders.txt /dcshop/auth_data/auth_user_file.txt /dc/orders/orders.txt /orders/checks.txt /orders/mountain.cfg /cgi-bin/shopper.cgi&TEMPLATE=ORDER.LOG /webcart/carts /webcart-lite/orders/import.txt /webcart/config /webcart/config/clients.txt /webcart/orders /webcart/orders/import.txt /WebShop/logs/cc.txt /WebShop/templates/cc.txt /bin/shop/auth_data/auth_user_file.txt /cgi/shop/auth_data/auth_user_file.txt /cgi-bin/shop/auth_data/auth_user_file.txt /cgi-sys/shop/auth_data/auth_user_file.txt /cgi-local/shop/auth_data/auth_user_file.txt /htbin/shop/auth_data/auth_user_file.txt /cgibin/shop/auth_data/auth_user_file.txt /cgis/shop/auth_data/auth_user_file.txt /scripts/shop/auth_data/auth_user_file.txt /cgi-win/shop/auth_data/auth_user_file.txt /bin/shop/orders/orders.txt /cgi/shop/orders/orders.txt /cgi-bin/shop/orders/orders.txt /cgi-sys/shop/orders/orders.txt /cgi-local/shop/orders/orders.txt /htbin/shop/orders/orders.txt /cgibin/shop/orders/orders.txt /cgis/shop/orders/orders.txt /scripts/shop/orders/orders.txt /cgi-win/shop/orders/orders.txt /bin/shop.pl/page=;cat%20shop.pl /cgi/shop.pl/page=;cat%20shop.pl /cgi-bin/shop.pl/page=;cat%20shop.pl /cgi-sys/shop.pl/page=;cat%20shop.pl /cgi-local/shop.pl/page=;cat%20shop.pl /htbin/shop.pl/page=;cat%20shop.pl /cgibin/shop.pl/page=;cat%20shop.pl /cgis/shop.pl/page=;cat%20shop.pl /scripts/shop.pl/page=;cat%20shop.pl /cgi-win/shop.pl/page=;cat%20shop.pl /bin/cart.pl /cgi/cart.pl /cgi-bin/cart.pl /cgi-sys/cart.pl /cgi-local/cart.pl /htbin/cart.pl /cgibin/cart.pl /scripts/cart.pl /cgi-win/cart.pl /cgis/cart.pl /bin/cart.pl /cgi/cart.pl /cgi-bin/cart.pl /cgi-sys/cart.pl /cgi-local/cart.pl /htbin/cart.pl /cgibin/cart.pl /cgis/cart.pl /scripts/cart.pl /cgi-win/cart.pl /bin/cart32.exe /cgi/cart32.exe /cgi-bin/cart32.exe /cgi-sys/cart32.exe /cgi-local/cart32.exe /htbin/cart32.exe /cgibin/cart32.exe /cgis/cart32.exe /scripts/cart32.exe /cgi-win/cart32.exe /cgi-bin/www-sql;;; /server%20logfile;;; /cgi-bin/pdg_cart/order.log /cgi-bin/shopper.exe?search /orders/order.log /orders/import.txt /orders/checks.txt /orders/orders.txt /Orders/order.log /order/order.log /WebShop/logs/ck.log /WebShop/logs/cc.txt /WebShop/templates/cc.txt /_private/orders.txt
В директориях подобного рода содержатся файлы типа:
orders.txt order.txt import.txt checks.txt order_log order.log orders.log orders_log log_order log_orders temp_order temp_orders order_temp orders_temp quikstore.cfg quikstore.cgi order_log_v12.dat also order_log.dat web_store.cgi storemgr.pw admin.pw cc.txt ck.log shopper.conf Также нужно смотреть *.cfg, *.pw и *.olf файлы
Стоит набрать в поисковой строке, к примеру, "Index of /orders.log", далее простой перебор нужных ссылок, а потом проверка полученых кредиток. Вот таким образом злоумышленники получают доступ к вашим картам.
Способ 2.
Создание порносайта. За это практически всегда готовы платить. Создается крутая начальная страница, желательно на флеше и без фреймов (так юзеры любят), и страница для бесплатного доступа (free trial) с десятком качественных фоток на ней. Делается регистрация для получения от ламеров/юзеров номеров их кредиток и данных, необходимых для изъятия данных с карты. Всей работы на 2 часа! При этом зарегистрировавшемуся обещается, что пароль для доступа будет выслан через 2 часа, и таким образом узнается еще и почтовый ящик - двойная выгода. Понятно, что пароль никто не пришлет, но зато придет уведомление о том, что сайт временно не работает. Основная фишка: не загибать цен. А кредитные карты обманщиками проверяются на то, не являются ли несовершеннолетние их владельцами. Данный способ дает доступ к минимальному количеству карт. Т.е. создание подобного сайта становится для мошенников не очень прибыльным. Поэтому у них
Способ 3.
есть идея получше: открытие интернет-магазина. Посетителям предлагаются различные продукты по ценам ниже рыночных . Как это делается? Очень просто: вымогатели просто предлагют, но ничего не продают. Например: создаётся сайт по продаже супернаворороченных компьютеров по смешной цене. После некой рекламы про супернизкие цены на сайт приходит посетитель и хочет купить данные компы. Он покупает их с помощью банковской карты, данные которой уходят на е-mail взломщикам, а через пару дней покупатель получает письмо такого содержания: Компания извиняется, но выполнение услуги невозможно, или что-то подобное...
Способ 4.
MetaCart2.sql - система покупок, основанная на ASP + MS SQL. Обнаруженная уязвимость в программе позволяет атакующему получить доступ к базе данных, где хранятся чувствительные данные (номера кредитных карточек, адреса, E-mail и т.п). Уязвимость обнаружена в MetaLinks MetaCart2.sql. Эта система стояла на многих онлайн-магазинах. Сам по себе Cart32 был очень дырявый, можно было просматривать базы данных с кредитными карточками. К счастью, сисадмины дырки позакрывали.
Сейчас существует почти аналог Cart32, так назваемый VP-ASP. Он, как ни странно тоже дырявый. Все нижеописанные действия проводятся через анонимный прокси. К примеру, набрав на Альтависта shopadmin.asp, выбирается любой сайт, который предлагает ввести пароль и логин. По дефолту пароль с логином: admin/admin, vpasp/vpasp или 'or''='. Если удалось зайти, то хакер может смотреть/удалять/изменять разные данные: списки товаров, категории товаров, а также информацию о банковских картах. Но если сисадмин грамотный, то он изменяет пароль.
В таком случае хакеры опять могут получить доступ по дефолту к базе данных о пользователях в незашифровонном виде, которая находится в файле shopping300.mdb/shopping400.mdb. Опять же грамотный админ может изменить имя файла. В таком случае мошенники могут просмотреть файл shopdbtest.asp, который доступен всем и раскрывает месторасположение базы данных внутри значения xDatabase. Копируется имя файла и добавляется расширение .mdb, так как имя файла прописано без расширения. Если мошеннику повезло и у него все получилось, то у него в руках база дынных кредиток, которыми он, возможно, сам пользоваться не станет, а продаст.
Способ 5.
В больших супермаркетах принимают к оплате кредитные карты. У покупателя после подобной оплаты остается чек и "Слип". И многие просто выкидывают его в урну. Не стоит этого делать, так как кардер получает практически настоящую карту. Здесь подходят только Visa, MasterCard и AmericanExpress (aka Amex). (Это обычно пишется на слипе.)
Способ 6.
Кардер может попросить друга-официанта незаметно переписать номер карты и дать/продать его, поэтому не стоит даже не некоторое время давать в руки посторонним людям свои карты.
Способ 7.
Крупный хакер в состоянии взломать какой-нибудь web-shop и скопировать файл или лог с данными о картах.
Скимминг
Частным случаем кардинга является скимминг (от англ. skim — снимать сливки), при котором используется скиммер - инструмент для считывания, например, магнитной дорожки платёжной карты. Устройство устанавливается в картоприёмник и картридер на входной двери с зону обслуживания клиентов в помещении банка и представляет собой девайс со считывающей магнитной головкой, усилителем-преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными.
Основная идея и задача скимминга - считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при проведении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, "скиммированной" карты. Вместе со скиммером может использоваться миниатюрная видеокамера, устанавленная на банкомат и направленная на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов, так можно получить ПИН держателя, а затем получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).
Данные устройства питаются от автономных источников энергии - миниатюрных батарей электропитания, а чтобы их сложнее было обнаружить, изготавливаются и маскируются под цвет и форму банкомата.
Скиммеры могут как накапливать украденную информацию о пластиковых картах, так дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости. Скопированная информация дает возможность изготовить дубликат карты и, зная ПИН, снять все деньги в пределах лимита выдачи, как в России, так и за рубежом. Кроме того, мошенники, используя полученную информацию о банковской карте, могут совершать покупки в торговых точках.
Поделиться:
Оставьте свой комментарий!
Добавить комментарий
|
Комментарии