— Что же сделал Айзек?

— На разных этапах обработки PIN-коды проходят множество ступеней шифрования/дешифрования, и не все HSM, через которые проходят «пины», находятся в защищенной от внешних вторжений сети банка-эмитента. Зато все они поддерживают морально устаревший интерфейс Standard Financial API, которому уже больше тридцати лет. Через уязвимость в этом интерфейсе Aizek и ломанул HSM на каком-то промежуточном хосте (узле сети). Дальше просто — на взломанный HSM-модуль устанавливается сниффер — программа, перехватывающая PIN-коды в открытом виде либо в зашифрованном, но доступном для декодирования. На осуществление подобных взломов порой требуется несколько лет.

— Почему производители HSM-устройств не закроют эти дыры? — задала логичный вопрос адвокат.

— Ну, они заявляют, что все HSM-модули поставляются заказчикам со стандартными настройками, не позволяющими подобных атак, однако их установкой и настройкой могут заниматься не всегда ответственные или добропорядочные люди, поэтому система действительно уязвима. Случается, что и ломать ничего не надо — по недосмотру разработчиков программы, которые используются в торговых точках для обработки платежей с пластиковых карт, сохраняют не только дампы, но и PIN-коды. Недавно так отличилась компания Fujitsu Transaction Solutions.

— Выходит, банкиры лукавят, заявляя, что взломать PIN-коды невоз-PIN-коды невоз-коды невозможно…

— Everyone lies[1].

— А «пины», которые нашли у Сапрыкина, — перешла к более предметному разговору Галина Аркадьевна, — они откуда?

— В начале 2004 года я познакомился с Black Monarch — одним из модераторов carder.org — первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много — всего штук по пятьсот в месяц.

— Ничего себе! Как вы обналичивали такие количества?

— Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.

— Ты сказал, что Black Monarch «делал» дампы с «пинами». Как он их делал? — оживилась адвокат.

— Вкратце схема такова: берем дамп с оригинальным первым треком — там есть настоящее имя кардхолдера. Заходим на www.accurint.com, вбиваем ФИО жертвы, находим его SSN (Social Security Number — номер социального страхования, который положено иметь всем гражданам США в возрасте от одного года), дату рождения, адрес и телефон — чем больше данных о жертве соберем, тем лучше. Понятно, что если имя холдера будет John Smith, то мы устанем гадать, кто же из тех двух тысяч джонов смитов, что выдаст нам в результатах поиска accurint, и есть наш, поэтому дамп нужно изначально выбирать с редкой для Америки фамилией. Дальше идем на сайт банка, выдавшего карту, «энроллим» ее (от англ. enroll — «регистрировать») — то есть открываем онлайн-доступ к карте — и особым образом меняем PIN-код. Правда, сменить его можно было не на всех картах, тогда такие дампы с уже открытым онлайн-доступом к карте, а значит, известным балансом, мы продавали — за 15 % суммы на карте. Рентабельность моей работы с Black Monarch превышала 300 %.