Наши скиммеры и наши хакеры

Опубликовано: 16 сентября 2009 г.
Рубрики:

Весной 2008 года несколько клиентов банка "Шеви Чейс" пожаловались ему, что кто-то без разрешения вынул из банкоматов их деньги. Этим делом занялись следователи банка, которые также сообщили о хищениях в секретную службу США. В ходе расследования выяснилось, что выемки денег производились по воскресеньям из шести банкоматов "Шеви Чейс" в окрестностях Вашингтона.

Власти давно советуют гражданам проверять приходящие из банка выписки из их счетов на предмет выявления несанкционированных операций.

Осуществляются эти операции так. Злоумышленник нахлобучивает на щель банкомата, в которую вы просовываете карточку, портативное считывающее устройство, называющееся "скиммером". Потом он совершает пробную операцию, чтобы выяснить, правильно ли установлен скиммер и исправно ли он работает.

На клавиатуру банкомата одновременно устанавливается другое устройство, которое по-русски называют "клавиатурным шпионом". Если скиммер считывает информацию c магнитной полосы на вашей карточке, то шпион ворует ваш пароль, то есть PIN-number.

Все это хозяйство висит на банкомате несколько часов, а потом снимается злоумышленником. Его сообщники наносят украденную информацию на магнитную полосу чистой пластиковой карты, после чего с нею идут к банкомату и снимают деньги с чужих счетов.

Секретная служба довольно скоро установила, что занимались этим россиянин Константин Синцев и латвийский подданный, чье имя пишется в судебных документах как Vitalijs Balsevics. Я ничего не знаю про латышский язык и поэтому транслитерирую это имя, рискуя ошибиться. Моя рабочая гипотеза — что в судебном компьютере сломалась буква "U", а если бы она не сломалась, то стояла бы в обоих случаях перед "S". Тогда имя синцевского сообщника — Виталиюс Бальсевичюс. Но я, кажется, мыслю по-литовски. Пусть кто знает — меня поправят.

Передо мной лежит документ, который представила в федеральный суд Восточного округа Вирджинии сотрудница секретной службы Кэтлин Клири. Власти впервые столкнулись с проблемой хищения в банкоматах вскоре после того, как те появились в Америке в начале 80-х годов. В 2002 году ими занялась секретная служба, задействованная в результате теорий о том, что террористы широко пользуются банкоматами для пополнения своей тайной казны.

Из документа Клири явствует, что в воскресенье, 27 апреля прошлого года Синцев подъехал к банкомату в Гейтерсбурге (штат Мэриленд). Видеокамера зафиксировала его появление в 1.32 дня и потом еще раз в 5.20 вечера. Синцев не осуществлял никаких транзакций. Впоследствии "Шеви Чейс" получил жалобы пяти потерпевших, которые пользовались банкоматом в промежутке между появлениями Синцева.

У одного из них, Винсента Л., между 13 и 20 мая 2008 года было украдено в этом банкомате в общей сложности примерно 8 тысяч долларов.

В воскресенье, 4 мая 2008 года, Синцев был запечатлен камерой того же банкомата в 5 и 8.22 вечера и ни разу не воспользовался банковской картой. Впоследствии банк получил жалобы семи потерпевших, пользовавшихся банкоматом в этот промежуток времени. У одной из них, Пэтси У., с 13 мая по 20 мая 2008 года сняли со счета 8600 долларов.

4 мая прошлого года был вообще урожайным днем для Синцева. В 10.08 утра он приехал к банкомату в Даллесе (Вирджиния) и снова наведался к нему в 1.11 дня. В этом промежутке банкоматом пользовались четверо потерпевших. С 13 мая по 27 мая один из них, Дэниэл Д., потерял 3610 долларов, вынутых из банкоматов.

29 июня 2008 года, тоже в воскресенье, Синцев посетил банкомат в Сильвер-Спринг (Мэриленд), на этот раз уже в обществе Бальсевичюса. Видеокамера банкомата запечатлела не только Бальсевичюса, но и серебристую легковую машину, на которой приехали наши герои. В промежутке между их визитами к банкомату им пользовались 13 потерпевших, у одной из которых, Марии О., были похищены в июле 3500 долларов.

Я не буду перечислять другие эпизоды, инкриминировавшиеся двум проходимцам, потому что все они проходили по той же модели. За тем исключением, что 17 августа прошлого года на видеозаписи был изображен Бальсевичюс с клавиатюрным шпионом в руках. После чего некий Бабатунде О., пользовавшийся этим банкоматом, лишился тысячи долларов.

31 августа прошлого года сотрудники секретной службы Эрик Трасески и вышеупомянутая Кэтлин Клири устроили засаду у банкомата в Колледж-Парк (Мэриленд) и увидели, как наши герои подкатывают к нему на серебристой "Акуре" ТЛ 2002 года. Они наблюдали за банкоматом из машины, а Трасески и Клири наблюдали за ними.

Подойдя к банкомату, следователи увидели на нем скиммер. Синцев тем временем вышел из "Акуры" и направился к банкомату. Увидев Трасески и Клири, он резко повернул назад. На место происшествия прибыли местные полицейские. Следователи сняли с банкомата скиммер и клавиатурного шпиона и приобщили их к вещественным доказательствам.

По непонятным для меня причинам Синцева и Бальсевичюса не взяли на месте. Латыша арестовали в сентябре. Уже в ноябре 26-летний Бальсевичюс признал себя виновным и в феврале этого года получил три с половиной года тюрьмы. Хотя он находился в США легально, после отбытия срока его депортируют, поэтому маловероятно, чтобы он выплатил банку компенсацию в сумме 204.216 долларов.

Синцев же оказался проворнее и ушел на полгода в бега. В числе прочего он скрывался какое-то время в Нью-Йорке и продолжал химичить со скиммером. 11 марта сего года его выследили и арестовали в Оушен-Сити (Мэриленд). При аресте у 24-летнего россиянина изъяли 16.354 доллара наличными, похищенные из банкоматов, и немножко марихуаны, за которую его не привлекли. Но деньги конфисковали.

19 мая Синцев тоже признал себя виновным в банковском мошенничестве и хищении личности с отягчающими обстоятельствами и на днях получил более четырех лет тюрьмы. Прокуратура подсчитала, что он украл деньги более чем у 150 человек. Суд приказал Синцеву выплатить компенсацию в сумме 240.260 долларов, которых банк не увидит, как своих ушей.

Между тем 11 сентября легендарный хакер Альберт Гонзалес, обвиняемый в организации самого крупного хищения личных данных в американской истории, признал себя виновным. Взамен федеральная прокуратура обещала просить бостонскую судью Пэтти Сарис дать ему от 15 до 25 лет тюрьмы.

28-летний Гонзалес признал себя виновным по 19 пунктам обвинительного заключения и официально согласился отдать государству 1,6 млн. долларов наличными, кооперативную квартиру в Майами, автомобиль БМВ и бриллиантовое кольцо от "Тиффани", подаренное им своей девушке.

В прошлом году против Гонзалеса было возбуждено два дела. Одно в Бостоне, другое — в Бруклине, поэтому он содержится в бруклинской федеральной тюрьме MDC. Признание Гонзалеса относится лишь к этим двум делам.

Около месяц назад Гонзалеса привлекли в Нью-Джерси по еще одному делу, по которому он проходит вместе с двумя непоименованными россиянами, закодированными в судебных документах как Хакер №1 и Хакер №2. Мы сможем узнать их имена на судебном процессе. Если Гонзалес решит признаться и здесь, суда не будет, и они навсегда останутся безымянными. Пока все трое считаются невиновными.

Нью-джерсийская федеральная прокуратура обвиняет Гонзалеса и его российских сообщников в краже данных на 130 млн. кредитных и дебетовых карт. Насколько известно, это мировой рекорд. Перед тем, как изложить подробности этих дел, несколько слов о становлении оберхакера нашего времени.

Наш герой родился в Майами в семье кубинских эмигрантов Альберто и Марии Гонзалесов, которые купили ему первый компьютер, когда маленькому Альберту было 8 лет. Интернет тогда делал первые шаги. Когда Альберту было 9 лет, он уже научился удалять из компьютера вирусы, говорит его старый друг и адвокат Рене Паломино, познакомившийся с ним, когда маленький Гонзалес был служкой в католической церкви.

По словам Паломино, Альберт "не ходил на тусовки и не играл с друзьями в футбол. Он всегда сидел за компьютером. Компьютер был его лучшим другом". Со временем это увлечение сына начало тревожить его родителей. "Мать уложит его спать, а в час-два ночи она опять застает его за компьютером", — вспоминает Паломино.

Когда Гонзалесу стукнуло 17, они с двумя однокашниками воспользовались для маскировки двумя библиотечными компьютерами своей школы и вломились в компьютерную сеть индийского правительства.

В ту пору им еще не пришло в голову обокрасть Республику Индию, и они ограничились тем, что оставили на сайтах ее правительства глумливые заявления. "Это были детские штучки, — утверждает Паломино. — Они просто оставили смехотворные надписи, высмеивавшие их культуру".

"Вдруг в школу явились фэбээровцы, которые потребовали два библиотечных компьютера!" — вспоминает ее директор Томас Шоу.

Гонзалеса опрометчиво не посадили, а просто велели ему полгода не подходить к компьютеру. В 1999 году он с отличием закончил школу и переехал в Нью-Йорк, где познакомился в интернетовских чатах с людьми, которые потом сделаются его сообщниками. Четыре года спустя Гонзалес стал пользоваться ником soupnazi, взятым из комедийного сериала "Сайнфелд". По словам прокуроров, пользуясь этими позывными, он начал систематически вламываться в чужие компьютерные системы на Восточном побережье Америки.

В прошлом году Гонзалес был в числе 11 человек, среди которых три украинца и один белорус, обвиненных федеральной прокуратурой в преступном сговоре, взломе компьютеров, мошенничестве и торговле похищенными номерами кредитных и дебитных карт. На тот момент это было самое крупное в США дело подобного рода.

О нем было объявлено на пресс-конференции в Бостоне с участием министра юстиции США Майкла Мукейси и главного прокурора Восточного округа Нью-Йорка Бентона Кэмпбелла, который в 1996 году представлял обвинение на обоих процессах Вячеслава Иванькова по кличке Япончик.

Гонзалес и его сообщники занимались тем, что ездили по городу и подключались к трафику беспроводных сетей, похищая закрытую информацию у известных компаний TJX, BJ's Wholesale Club, OfficeMax, Boston Market, Barnes&Noble, Dave&Buster's, Sports Authority, Forever 21 и DSW. Они тайно устанавливали сетевые анализаторы, или сниферы, которые перехватывали номера кредиток, пароли и данные о чужих счетах.

Часть похищенных данных продавалась на черном рынке, а часть использовалась самими взломщиками, которые наносили чужую информацию на карты из чистого пластика и с их помощью вынули из банкоматов десятки тысяч долларов.

Главный прокурор Восточного округа Нью-Йорка Бентона Кэмпбелл присутствовал на бостонской пресс-конференции в связи с тем, что трое обвиняемых по этому делу — харьковчанин Максим Ястремский, известный в хакерских кругах как Максик, житель Эстонии Александр Суворов (Джонни Хелл) и тот же Гонзалес — еще в мае были привлечены к суду у него в Бруклине.

В марте прошлого года 24-летний Суворов был арестован во Франкфурте по дороге на отдых на Бали и ожидает экстрадиции в США. Бывшая с ним девушка по имени Вика была допрошена и отпущена. По данным журнала "Шпигель", секретная служба США следила за Суворовым в течение трех лет. Он отрицает все обвинения.

По наколке американцев киевлянин Ястремский был арестован в июле 2007 года в Турции, где он находился на отдыхе. Вместе с ним забрали его тезку, израильтянина Максима Турчака, и двух девушек, которых скоро отпустили.

Турчака, впрочем, быстро освободили по отсутствию доказательств.

Максик, однако, получил в Турции 30 лет тюрьмы за обман 12 тамошних банков.

Мой однокашник Володя Жириновский сидел несколько дней в турецком зиндане, и мне его не хвалил. Бедный Максик.

Гонзалес был арестован в 2003 году секретной службой США, но в тюрьму, даже курортную американскую, идти не хотел и согласился помочь ментам проводить операцию Firewall, направленную против сайта Shadowcrew.com, который был известен как "супермаркет киберпреступности". Одновременно Гонзалес по-прежнему устанавливал шпионские программы в чужих компьютерах.

Одна из афер, которые инкриминируются Ястремскому, Суворову и Гонзалесу, подробно описывается в документах, представленных прокуратурой в бруклинский федеральный суд в мае прошлого года. В данном случае объектом взлома явилась сеть из 49 ресторанов Dave&Buster's. Как выяснило следствие, в апреле 2007 года кто-то запустил снифер в компьютер ресторана компании, находящегося в графстве Арандел (Мэриленд). Но шпионская программа не сработала, и утечки данных не произошло.

18 мая 2007 года хакеры вломились в компьютеры компании в ее головном офисе в Далласе (Техас) и успешно установили сниферы в компьютерах 11 ресторанов Dale & Buster's в разных городах, в том числе, в Айсландии, находящейся на Лонг-Айленде под Нью-Йорком.

Следователи подсчитали, что с 18 мая по 20 августа 2007 года посетители этого ресторана платили с помощью 5100 кредиток MasterCard и Visa и 32 — American Express. Злоумышленники похитили данные обо всех из них. Впоследствии 675 из этих карт были использованы в магазинах и ресторанах по всему миру. Совокупный ущерб составил, по крайней мере, 600 тысяч долларов.

Прокуратура утверждала, что сниферы для этой аферы были предоставлены Гонзалесом. Он был связан с Ястремским, который считался "одним из крупнейших реселлеров данных о похищенных кредитных картах". После ареста Ястремского в Турции секретная служба США получила возможность исследовать его лэптоп и нашла там переписку, в том числе с Гонзалесом, "миллионы краденых номеров кредитных карт, и директорию, содержащую снифер, который использовался при взломе в D&B.

Одновременно было объявлено, что в Сан-Диего привлечены к суду восемь лиц, обвиняющихся в торговле похищенной информацией, в том числе Ястремский и Суворов, граждане Китая Хун-Мин Чиу и Чжи Чжи Ван, белорус Сергей Павлович, украинцы Дмитрий Бурак и Сергей Сторчак и некий "Дельпьеро", чье настоящее имя я не знаю.

По утверждению властей США, обвиняемые похитили более 40 миллионов номеров кредитных и дебитных карт!

Некоторых соотечественников распирает гордость за Ястремского, который якобы украл как минимум 10 миллионов долларов.

"Позор? — спрашивал на сайте "Корреспондент.net" его редактор по регионам Олег Завгородний. — Как по мне, скорее гордость. Хотя бы в сфере программирования. Хотя бы потому, что парень уже стал яблоком раздора между двумя членами НАТО — Турцией и США. И недаром: 10 млн. долларов — сумма нешуточная. Думаю, не стоит говорить, что такие деньги с нуля можно заработать либо большой кровью, либо кубометрами пота. Максим Ястремский обошелся без крови и пота, заработав 10 млн. исключительно за счет своего мозга".

"Ага, посмотрела бы я, как ты бы гордился его талантливым умом, если бы он у тебя с кредитки деньги спер", — ответила ему одна пользовательница сайта.

"Восхищаться вором... нет слов, — пишет другой. — Надеюсь, у аффтара еще просто по молодости ... в голове".

В августе сего года за старыми делами последовало новое, которое грозит Гонзалесу 35 годами тюрьмы и огромным штрафом. Оно возбуждено против Гонзалеса (он же segvec, он же soupnazi, он же j4guar17) и двух непоименованных русских хакеров, которых я упоминал выше. В 15-страничном обвинительном заключении говорится, что они проживают "в России или рядом с нею".

В переводе с языка подобных документов, они проживают в России.

Поскольку Гонзалес давно в тюрьме, а местонахождение его подельников столь расплывчато, арестов по этому делу произведено не было.

В судебных документах также фигурирует "сообщник" обвиняемых, который обозначен инициалами П.Т. и по этому делу не проходит. Он проживает "в Вирджиния-Бич (штат Вирджиния) или рядом с ним или в Майами (штат Флорида) или рядом с ним".

Как утверждается в обвинительном заключении, Гонзалес и П.Т. выбирали жертв, изучая список компаний Fortune 500. Они посещали намеченные для атаки объекты, чтобы ознакомиться с установленным там платежным оборудованием. П.Т. также внимательно изучал их сайты с целью выявления уязвимых мест.

В конечном итоге обвиняемые якобы атаковали компьютеры сети круглосуточных лавок 7-11, огромной платежной системы Heartland Payment Systems, супермаркетов Hannaford Brothers Co. и двух непоименованных ритейлеров. Доступ к их базам данных был получен при помощи так называемой SQL-инъекции и установки пакетных сниферов. Хакеры также устанавливали на взломанных ими компьютерах программы-бэкдоры, которые давали им повторный доступ к системе.

Согласно судебным документам, основной массив данных, касавшихся примерно 130 млн. карт, был похищен у Heartland. У Hannaford, для сравнения, были украдены данные о 4,2 млн. карт.

Атаки совершались с серверов, находящихся в Нью-Джерси, Калифорнии, Иллинойсе, в Латвии, Голландии и на Украине. На них хранились злокозненные программы, запускавшиеся в компьютерные сети жертв, и похищенные таким образом данные о картах и их держателях. Источником этих программ якобы являлся Гонзалес.

В судебных документах приводится ряд маневров, посредством которых обвиняемые якобы заметали следы. Они также испытали свои злокозненные программы на примерно 20 основных антивирусных программах.

Атаки якобы имели место с 2006 по 2008 год. Пока неясно, в какую сумму они обошлись пострадавшим компаниям. Прокуратура утверждала, что 11 обвиняемых, привлеченных в прошлом году, нанесли потерпевшим ущерб, который превысил 400 млн. долларов.

Но тогда речь шла о всего 40 млн. похищенных номеров...