UNION+SELECT+ALL (повесть о настоящем Интернете)

Но основные денежные ресурсы вертятся не в хацкинге. Деньги есть там, где уже есть деньги. В конце 90-х и начале нулевых деньги делались на кардинге – мошенничестве с кредитными картами. Это был серьёзный подпольный бизнес, в мутной воде которого хацкеру было где ловить свою рыбу. В те славные времена большинство торговых тележек Интернет-магазинов хранило данные кредитных карт покупателей в собственных базах, и базы эти время от времени попадали в умелые руки Neomesis.

Когда появились первые Интернет-магазины, осуществлявшие транзакции по редким тогда кредитным картам, умные люди сразу выяснили, что нет никакой онлайн-проверки, реальна ли эта карта или в принципе не существует. Всё, что могли отследить первые Интернет-магазины, это определенная последовательность цифр на карте, поэтому очень скоро ещё более умными людьми были созданы генераторы кредитных карт. И поток товаров, купленных по сгенерированным номерам кредитных карт, стал наполнять рынок стран СНГ Говорят, что основной поток товаров шёл через Украину, что неудивительно, так как если среднестатистический владелец магазина в Германии или Великобритании слышал, что есть русские и страна Россия, то про Украину он не слышал никогда. Его, конечно, немного удивляло количество богатых людей, живущих в маленькой и мало кому известной стране под названием Украина, однако ведь и княжество Монако не такое большое, и Швейцария далеко не размером с Красноярский край. Короче, появление Украины на экономической карте Восточной Европы сыграло злую шутку с пионерами электронной коммерции. Понятно, что уже после отправки товара владельцы первых Интернет-магазинов получали от банков отказ и информацию о том, что таких кредитных карт они не выпускали, но было уже поздно. Однако это позволило некоторым нашим соотечественникам разжиться в ту пору последними новинками аудио- и видео- техники и брендовой одеждой по смешным ценам, так как денег в то время что в России, что на Украине особо ни у кого не было. Закончился этот «рог изобилия» массовыми арестами первых кардеров во второй половине 90-х.

Кардинг вообще был занятием крайне специфичным и далёким от революционной романтики хацкинга. После ареста первых кардеров и введения проверки банками транзакций, проходящих через Интернет-магазины, генераторы кредитных карт ушли в прошлое. Кардерам требовались реальные данные кредиток. Доставали их либо взломом Интернет-магазинов, либо с помощью скиммеров — насадок на банкоматы. Особо ценились карты с фулл-инфо, это когда в руках у злоумышленника оказывались не только номер карты, имя её владельца, срок окончания, и секретный код CVV, а полные данные с магнитной полосы самой карты. Понятно, что получить фулл-инфо можно было либо скиммером либо непосредственно в банке. Имея фулл-инфо, кардер записывал её на чистую магнитную ленту, делал дубликат карты и мог снимать деньги в любом банкомате. Но, как правило, это были разные люди. Тех, кто ездил по миру с поддельными кредитными картами и снимал наличку, называли мулами. Это были преимущественно студенты или желающие быстро заработать. Именно они, в основном, и попадали в полицию. Организаторам преступных схем и техническим специалистам долгое время удавалось избегать внимания спецслужб. Только к концу первого десятилетия нулевых, когда размах махинаций с кредитными картами достиг миллиардных сумм, спецслужбы серьёзно взялись за организаторов преступных кардерских сообществ. А в начале нулевых кардеры чувствовали себя вольготно на нескольких закрытых форумах, самым известным из которых была Carderplanet’а – Планета кардеров. Это была такая же легенда кардерского сообщества, как The Beatles – рок-н-ролла. Если ты был зареган и вёл бизнес на Carderplanet’е, значит, ты крут и тебе можно доверять.

Вообще Carderplanet’а заложила правила хорошего тона для всех последующих кардерских форумов. Сам форум состоял из двух частей: публичной – для новичков, и приватной – для администраторов, модераторов разделов и тех пользователей, которые либо оплачивали приватный доступ, либо за них поручался кто-то из администраторов. В приватной части выкладывались различные подарки от администрации, статьи, написанные исключительно для форума, там же были объявления о продаже карт и много ещё чего. Впоследствии такая структура дублировалась всеми кардерскими форумами. Модерация разделов Carderplanet’ы была достаточно строгая, за малейший косяк можно было вылететь с площадки, поэтому те, кто приходил на Планету, старались работать на совесть. Для всех сделок можно было воспользоваться гарантом, это когда продавец передает свой товар одному из администраторов, покупатель переводит ему же деньги, тот проверяет, всё ли нормально, а после за некоторый процент от сделки передаёт их по назначению. Гарант в основном использовался для крупных сделок или в случае, когда стороны друг другу не доверяли.

Но даже Carderplanet’а не была защищена от кидал. Но именно на ней были объявления, в которых предлагалось найти и начистить фейс тому или иному кидале за определённую сумму. Да и ещё, Carderplanet’а была первым форумом, который перешёл на защищенный протокол https. Вообще нужно отметить, что админы Carderplanet’ы уделяли большое внимание безопасности, что неудивительно, учитывая, какие бабки крутились здесь. Была даже создана легендарная насадка на аську, позволявшая шифровать сообщения между пользователями, используя ассиметричную систему шифрования, аналогичную не менее легендарной PGP.

Толковому хацкеру тоже были рады на Carderplanet’е, так как, кроме карт с фулл-инфо, там шла бойкая торговля базами карт из Интернет-магазинов. Далеко не все кардеры занимались изготовлением дубликатов карт и съёмом налички, многие промышляли покупкой товара в Интернет-магазинах по чужим картам и его последующей перепродажей. Крупные Интернет-магазины, наученные горьким опытом середины 90-х, категорически отказывались высылать товар в Россию или на Украину, поэтому кардерам нулевых приходилось использовать дропов — людей, живущих за границей, которые получали товар и пересылали его в Россию.

Дроповодство было целой наукой. Дропы делились на тех, кто сознательно шёл на это, и тех, кого использовали втёмную. Те, кто шёл в дропы сознательно, прекрасно осознавали свою ответственность, поэтому пытались подстраховаться на случай неприятностей с полицией письменным договором с фиктивной фирмой, для которой они осуществляют курьерские услуги. Именно такие дропы были самыми надёжными, но их было мало. Большинство дропов использовали втёмную. Дроповод от имени фиктивной фирмы нанимал их на работу курьерами, в задачу которых входило получение и пересылка товара. И вот как раз здесь дро-поводу требовались услуги хацкера, ведь где-то нужно взять координаты людей, ищущих работу. А хацкер их мог взять из баз данных job-сайтов. Но, кроме этого, кардеру нужны были списки прокси, ведь если банк видел, что IP адрес, с которого осуществлялась покупка в Интернет-магазине по карте, принадлежал совсем другой стране, не той, в которой проживал её владелец, то такая операция блокировалась. Ну и, конечно, VPN. Ведь никто не хочет, чтобы товарищ майор из Комитета Государственной Безопасности видел, на какие именно порно-сайты тебя тянет. Короче, работы для хацкера в ту пору было много.

А потом банки запретили Интернет-магазинам хранить информацию по кредитным картам в собственных базах. И хацкерам пришлось переключиться на биллинговые центры и системы онлайн-банкинга, которые были защищены на порядок лучше. Поэтому к середине первой десятки нулевых кредитный золотой дождь, сыпавшийся на хацкеров, стал оскудевать. Взломать биллинг или онлайн-банкинг могли единицы, и я не знаю, входила ли наша героиня в их число. К тому же уже тогда ведущие биллинги начали шифровать данные в своих базах, и даже если хацкеру удавалось забраться туда, то всё самое вкусное оказывалось набором нечитабельных символов. Нет, конечно, были и те, кого не пугали такие трудности, и их скорбный труд, в конце концов, приносил свои плоды. Ведь, получив права Roota, то бишь Бога Сервера, можно было достать из исходного кода алгоритм шифрования, найти ключ и в итоге написать дешифратор. Была только одна проблема: как только в банк начинали обращаться владельцы украденных карт, заметив пропажу денег со своих счетов, банковская служба безопасности довольно быстро находила источник утечки данных. Поэтому хацкерский доступ к Интернет-магазинам и биллингам жил недолго. Но магазинов было много, а биллингов – совсем наоборот. И когда халява с Интернет-магазинами закончилась, хацкерам пришлось искать новые темы для работы.

«Пей со мной, паршивая сука, пей со мной…»

К хорошему быстро привыкаешь, но оно, к сожалению, всегда быстро заканчивается. Хацкерские темы в первую десятку нулевых быстро рождались и так же быстро умирали. В хацкинг приходило всё больше людей, в книжных магазинах стали появляться толстые мануалы типа «Unix глазами хакера», целые серии книг «Секреты хакеров». В киосках «Союзпечати» каждый месяц можно было приобрести глянец с гордым названием «Хакер». Популярность хацкинга нарастала как снежный ком. Милый междусобойчик конца 90-х – начала 2000-х канул в Лету. Perl все больше теснил PHP, не менее бажный, но более гибкий язык вебкодинга, стандартом баз данных стал MS SQL под Винду и MySQL под никсы. Это было время, когда SQL-инъекции становились основным способом проникновения в святая святых. Фраза UNION+ALL+SELECT, объединяющая легальный запрос к базе данных со злонамеренной волей хацкера стала молитвой, обращенной к жестокому и алчному богу Интернета.