0x00 Предисловие
В детстве мы смотрели фильмы Хакеры, Взлом, Пароль Рыба-меч, и прочие творения голливуда. Не смотря на юный возраст, вдохновившись мы искали информацию о хакинге, фрикинге везде где только было возможно. Помню тогда еще компакт-диски ходили с наборами выжимок с разных эхо-конференций. Осваивали программирование, постигали устройство IP-сетей, операционок и всяких железяк. Игры в промышленный шпионаж и прочие прелести детства. Мечта украсть миллион и желательно баксов с помощью компютеров прочно сидела в наших головах. Но… детство проходит, школа заканчивается, попытки собственного бизнеса, работа в различных телекоммуникационных компаниях, и вот уже желание своровать сформировалось в желание построить честный высокотехнологичный бизнес, что оказалось сложнее, и следовательно интересней. Однако, не зря говорят, возможность украсть создает преступника.
0x01 Кому из ИТ-ишников жить хорошо или как все началось.
В нашем деле лучшая репутация — это её отсутствие. (с)
Жила была в 2008 году платежная система, не большая, но и не маленькая, и все у них было и админ знакомый с информационной безопасностью и программисты которые код может писали и не идеально, но зато быстро. И придумала администрация ПС, ввести автоматизированные рабочие места, с которых можно было бы проводить пополнения. Сказано сделано. АРМ написан и сдан. Правда администрация то ли по запарке то ли по наивности душевной забыла сменить пароли на тестовых аккаунтах. И тихо мирно у админа родился новый «бизнес», пополнение баланса чего угодно за полцены. Получилось так, что по случаю раздолбайства в ИТ-отделе начались увольнения, под них попал и админ. Уволившись особо не переживал, знакомым пополнял сотовые и интернеты. Можно было и не работать, и жить относительно свободно. Левая сим-карта и мобильный модем позволяли быть анонимным. Но такое долго продолжаться естественно не могло и в 2009 году в один прекрасный весенний день интерфейс прикрыли, то ли пароль сменили, то ли по диапозону IP порезали. А админ уже привык получать деньги с минимальным риском из воздуха. И задумался.
0x02 Знание — сила.
«Если мутишь, мути тихо. Если телефон не знаком лучше не поднимай трубку» (с)
Так как всю инфраструктуру платежной системы строил админ, он естественно знал и слабые места, и внутреннее устройство сети. Около двух недель понадобилось чтобы попасть внутрь. После попадания на шлюзе быстренько поднят был nc с пробросом на RemoteAdmin дежурного администратора. И как-то темным вечером в пол 12 ночи, сидя в трех кварталах от офиса платежной системы, в маленьком тесном помещении склонились над монитором трое. На экране запущен PgAdmin, чтобы не попасть под зоркое око логов инсерт SQL-запросы пишутся ручками, по памяти вспоминая поля таблицы, которая отвечает за проводку платежей. Нервы не к черту, несколько строк троица вбить успевает. После чего на экране начала дергаться мышь, видимо на той стороне заметили что на мониторе происходит что-то уж совсем не хорошее =). И вместо того чтобы вызвать отдел К, дежурный админ не придумал ничего лучше как закрыть RemoteAdmin, хотя по сути можно было поглядеть откуда висят «хакеры» и отследить. Соединение разорвано. Два раза в одну реку не входят. Лица за монитором нервно курят. Нервов добавляют еще и звонки с ПС на мобильные. Видимо в ПС решили что такое могли провернуть только бывшие сотрудники. В чем вообщем то были не далеки от истины.
0x03 Халява.
«Здесь как на рынке — ухватил пошел, и хорошо если рядом верный корешок» (с)
Минуло полтора месяца после той неудачной ночи. Однако идея урвать кусок, прочно сидела в голове у бывшего админа платежной системы, все это обсуждалось с некоторыми личностями которые могли бы что либо придумать. По давней традиции все это обсуждалось на кухнях под некоторым количеством алкоголя. И в один из таких вечеров удача дала себя поймать за синий хвост. Тогда на кухне сидели двое. Третий будучи настройщиком терминалов платежной системы был позван «попить пива», он явился после работы с пивом. И рабочим лэптопом. Долго ли коротко ли его лэптоп пошел в дело, то ли модемы мобильные на нем тестили то ли чего, история по этому поводу хранит гробовое молчание. Известно лишь что в один прекрасный момент когда отвлекшись на покурить он и хозяин квартиры (он же бывшый админ) вышли с тесной кухоньки, еще одна темная личность быстро нашарив папку с терминальным ПО, переместила его на флешку посредством копирования. Пиво допили, настройщик ушел. Вся следующая неделя была потрачена админом на то чтобы достать где либо CashCode, термо-принтер, и старенький комп куда это все можно воткнуть. После того как это все было найдено, собрано включено и подключено. Пара VDS в Бельгии с полностью отключенными логами для анонимности, оплата веб-манями с начальных аккаунтов, ну и VPN. Заказы со знакомых, после ночью проброс денег, эмулируя терминалы с разных районов города. На утро выдача PIN-кодов на руки для активации. Потом некоторые знакомые кто в «теме» начали собирать заказы и начали брать оптом. Получалось около 30-40 тысяч в месяц, но и этого начало казаться мало, тогда один из знакомых предложил свести его с владельцем обменника электронных денег. Первый же заказ составил сумму в 150 тысяч. Дальше больше. Вероятно это были самые неудачные дни для платежной системы, так как все делалось с левых мобильных модемов с левыми сим-картами и номерами которые использовались 1 раз после чего выкидывались. Попутно с этим был освоен бизнес по торговле левыми сим-картами. Продажные сотрудники и сотрудницы. практически всех сотовых операторов радостно вбивали левые паспортные данные за небольшие вознаграждения.
0x04 Кэш.
— Я много воровал, когда был маленьким. Но я никогда не крал одну конфетку, я крал всю коробку. А еще мне нравилось врываться в дома к людям и расхаживать по ним. Я находил это довольно комфортным — быть в чьем-то пустом доме. (с)
Казалось бы дело поставлено на поток чего же еще требуется? Но сознание админа захотело сыграть по крупному. Подготовка была соответствующей. Поддельные нотариально заверенные копии паспортов, для отсылки в WebMoney и Yandex Деньги. Выяснено время когда есть возможность прокидать максимальную сумму. Подключив все необходимые девайсы к компу, и воткнув в комп линию от известного провайдера, вооружившись 5000 купюрой он начал процесс. Сперва снова вломившись в базу данных платежной системы он отключил ограничение о ручном проводе платежей, для чего всего навсего надо было изменить одно булевое поле в таблицы настроек проведения платежей, после чего зажав «шторку» купюроприемника он начал закидывать на несколько счетов, деньги. Прокидав больше 1 млн рублей. Он все выключил и лег спать.
Мечта сбылась на счетах пускай и виртуальных лежало больше миллиона денег, а ведь это можно было провернуть не один раз.
0x05 Вместо эпилога.
Тебя посодют, а ты не воруй. (с)
Правда мечтам об итеративности данного процесса не суждено было сбыться. В то время когда на часах было около 6 утра, в квартиру вошли сотрудники отдела К. Оказалось что логи платежной системы сотрудники читали как роман на ночь вот уж 3 месяца подряд. И до этого не могли определить кто и откуда, совершает сии дерзкие набеги. На этот раз, что-то пошло не так. То ли сим-карта отказалась работать, то ли модем. И пошел наш герой через свои бельгийские VPN-туннели прямо с линии домашнего провайдера. Глупо? Вероятно да. Засветив свой реальный IP около 2 ночи, через час отдел К знал адрес по которому выезжать. Дальше арест. СИЗО. 9-долгих месяцев ожидания судебного решения. После чего 4.5 года условно. Правда остается один смутный вопрос — а что если бы снова был использован «условно анонимный» канал связи? Взяли бы на обналичке? или же проброс через какой либо РБК-Мани сделал свое дело? :)
PS: Ответы на вопросы которые вероятно появятся после прочтения или во время оного:
Все описанные события реальны и происходили в 2009 году.
Ну и говорю сразу, я — автор поста, не герой сего романа, просто имел возможность видеть все это воочию, и знать некоторые подробности достаточно хорошо. Поэтому подумал что возможно хабраобществу это будет интересно.
В детстве мы смотрели фильмы Хакеры, Взлом, Пароль Рыба-меч, и прочие творения голливуда. Не смотря на юный возраст, вдохновившись мы искали информацию о хакинге, фрикинге везде где только было возможно. Помню тогда еще компакт-диски ходили с наборами выжимок с разных эхо-конференций. Осваивали программирование, постигали устройство IP-сетей, операционок и всяких железяк. Игры в промышленный шпионаж и прочие прелести детства. Мечта украсть миллион и желательно баксов с помощью компютеров прочно сидела в наших головах. Но… детство проходит, школа заканчивается, попытки собственного бизнеса, работа в различных телекоммуникационных компаниях, и вот уже желание своровать сформировалось в желание построить честный высокотехнологичный бизнес, что оказалось сложнее, и следовательно интересней. Однако, не зря говорят, возможность украсть создает преступника.
0x01 Кому из ИТ-ишников жить хорошо или как все началось.
В нашем деле лучшая репутация — это её отсутствие. (с)
Жила была в 2008 году платежная система, не большая, но и не маленькая, и все у них было и админ знакомый с информационной безопасностью и программисты которые код может писали и не идеально, но зато быстро. И придумала администрация ПС, ввести автоматизированные рабочие места, с которых можно было бы проводить пополнения. Сказано сделано. АРМ написан и сдан. Правда администрация то ли по запарке то ли по наивности душевной забыла сменить пароли на тестовых аккаунтах. И тихо мирно у админа родился новый «бизнес», пополнение баланса чего угодно за полцены. Получилось так, что по случаю раздолбайства в ИТ-отделе начались увольнения, под них попал и админ. Уволившись особо не переживал, знакомым пополнял сотовые и интернеты. Можно было и не работать, и жить относительно свободно. Левая сим-карта и мобильный модем позволяли быть анонимным. Но такое долго продолжаться естественно не могло и в 2009 году в один прекрасный весенний день интерфейс прикрыли, то ли пароль сменили, то ли по диапозону IP порезали. А админ уже привык получать деньги с минимальным риском из воздуха. И задумался.
0x02 Знание — сила.
«Если мутишь, мути тихо. Если телефон не знаком лучше не поднимай трубку» (с)
Так как всю инфраструктуру платежной системы строил админ, он естественно знал и слабые места, и внутреннее устройство сети. Около двух недель понадобилось чтобы попасть внутрь. После попадания на шлюзе быстренько поднят был nc с пробросом на RemoteAdmin дежурного администратора. И как-то темным вечером в пол 12 ночи, сидя в трех кварталах от офиса платежной системы, в маленьком тесном помещении склонились над монитором трое. На экране запущен PgAdmin, чтобы не попасть под зоркое око логов инсерт SQL-запросы пишутся ручками, по памяти вспоминая поля таблицы, которая отвечает за проводку платежей. Нервы не к черту, несколько строк троица вбить успевает. После чего на экране начала дергаться мышь, видимо на той стороне заметили что на мониторе происходит что-то уж совсем не хорошее =). И вместо того чтобы вызвать отдел К, дежурный админ не придумал ничего лучше как закрыть RemoteAdmin, хотя по сути можно было поглядеть откуда висят «хакеры» и отследить. Соединение разорвано. Два раза в одну реку не входят. Лица за монитором нервно курят. Нервов добавляют еще и звонки с ПС на мобильные. Видимо в ПС решили что такое могли провернуть только бывшие сотрудники. В чем вообщем то были не далеки от истины.
0x03 Халява.
«Здесь как на рынке — ухватил пошел, и хорошо если рядом верный корешок» (с)
Минуло полтора месяца после той неудачной ночи. Однако идея урвать кусок, прочно сидела в голове у бывшего админа платежной системы, все это обсуждалось с некоторыми личностями которые могли бы что либо придумать. По давней традиции все это обсуждалось на кухнях под некоторым количеством алкоголя. И в один из таких вечеров удача дала себя поймать за синий хвост. Тогда на кухне сидели двое. Третий будучи настройщиком терминалов платежной системы был позван «попить пива», он явился после работы с пивом. И рабочим лэптопом. Долго ли коротко ли его лэптоп пошел в дело, то ли модемы мобильные на нем тестили то ли чего, история по этому поводу хранит гробовое молчание. Известно лишь что в один прекрасный момент когда отвлекшись на покурить он и хозяин квартиры (он же бывшый админ) вышли с тесной кухоньки, еще одна темная личность быстро нашарив папку с терминальным ПО, переместила его на флешку посредством копирования. Пиво допили, настройщик ушел. Вся следующая неделя была потрачена админом на то чтобы достать где либо CashCode, термо-принтер, и старенький комп куда это все можно воткнуть. После того как это все было найдено, собрано включено и подключено. Пара VDS в Бельгии с полностью отключенными логами для анонимности, оплата веб-манями с начальных аккаунтов, ну и VPN. Заказы со знакомых, после ночью проброс денег, эмулируя терминалы с разных районов города. На утро выдача PIN-кодов на руки для активации. Потом некоторые знакомые кто в «теме» начали собирать заказы и начали брать оптом. Получалось около 30-40 тысяч в месяц, но и этого начало казаться мало, тогда один из знакомых предложил свести его с владельцем обменника электронных денег. Первый же заказ составил сумму в 150 тысяч. Дальше больше. Вероятно это были самые неудачные дни для платежной системы, так как все делалось с левых мобильных модемов с левыми сим-картами и номерами которые использовались 1 раз после чего выкидывались. Попутно с этим был освоен бизнес по торговле левыми сим-картами. Продажные сотрудники и сотрудницы. практически всех сотовых операторов радостно вбивали левые паспортные данные за небольшие вознаграждения.
0x04 Кэш.
— Я много воровал, когда был маленьким. Но я никогда не крал одну конфетку, я крал всю коробку. А еще мне нравилось врываться в дома к людям и расхаживать по ним. Я находил это довольно комфортным — быть в чьем-то пустом доме. (с)
Казалось бы дело поставлено на поток чего же еще требуется? Но сознание админа захотело сыграть по крупному. Подготовка была соответствующей. Поддельные нотариально заверенные копии паспортов, для отсылки в WebMoney и Yandex Деньги. Выяснено время когда есть возможность прокидать максимальную сумму. Подключив все необходимые девайсы к компу, и воткнув в комп линию от известного провайдера, вооружившись 5000 купюрой он начал процесс. Сперва снова вломившись в базу данных платежной системы он отключил ограничение о ручном проводе платежей, для чего всего навсего надо было изменить одно булевое поле в таблицы настроек проведения платежей, после чего зажав «шторку» купюроприемника он начал закидывать на несколько счетов, деньги. Прокидав больше 1 млн рублей. Он все выключил и лег спать.
Мечта сбылась на счетах пускай и виртуальных лежало больше миллиона денег, а ведь это можно было провернуть не один раз.
0x05 Вместо эпилога.
Тебя посодют, а ты не воруй. (с)
Правда мечтам об итеративности данного процесса не суждено было сбыться. В то время когда на часах было около 6 утра, в квартиру вошли сотрудники отдела К. Оказалось что логи платежной системы сотрудники читали как роман на ночь вот уж 3 месяца подряд. И до этого не могли определить кто и откуда, совершает сии дерзкие набеги. На этот раз, что-то пошло не так. То ли сим-карта отказалась работать, то ли модем. И пошел наш герой через свои бельгийские VPN-туннели прямо с линии домашнего провайдера. Глупо? Вероятно да. Засветив свой реальный IP около 2 ночи, через час отдел К знал адрес по которому выезжать. Дальше арест. СИЗО. 9-долгих месяцев ожидания судебного решения. После чего 4.5 года условно. Правда остается один смутный вопрос — а что если бы снова был использован «условно анонимный» канал связи? Взяли бы на обналичке? или же проброс через какой либо РБК-Мани сделал свое дело? :)
PS: Ответы на вопросы которые вероятно появятся после прочтения или во время оного:
Все описанные события реальны и происходили в 2009 году.
Ну и говорю сразу, я — автор поста, не герой сего романа, просто имел возможность видеть все это воочию, и знать некоторые подробности достаточно хорошо. Поэтому подумал что возможно хабраобществу это будет интересно.
