Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 12. «Free Amex!»

    Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».

    В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров.

    Начало и план перевода тут: «Шкворень: школьники переводят книгу про хакеров».

    Логика выбора книги для работы со школьниками у меня следующая:
    • книг про хакеров на русском языке мало (полторы)
    • книг про кардинг на русском нет вообще (UPD нашлась одна)
    • Кевин Поулсен — редактор WIRED, не глупый товарищ, авторитетный
    • приобщить молодежь к переводу и творчеству на Хабре и получить обратную связь от старших
    • работать в спайке школьники-студенты-специалисты очень эффективно для обучения и показывает значимость работы
    • текст не сильно хардкорный и доступен широкому кругу, но затрагивает вопросы информационной безопасности, уязвимости платежных систем, структуру кардингового подполья, базовые понятия инфраструктуры интернет
    • книга иллюстрирует, что «кормиться» на подпольных форумах — плохо заканчивается

    Кто хочет помочь с переводом других глав пишите в личку magisterludi.

    (По поводу очередности мне задают много вопросов и советуют публиковать главы по очереди. Я бы тоже так хотел, но увы, так как работаю с с множеством людей, которые, например, уже перевели 80% главы, а потом у них случается форсмажор на 2 недели. С одной стороны на них давить не хочется, с другой стороны откладывать публикацию тех людей, которые перевели уже следующую главу — не совсем честно по отношению к ним. Поэтому, то что есть, публикую.)

    Читать предыдущую Главу 11. «Script’s Twenty-Dollar Dumps»

    Глава 12. «Free Amex!»

    (За перевод спасибо Марии Борисёнок из «Теплицы социальных технологий», они, кстати, тоже ищут ИТ-волонтёров для некоммерческих проектов. «Теплица» давно дружит с хакспейсом и их команда делает полезные обучающие семинары для начинающих по OpenStreetMap и OpenPGP)

    За ужином Макс слегка коснулся своего плана с Черити. «Какие бы ты назвала учреждения, которые больше всех заслуживают того, чтобы быть наказанными?» — спросил он.

    У него уже был готовый ответ: заёмные компании. Жадные банки и кредитные компании, которые обвели клиентов вокруг пальца на ежегодный долг в 400 миллиардов долларов, подогревая кредитный интерес и подсаживая детей на пластик, прежде чем те закончат колледж. Дело в том, что потребители никогда не несут ответственность за мошеннические сборы – по закону им может быть выставлен счет за первые 50 долларов, но большинство банков отказалось даже от этого — мошенничество с кредитными картами стало преступлением без жертв, оплачиваемое бездушными деньгами этих учреждений.

    Кредит не был настоящим, Макс рассуждал о нём как об абстрактном концепте: он крал бы цифры из системы, а не доллары из чьего-либо кармана. Финансовые институты перестали бы держать потребительскую корзину, ведь они заслужили это.

    Черити научилась принимать горечь Макса, которая появилась у него после возвращения из тюрьмы. Жить с ним значило никогда не смотреть криминальные фильмы по телевизору, потому что любое изображение полиции как хороших парней распыляло Макса. Она не было полностью уверена, что Макс имел в виду сейчас, и она не хотела этого знать. Но одно было ясно. Макс решил, что он будет Робин Гудом.

    Макс знал, где именно получить данные кредиток, которые хотел Крис. Были тысячи потенциальных источников, которые были на виду как CarderPlanet и Shadowcrew. Сами кардеры были его добычей. Большинство из них не были хакерами, они были просто мошенниками, которые знали немного о мошенничестве и ничего о компьютерной безопасности. Это, конечно, не могло быть труднее, чем взлом Пентагона. Также это было морально приемлемым предложением: он будет красть номера кредитных карт, которые уже были украдены. Преступник собирался их использовать, поэтому он может сойти за мошенника Криса Арагона.

    Он начал выбирать оружие, подбирая троянскую программу, которая уже циркулировала онлайн и настраивая её, чтобы антивирус её не обнаруживал. Чтобы тестировать результаты, он использовал симулятор компьютерного обеспечения VMware, запуская сразу десятки различных виртуальных систем Windows на своём компьютере, каждая загрузка с разным набором программ по безопасности.

    Когда вредоносные программы остались незамеченными для других, он приступил к следующему шагу: собрал список номеров от карточек и электронных адресов с публичных форумов, добавляя их тысячами в базу. Затем, представляясь как известный продавец дампов Hummer911, он отправил сообщение для всего списка. В сообщении говорилось, что Hummer911 приобрёл базу дампов American Express больше, чем он мог бы использовать или продать, поэтому он готов часть отдать. «Кликните сюда, — написал Макс, — и получите бесплатный Amex!». Когда владелец карты кликнул по ссылке, то он обнаружил, что смотрит на поддельные дампы Amex. В это время Макс генерирует невидимый код на веб-странице, используя новую уязвимость Internet Explorer.

    Эксплоит воспользовался тем, что Internet Explorer может делать больше, чем просто обработка веб-страницы. В 1999 Майкрософт добавил поддержку нового типа файла под названием HTML-протокол. Файл, написанный в той же разметке и языком кодирования, что используется на веб-сайтах, при этом позволяет делать на компьютере пользователя то, что не может делать вебсайт. Например, создание и удаление файлов по запросу или выполнение произвольных программ. Идея была, чтобы разработчики привыкли к программированию для веба, используя те же навыки, как и при разработке полностью функционального десктопного приложения.

    Internet Explorer распознает HTML-протокол, который может быть смертельно опасным, и не загружает их с веба, а только с жёсткого диска пользователя. В теории. На практике, Майкрософт оставил лазейку на пути сканирования браузером содержания веб-страниц. Многие веб-страницы содержат объектные тэги — простые инструкции, которые говорят браузеру забрать что-нибудь с одного веб-адреса (обычно фильм или музыкальный файл) и включают его в часть страницы. Но оказалось, что вы можете также загрузить HTML-протокол через объектные тэги и получить право на его загрузку. Вам надо только немного замаскировать его.

    Пока жертвы Макс радовались поддельным дампам American Express, невидимый объектный тэг управляя их браузером, закачивал вредоносный HTML-протокол, который Макс, на всякий случай, закодировал.

    Важно, что Макс дал файлу имя «.txt» — поверхностный индикатор того, что это обычный текстовый файл. Internet Explorer распознавал имя файла и решал, что его загрузка будет безопасной. Как только браузер начинал загрузку файла, сервер Макса превращал его содержимое в содержимое типа «application/hta», которое идентифицируется как HTML-протокол. По сути сервер Макса изменял историю загрузки, предлагая безвредный документ для проверки браузером, который определялся как HTML-протокол, в момент, когда бразуер обнаруживал файл.
    Из-за имени файл сохранялся как безопасный, и Internet Explorer не перепроверял данные, один раз убедившись в них.

    Это то, как Макс запускал HTML-протокол вместо веб-страницы. HTML-протокол Макса был написан кратким Visual Basic скриптом, который запускался небольшой программой-ловушкой на компьютере пользователя. Макс назвал ловушку «hope.exe». Надежда – это второе имя Черити. Ловушка, в свою очередь, загружала и устанавливала троянского коня. Таким образом у Макса всё было под контролем.
    Кардеры как голодные пираньи собрались на заражённой странице. Сотни машин доложили Максу о готовности к работе на него.

    Взволнованный, он начал в хаотичном порядке разбираться в преступных жёстких дисках. Он был удивлён тем, как мало времени ушло на это. Большинство его жертв покупали маленькие базы дампов, десять или двадцать за один раз (даже меньше). Там было много кардеров, и ничто не удерживало его от возвращения к их машинам снова и снова. В итоге атака свободного Amex принесла ему около десяти тысяч дампов. Он перекачал дампы Крису, как только нашёл их, и просмотрел другие полезные данные от его жертв: подробности о мошенничествах, украденная личная информация, пароли, e-mail рассылки, где используется фишинг, некоторые реальные имена, фотографии, почта и ICQ номера их друзей – полезных людей для следующих нападений. С одной хорошо построенной ловушкой, он стал невидимкой, встроенным в систему кардеров. Это было начало чего-то большого. Он будто был главой среди кардеров, живя только за счёт того, что может плавать в их нелегальной экономике. Его жертвы не могли вызвать копов, а с его анонимным соединением с Интернетом и рядом других мер предосторожности, он застрахован от угроз. Это длилось недолго, прежде, чем Макс обнаружил, что не все кардеры были теми, за кого себя выдают. Жертва была в Санта-Анна. Когда Макс начал просматривать компьютер через свой «вход», то сразу понял, что здесь что-то не так.
    На компьютере работала программа под названием Camtasia, которая записывала все движения на экране – это обычно не та информация, которую преступник хочет скрыть. Макс проверил жёсткий диск, и его подозрения подтвердились. Диск упакован докладами от ФБР. Крис был потрясен открытиями агента ФБР в области борьбы с киберпреступлениями – жёсткий диск агента давал потенциально полезные находки о методах ФБР. Они говорили о том, что делать дальше.

    В некоторых файлах было указано, что агент имеет информатора, который обеспечивает его информацией про Script. Это был лидер кардеров, который продал Крису его первые дампы. Должны ли они беспокоится, что в кругу Script появился стукач? Они решили ничего не делать. Если они разорятся, Макс подумал, что разыграет этот козырь. Если получится, что он случайно взломал агента ФБР, то это может смутить ФБР, возможно, даже будет стоить нескольких приговоров.

    Он вернулся к своей работе по взлому кардеров. Он сейчас знал, что он был не единственным посторонним в мире преступности.

    Продолжение следует
    Глава 13. «Villa Siena»

    Готовые переводы и план (состояние на 3 сентября)
    PROLOGUE (Школьники лагеря GoTo)
    1. The Key (Гриша, Саша, Катя, Алена, Соня)
    2. Deadly Weapons (Юные программисты ФСБ РФ, 23 авг)
    3. The Hungry Programmers (Юные программисты ФСБ РФ)
    4. The White Hat (Саша К, ShiawasenaHoshi)
    5. Cyberwar! ( ShiawasenaHoshi)
    6. I Miss Crime (Валентин)
    7. Max Vision (Валентин, 14 авг)
    8. Welcome to America (Alexander Ivanov, 16 авг)
    9. Opportunities (jellyprol)
    10. Chris Aragon (Timur Usmanov)
    11. Script’s Twenty-Dollar Dumps (Жорж)
    12. Free Amex! (Теплица социальных технологий)
    13. Villa Siena (Lorian_Grace)
    14. The Raid (Жорж)
    15. UBuyWeRush (Ungswar)
    16. Operation Firewall (Жорж)
    17. Pizza and Plastic (готово)
    18. The Briefing (Жорж)
    19. Carders Market (Ungswar)
    20. The Starlight Room (Ungswar)
    21. Master Splyntr (Ungswar)
    22. Enemies (Alexander Ivanov)
    23. Anglerphish (Жорж)
    24. Exposure (Mekan)
    25. Hostile Takeover
    26. What’s in Your Wallet? (al_undefined)
    27. Web War One (Lorian_Grace)
    28. Carder Court
    29. One Plat and Six Classics
    30. Maksik
    31. The Trial
    32. The Mall (Shuflin)
    33. Exit Strategy
    34. DarkMarket (Валера ака Дима)
    35. Sentencing
    36. Aftermath
    EPILOGUE
    • +7
    • 15,9k
    • 4
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 4
    • 0
      >Эксплоит воспользовался тем, что Internet Explorer может делать больше, чем просто обработка веб-страницы.
      >В 1999 Майкрософт добавил поддержку нового типа файла под названием HTML-протокол.

      >Это то, как Макс запускал HTML-протокол вместо веб-страницы.
      >HTML-протокол Макса был написан кратким Visual Basic скриптом,
      >который запускался небольшой программой-ловушкой на компьютере пользователя.

      Это тут ActiveX имеется ввиду?
      • 0
        Нет, речь про HTA.
        Там в тексте дальше написано:
        Как только браузер начинал загрузку файла, сервер Макса превращал его содержимое в содержимое типа «application/hta», которое идентифицируется как HTML-протокол
      • +3
        Отличное начинание! Было бы здорово, если кто-нибудь технически подкованный редактировал технические термины, типа «HTML протокол».
        • –1
          Господи, какое неуважение к смыслу.
          Что значит «Финансовые институты перестали бы держать потребительскую корзину, ведь они заслужили это.»?
          После «любое изображение полиции как хороших парней распыляло Макса» решил не читать дальше, просто представил распылённого Макса.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое