Aktuální kauza s podvodnými e-maily, lákajícími od uživatelů České spořitelny přihlašovací údaje do internetového bankovnictví, znovu oživila diskuse o bezpečnosti finančních operací na Internetu. I přes neustálou osvětu v řadách uživatelů se však vždy najde dost těch, kdo phishingu naletí, aby se tato metoda podvodníkům vyplatila.
Důvěru lidí v Internet a jeho platební systémy však ohrožují i známé případy zneužitých čísel kreditních a platebních karet. V České republice je v současné době nedůvěra uživatelů i bank v bezpečnost Internetu jednou z hlavních překážek rychlejšího rozvoje e-komerce. Málokdo má však skutečný přehled o tom, jak snadné či obtížné je např. získat číslo karty a následně je zneužít a jaký je skutečný rozsah těchto rizik.
Nám se podařilo získat výpověď člověka, který se podle svých slov dlouhodobě věnuje podvodnému získávání financí na Internetu – obchodováním s kompromitovanými čísly karet i phishingem. Jde o Čecha, jenž nám své celé jméno odmítl sdělit. Redakci se přihlásil sám na základě jednoho z našich článků o krádežích identit, komunikace pak proběhla po ICQ a e-mailu.
Po několika výměnách otázek a odpovědí se však odmlčel a kontakt s námi již neobnovil. Některé klíčové dotazy, ověřující věrohodnost jeho výpovědi, tak zůstaly nezodpovězené. Redakce Lupy proto není schopna ověřit pravdivost odpovědí, obsah části z nich je však natolik závažný a zajímavý, že neúplný rozhovor vydáváme tak, jak jsme jej pořídili a případné posouzení rizik z nich vyplývajících necháváme na vás.
Prozradíte nám alespoň své křestní jméno?
Uuf… No dobře, Standa.
Díky. A věk?
No řekněme, že už bych mohl v Americe legálně pít alkohol…
To je docela široké vymezení, ale nevadí. Proč jste se rozhodl svěřit se se svými zkušenostmi čtenářům Lupy?
S oblibou říkám, že bych si rád užil svých anonymních pět minut slávy, ale takhle to asi není. Chci spíš ukázat, jak je jednoduché někoho obrat a jak jsou lidé důvěřiví. Lupu čte spousta lidí z IT a myslím si, že ani oni nemají potuchy, jak to všechno funguje a jak se tomu bránit, takže by jim tenhle rozhovor snad mohl pomoci.
Jak jim říkat?
Pro velkou část veřejnosti je synonymem podvodníka na Internetu hacker, což je slovo, které původně vzniklo pro označení zvídavého a intelektově silného člověka se zálibou v technologiích a jejich zkoumání. Odborníci proto pro účely označení „zlého“ hackera používají spíše termín cracker či „black hat“, část však toto slovo spojuje spíše s crackingem programů (získávání informací pro jejich nelegální užití). Pro phishing se v češtině usiluje zavést označení rhybaření, popř. rhybhaření, a pro jeho původce rhybář (rhybhář), což však stále naráží na odpor části odborné veřejnosti.
Dobře, jak to tedy funguje? Jak se lidé obírají o peníze přes Internet?
Záleží na tom, jak je chcete obrat – karty, účty, Paypal aj. Bohužel taky nevidím do všeho… Know how je tvrdě placené.
Začněme tedy kartami. Je bezpečné platit v e-shopech embossovanou kartou?
Není… A nikdy nebude, karty nikdy nebyly navrženy na to, aby se s nimi platilo pres Internet. Oficiálně ztráty jenom na amerických kartách dosahují stovky milionů dolarů ročně. Všichni ví, že to není bezpečný způsob placeni, ale nikdo s tím nic nedělá. Jediné, co se kdy udělalo, je CVV2 číslo, což je kód vzadu na kartě a měl by verifikovat vaše online transakce, dnes už ho chtějí prakticky v každém obchodě. Bohužel z vlastního příkladu vím, že je to to samé, jako by se žádný CVV2 kód nepoužíval. Prakticky každý e-shop jej skladuje (ač by správné po ověření neměl) v databázi a lze jej získat spolu s číslem i majitelem karty, což pro šikovného hackera opravdu není problém. Takže moje osobní karty se drží od Internetu dál a každému, koho znám, doporučuji, aby udělal to samé.
Jak se k takovému číslu karty i s CVV2 kódem lze dostat?
V ideálním případě se dostanete přímo do stroje přes nějakou službu a necháte si vytáhnout celou databázi. Pokud ne, stačí hledat chybu ve skriptu e-shopu. Nejčastěji jsem viděl použití metody SQL injection. Pomocí chybových hlášek databáze získáte buď přímo hesla do administrace, nebo se naprogramuje robot, který pomocí chybových hlášek tahá jednotlivé údaje. Ale to je jen jeden z mnoha přístupů. U open source produktů jsou také veřejné dostupné exploity.
Víte o nějakém konkrétním případů e-shopu, který by takto zůstával stále „otevřený?“
Samozřejmě že vím :-) V tuto chvíli dokonce o třech, ale pochopitelně je zveřejňovat nebudu, protože jsem je prodal a sám nemám zájem na tom, aby jejich vlastníci díru zavřeli.
To je poměrně upřímně řečeno. Za kolik se taková „díra“ může prodat?
Záleží na tom, kolik obsahuje úspěšných objednávek. Pro představu jsem prodával jeden e-shop s 8000 objednávek asi za dvě stě dolarů, dodnes si myslím, že to bylo pod cenou… Ale tehdy jsem je potřeboval, tak jsem prodal hned, než abych čekal na dalšího zájemce. Pokud si vezmeme cenu jedné karty na černém trhu, řekněme dva dolary (pokud prodáváte po jedné), tak si někdo mohl poměrně slušné vydělat.
Jde o české e-shopy, nebo se zaměřujete jenom na zahraniční?
Češi jsou v placení kreditkou hodně konzervativní a myslím, že i ochrana e-shopů je poměrně dobrá, takže české e-shopy jsou to poslední, co by mě asi zajímalo. Já jsem měl spíš štěstí na ty americké, člověk má jistotu, že tam kreditky jsou a že je může prodat.
Kolik takových úspěšných zásahů už jste měl?
Asi sedm, pokud si dobře vzpomínám. Můj první e-shop byl nějaký prestižní newyorský prodejce vína, v databázi měl sice karty šifrované, ale stačilo rozluštit z kódu skriptu, jak je šifruje a bylo vymalováno.
Kolik myslíte, že se tímto způsobem živí lidí?
Netroufám si odhadovat, ale určitě v řadu stovek nebo tisíců to bude.
Zajímavé, a to je tak jednoduché? Myslím – copak třeba ten newyorský obchodník nepoznal, co se stalo?
Je to jednoduché, i když zase tak ne, pokud ho nemáte komu prodat, tak kromě užívání pár karet je vám k ničemu. Po týdnu, co jsem se mu hrabal v serveru, ho administrátor odřízl, takže vlastně ani nevím, jestli to bylo kvůli mě. Každopádně dovedu si představit, co asi dělal. Nic, maximálně upozornil policii, ale těžko bude upozorňovat svých X tisíc klientů, přišel by o obchod.
Dobře, takže dejme tomu, že máte pár tisíc identit v podobě čísel a CVV2 kódu kreditních karet. Co s nimi dál?
Jednotlivé karty se prodávají snadno, to si snad můžete napsat i na web, ostatně to už sem taky několikrát viděl. Pokud chcete prodat víc karet najednou, je to složitější, většinou je kupují lidé, které je dál přeprodávají, nebo z nich nějakým způsobem nepřímo vybírají peníze. Ty lze najít na IRC, existuje spousta serverů a kanálů, které jsou určené jenom na věci, které jaksi nespadají do zákona, z nich se pak stávají velká tržiště o několika stovkách lidí. Zde si můžete koupit prakticky všechno, co vás napadne, je nelegální a přenositelné přes Internet.
Můžete uvést některý z těchto kanálů?
To bych jen velmi nerad zveřejňoval. Lze zde však najít vše potřebné i využít služeb ostatních. Problém je, že jsou zde lidé anonymní a asi tak 99 procentům se nedá věřit, protože vás okradou a už se neukážou. Ti jsou označování jako rippers a administrátoři se většinou snaží proti nim bojovat, ovšem celkem marně. Proto se zavedly i verifikace, kdy pokud je obchodník úspěšně verifikovný, neměl by vás okrást – ale zkuste věřit zloději, že ano.
Takže s kompromitovanými kartami se v podstatě veřejné obchoduje… Copak ještě policii nenapadlo tyto IRC kanály a web stránky sledovat?
Pravidelně člověk slýchá o tom, koho zavřeli a kdo byl u výslechu, ale zdá se mi, že policie v těchto věcech nic moc nepodniká, nebo na to nemá právní prostředky, nevím. Jediná událost, která je veřejné známá, je zavření majitele serveru mazafaka.cc, fóra, které bylo právě jedním z takových tržišť. Ostatně mrkněte se na jeho URL, je tam docela vtipný obrázek.
Můžete tedy předložit nějaký důkaz, že jste skutečně ten, za koho se vydáváte?
Můžu vám ukázat screenshoty účtů, ke kterým mám přístup. Jsou staré (v době konání rozhovoru, pozn. red.) cca dva až tři týdny. Ty účty jsou určitě ještě funkční, jen jeden z nich je vybraný do mínusu.
Náhledy údajně prolomených účtů internetového bankovnictví americké Wells Fargo
K těm účtům jste se dostal jak?
To je delší příběh… Všichni tenhle způsob asi znají jako phishing, ale nikdo z „branže“ to tak nenazývá. Jediné, co se používá, je scam, případně scam letter, scam page.
Základem akce je mít nějaký e-shop, který bude obsahovat i kontakt na uživatele v podobě e-mailu. Podle prvních šesti čísel kreditní karty (BIN) se dá rozpoznat, která banka kartu vydala. Takže jsem si vybral nejpoužívanější banky, které mají online banking, a nechal všechny karty vytřídit naskriptovaným botem. Konkrétně u mého příkladu (Wells Fargo) mi vypadlo asi dva tisíce karet i s e-maily vlastníků. Teď už zbývalo jen sehnat server, kam umístit scam page, aby tak dva tři dny vydržela v provozu. Jelikož jsem měl už pár serverů v záloze, nemusel jsem investovat a kupovat je od někoho jiného. Poslední krok byl odeslat všem e-mail s oznámením na způsob, že byly objeveny nebezpečné transakce a že potřebujeme, abyste se přihlásili na tom a tom serverů pro ověření… Celá věc lze ještě vyšperkovat tím, že přidáte do e-mailu vlastníkovo jméno, přidáte číslo karty a zaregistrujete si doménu wellsfargo-security.com nebo něco na těm způsob.
Kolik z těch dvou tisíc obeslaných se chytilo?
Chytilo se jich asi dvacet. Ale mohlo jich být mnohem víc, protože jsem tenkrát nezařizoval ani doménu ani jsem nedělal e-maily „na míru“.
A z těch dvaceti jste se pak dostal ke dvěma účtům?
Ne. Několik z nich byly jenom karty, protože ti konkrétní lidé neměli zařízeno online bankovnictví, ale přesto vyplňovali položky, které se týkaly kreditní karty, kde je číslo karty, exspirace, CVV2 a ATM PIN. Pak bylo deset účtů, z čehož bylo opravdu použitelných sedm.
A ty jste vybral?
Ne všechny, dva jsem za pomoci kamaráda převedl na E-gold a další jsem prodal. Tohle už totiž dost smrdí kriminálem.
Proč E-gold?
E-gold je jednoduchá služba pro mikroplatby, něco jako Paypal. Pokud byste chtěli něco kupovat nebo prodávat na „tržištích“, tak se používá jenom E-gold, protože má tu výhodu, že je poměrně anonymní a nestane se, že vám poslané peníze najednou zmizí, což se u jiných říct nedá. Zažil jsem jen jednou, že někomu zavřeli účet, pravděpodobně na příkaz policie. Pak už stačí přelévat E-gold z jednoho účtu na jiný, vymyslet si případně nějakou historku o virtuálním dlužníkovi pro policii a pak je převést na svůj účet nebo jinak investovat. Vše anonymně. Proto je to ideální platidlo.
Paypal je tedy pro tento účel hůře použitelný?
Ano, jistě, protože pokud platíte z ukradeného Paypalu třeba za deset karet, což prodávající nemusí vědět, a původní majitel Paypal účtu si začne stěžovat na podpoře, peníze prodávajícímu vezmou a uzavřou všechny účty s tím spojené. U Egoldu máte určitou jistotu, že pokud máte peníze na účtu, máte je i v kapse.
Jelikož používáme pro příjem karet výhradně systém 3D-secure, s údaji platebních karet vůbec nepřicházíme do styku, řekl nám Ondřej Fryc z Mall.cz. Podobně se vyjadřuje i Josef Suchánek za Vltava Stores:
Naše společnost (a tedy naše internetové obchody) čísla kreditních karet ani CVV kódy nearchivuje. Kód se zadává až v kroku platební brány České spořitelny, takže možnost získání CVV kódu nebo dokonce čísla kreditní karty je technicky vyloučena.
Když se ještě vrátíme k tomu phishingu (či scammingu), můžete shrnout, jak to celé probíhá?
Pokud bych to vzal od úplně od píky, tak potřebujeme několik základních věci. Pro účinný phishing potřebujeme server, na který se umístí stránky, které vypadají jako banky, pro lepší účinnost je dobré koupit anonymně třeba na falešnou kreditku doménu banka-security.com nebo něco podobného, aby to vypadalo co nejvíc věrohodné. Všimněte si, že už i takovéto domény bývají většinou zabrány a je velice těžké najít něco smysluplného, to je většinou „naše“ zásluha. Hacknutý server si lze opět lehce na tržišti koupit za pár dolarů. Stránku podobnou bance i se skriptem, který odešle mail či zapíše do souboru, lze opět koupit za pár dolarů nebo si ji udělat sám.
Druhá věc je, že potřebujeme mít odkud poslat e-maily. Může to být ten samý server, nebo si lze koupit za několik dolarů mailer, který už je na nějaký hacknutý server nahraný (pro představu třeba pět dolarů v E-goldu).
Třetí velice důležitá věc je sehnat schránky, do kterých scam poslat. Lze je nasbírat na Internetu, ale účinnost těchto e-mailů je pak prakticky nulová, pokud se bavíme o bankách. U Paypalu to bývá lepší. Velice bohatým zdrojem informací jsou tedy e-shopy, které si nechávají v databázi čísla kreditních karet, to jsou v zahraničí v podstatě všechny. Já jsem kdysi měl přístup k pěti e-shopům, přes poměrně triviální chybu v rozhraní jsem se dostal do administrace. Řádově jsem tak získal cca 60.000 kreditních karet. Po rozprodání karet s jejich vlastníky i CVV2 kódy (běžně za kartu něco mezi 0.5 – čtyřmi dolary) jsem se rozhodl spamovat jejich e-maily scamem, a tak jsem se dostal k těm účtům u Wells Fargo. Pokud člověk není hacker nebo se mu nedaří, lze administrace e-shopu také koupit, cena je v řadu stovek dolarů, otázka je, kolik je v něm objednávek.
Poslední věcí je vyrobit dopis, který bude věrohodné vysvětlovat, proč chcete od uživatelů jejich údaje. Lze opět koupit, ale napadlo mě, že toho bude určitě spousty na Internetu. Tak jsem našel http://www.doshelp.com/scams-fraud/Banking, velice užitečný zdroj scam e-mailů.
Tím jsou přípravy hotovy, mailerem obešlete seznam e-mailu. Účinnost by měla být, pokud dodržíte všechny věci které jsem psal, tak okolo 2 – 20 procent. Já osobně jsem na tom byl hůř, protože jsem neměl koupenou žádnou doménu.
Takže v tuto chvíli máte pár kreditních karet i s PINem, které opět můžete nechat od lidí, co mají MSR (zápiska na karty) vybrat pomocí bankomatů (50% podíl). Za druhé máte přímo účty online bankovnictví. Můžete je prodat (většinou okolo 2 procent z toho, co na účtu je). Nebo je nechat vybrat v hotovosti ve spolupráci s jiným člověkem. Většinou je to opět okolo 50 procent, co si za to nechá. Vlastní převod konkrétně u Wells Fargo je poměrně problémový a trvá dlouho kvůli „nějakému“ ověřování a hrozí nebezpečí, že si toho majitel všimne a příkaz zruší, což pro některé opět není problém, ale pokud chceme být skrytější, tak Wells nabízí pro personal účty také billpay, něco jako trvalý příkaz k úhradě. S tím rozdílem, že v online historii u Wells Fargo to pak nelze dohledat, ovšem u toho je zase problém, že nelze platit velké částky. Převádí se většinou také na nějaký účet té samé banky.
Víc vám o tom neřeknu, protože jsem to nikdy neprováděl sám. I za takovéto informace se bohužel velice tvrdě platí. Můj kamarád, mimochodem Slovák, zaplatil za několik dokumentů, které se týkaly takovýchto strategií, 9000 dolarů. Občas, když se bavíte s nějakým člověkem, co to dělá, lze i zjistit, jak to dělá, ale většinou si každý drží své know how pro sebe.
Takže v tuto chvíli by měl mít člověk, kterému jste svěřili výběr účtu, peníze na svém účtu (možná). Jeho prací je teď převést polovinu na E-gold a poslat vám. Jelikož je E-gold anonymní a chargeback prakticky není možný, transakce jsou kryté zlatem, je to nejvíce používaná měna v této branži (ještě s Western Union).
Na tomto místě už je jenom na vás, jak peníze „properete“. Většina lidí už to nedělá, protože i na anonymním E-goldu je při používání proxy cache nebo VPN tunelu velice těžké dokázat, že účet je váš.