– В начале 2004 года я познакомился с Black Monarch – одним из модераторов carder.org – первого в мире форума для кардеров. Тот продавал американские дампы с «пином», но только для «своих», так как не мог делать их много – всего штук по пятьсот в месяц.

– Ничего себе! Как вы обналичивали такие количества?

– Отдавали дропам (обнальщикам) в разных странах, оставляли им 15–30 %, и те присылали нашу долю по Western Union. Все из них, за исключением обнальщиков на местах, которых я контролировал лично, обманывали нас и утаивали огромные суммы. Проверить, сколько сняли с твоего дампа, чаще всего невозможно.

– Ты сказал, что Black Monarch «делал» дампы с «пинами». Как он их делал? – оживилась адвокат.

– Вкратце схема такова: берем дамп с оригинальным первым треком – там есть настоящее имя кардхолдера. Заходим на www.accurint.com, вбиваем ФИО жертвы, находим его SSN (Social Security Number – номер социального страхования, который положено иметь всем гражданам США в возрасте от одного года), дату рождения, адрес и телефон – чем больше данных о жертве соберем, тем лучше. Понятно, что если имя холдера будет John Smith, то мы устанем гадать, кто же из тех двух тысяч Джонов Смитов, что выдаст нам в результатах поиска accurint, и есть наш, поэтому дамп нужно изначально выбирать с редкой для Америки фамилией. Дальше идем на сайт банка, выдавшего карту, «энроллим» ее (от англ. enroll – «регистрировать») – то есть открываем онлайн-доступ к карте – и особым образом меняем PIN-код. Правда, сменить его можно было не на всех картах, тогда такие дампы с уже открытым онлайн-доступом к карте, а значит, известным балансом, мы продавали – за 15 % суммы на карте. Рентабельность моей работы с Black Monarch превышала 300 %.

Когда совсем нечем было заняться, я через Skype звонил «терпилам» и под благовидным предлогом разводил их на «пины». Можно это и в автоматическом режиме замутить: жертве позвонит программа-робот, озвучит заранее записанный текст, предупреждающий о подозрительных операциях с его счетом, и проинструктирует клиента сообщить номер его кредитной карты, срок ее действия и PIN-код.

– А что делать, если нет доступа к конторе типа accurint? Где искать SNN и прочие личные данные владельца карты?

– На кардерских форумах хватает людей, которые поставили поиск личных данных американцев на поток. Стоит все удовольствие $3–5. Почему именно американцев? Дело в том, что подробные базы с полной информацией о гражданах, включая сведения о браках и разводах, судимостях, месте работы, движимом и недвижимом имуществе, зарегистрированном оружии, кредитную историю и т. п., есть только в Штатах. По Евросоюзу единой базы нет, только по отдельным странам. К тому же в Америке проживает 300 млн потенциальных потерпевших, а, к примеру, в Бельгии – всего десять. Есть разница?

– Как еще можно узнать PIN-код?

– В последний год серьезные обороты набрал фишинг (phishing).

– ?..

– Искаженное английское fishing («рыбалка»). Пользователям рассылаются сообщения со ссылками на сайты, как две капли воды похожие на сайты настоящих банков, платежных систем, социальных сетей и т. д., где злоумышленники выуживают у доверчивых пользователей ценные личные данные – логины и пароли, номера кредиток, PIN-коды, доступы к различным платным сайтам и прочее. По сути, фишинг – это классическая разводка, искусство выдавать себя за того, кем не являешься. Он основывается на незнании пользователями элементарных вещей – в частности, того, что банки и различные сервисы никогда не рассылают писем с просьбами сообщить свои учетные данные. Фишинг особенно распространен в США, где высокий уровень законопослушности населения – если банк прислал запрос, то на него надо обязательно ответить.