SecureNews предлагает вниманию читателей интервью с белорусом Сергеем Павловичем – одним из самых известных кардеров в СНГ.
В 2004—2009 годах белорусские власти трижды привлекали его к суду за киберпреступления. В общей сложности он должен был провести в тюрьме 16 лет, но через 10 лет был досрочно освобожден.
В 2008 году Сергей Павлович стал одним из фигурантов дела о «самой крупной краже персональных данных за всю историю США», в результате которой было похищено более 1 миллиарда долларов. За участие в этой операции ему грозит пожизненное заключение в американской тюрьме.
Сидя в тюрьме, Сергей написал книгу «Как я украл миллион. Исповедь раскаявшегося кардера». В своей книге автор призвал не повторять его ошибок и держаться подальше от киберпреступного мира.
Почему вы решили стать кардером? Пришло ли осознание того, что вы занимаетесь противоправной деятельностью, постепенно или вы с самого начала это понимали?
Произошло это, можно сказать, случайно: я как-то, еще будучи школьником, наткнулся на сайт «Компьютерной газеты», на доске объявлений которой среди гор всякой продающейся современной электроники (купленной в основном, как позже выяснилось, за ворованные кредитки) нашел объявления о продаже номеров кредитных карт (на сленге мы называли их «СС», от англ. credit card). Я быстро смекнул, что можно попробовать купить что-то в интернет-магазине за такую кредитку, у меня получилось, а дальше пошло-поехало.
Конечно, я с самого начала понимал, что это незаконно, поэтому предпринимал определенные меры предосторожности: товар никогда не заказывался на почтовые адреса, имеющие какое-то отношение ко мне, чаще всего отправляли «дропам» – случайным знакомым или местным пьяницам, за пару бутылок готовым принять твой товар.
Это направление кардинга называлось «вещевым кардингом» и существует и поныне.
Как можно защититься от действий кардеров? Кто, на ваш взгляд, является наиболее слабым звеном в цепочке пользователь-банк-поставщик товаров/услуг? И какие серьезные ошибки совершаются в ходе операций с банковскими картами?
От посягательств на вашу кредитную карту могут помочь элементарные меры предосторожности, такие как: установить sms-оповещение о каждой операции с вашей банковской картой, установить дневной лимит снятия (например, не более 200 долларов), поставить запрет на снятие наличных за границей (потому что чаще всего украденный «дамп» вашей кредитной карты обналичивают в другой стране), не передавать карточку в руки чужим лицам, например, официант в ресторане пусть приносит терминал и совершает расчет при вас, а не как раньше карту уносили куда-то в подсобку и там проводили вашу транзакцию, также при съеме наличных в банкомате обязательно стоит осмотреть банкомат на предмет наличия всяких посторонних накладок, могущих скопировать данные с магнитной полосы вашей карты (накладка обычно надевается на картоприемник и внешне выглядит как вполне заводская деталь; называется это направление кардинга «скиминг» – от англ. skim – снимать), а лучше вообще снимать наличные в банкоматах, установленных только в помещениях самих банков или в крупных торговых центрах, где намного сложнее незаметно установить считывающее устройство. В Интернете оплачивать карточкой стоит только в проверенных магазинах, данные с сайтов которых передаются по защищенному протоколу ssl (https). Также ни в коем случае не стоит записывать ПИН-код прямо на своей карте: при ее краже/утере злоумышленники быстро снимут все деньги. Об остальных методах защиты своих карточек от преступных посягательств читайте в моей книге.
Самым слабым звеном в цепочке передачи банковской информации не всегда является пользователь – очень часто виновником выступает сам банк (так, сейчас в одном из московских судов слушается дело, когда из-за стандартных настроек банкоматов, инструкция к которым есть в Интернете, преступники смогли настроить банкоматы на выдачу денег и похитили свыше миллиарда рублей). А вообще, самые крупные утечки информации о кредитных картах происходили из крупных ритейл-сетей типа Walmart – взламывая их, хакеры похищают сразу миллионы кредитных карт покупателей (у меня по делу проходило около 200 миллионов кредитных карт). Все, что построено человеком, можно взломать, и в основном это происходит из-за халатности самих банковских/торговых структур, ненадежно защищающих свои компьютерные сети или использующих при установке оборудования заводские пароли по умолчанию.
Насколько сильно современные технологии помогают в деле защиты от кардинга? Например, чипы для карт и 3DSecure?
Карты с чипом взломать гораздо сложнее (это факт), но возможно. По поводу 3D Secure – в Интернете все еще полно сайтов, позволяющих осуществить платеж без ввода одноразового кода, приходящего в sms-сообщении, но с каждым годом таких становится все меньше. 3D Secure тоже не панацея, так как кардеры могут через сайт банка сменить номер телефона, привязанный к вашей карте и заказать одноразовый пароль на него, но это все, конечно, уже гораздо сложнее. В целом, платежи в Интернете в последнее время стали намного безопаснее. Главное – использовать проверенные магазины. Также нужно быть внимательным, когда вам приходит email-сообщение якобы от сайта банка с просьбой обновить данные вашей кредитки, ввести ее номер и ПИН-код – банки никогда не рассылают подобных сообщений, и все таковые являются «фишинговыми» (поддельными), при этом сайт, где вы вводите свои данные может выглядеть один в один как сайт вашего банка.
Когда к вам пришло осознание того, что выбранный вами жизненный путь – неправильный?
После того, как я отсидел 8 лет в белорусских тюрьмах (а всего я отсидел 10). Я понял, что я не хочу больше сидеть, никогда, и реализовывать свой потенциал в криминальном направлении неправильно. Поэтому сразу после освобождения я занялся бизнесом – фактически, ты решаешь все те же задачи, что и в криминале, только думаешь уже не о том, где половчее украсть, а как обойти конкурентов и сделать сервис, который будет делать жизнь людей лучше, проще, экономнее, защищеннее и так далее. Ну а деньги – неизбежное следствие этого.
Каким образом black-hat хакеры могут служить на благо обществу?
Из известных хакеров переквалифицировался и стал делать все то же самое, но только уже легально (по заказу самих же компаний тестировать их компьютерные сети на уязвимости), если мне не изменяет память, только Кевин Митник, основав компанию Mitnick Security Consulting. Из русских я не знаю никого. И проблема здесь не только в том, что «горбатого могила исправит», а в том, что наши компании/правительство не могут предложить достойных зарплат, ведь месячный заработок нормального black-hat хакера исчисляется десятками тысяч долларов.
В СМИ периодически появляются сообщения о сотрудничестве хакеров с властями западных стран. А известны ли вам примеры кооперации хакеров с правоохранителями Беларуси и России? Если нет, то в чем, на ваш взгляд, причина отсутствия такого сотрудничества?
Об этом очень хорошо сказал Илья Сачков (владелец компании по компьютерной безопасности Group-IB): «Правоохранительные органы стран СНГ никогда не берут на работу бывших хакеров, потому что считают, что если человек хоть раз себя запятнал, то он и дальше продолжит заниматься противоправной деятельностью, поэтому лучше взять на работу молодого человека после института с кристально чистой биографией». Как показывает практика, это тоже не является панацеей – на скамье подсудимых мы нередко видим высокопоставленных сотрудников ФСБ и МВД, занимающихся тем же самым, что и обычные хакеры. Большие деньги являются немалым соблазном.
Если брать лично меня, то ни мне, ни кому-то из моих знакомых хакеров и кардеров никогда не предлагали работу в правоохранительных органах – вероятно, по вышеупомянутой причине. Ну а то, что хакеры западных стран работают на правительство – такие случаи бывают, самый яркий из них (работа Альберта Гонсалеса с Секретной службой США) описан в моей книге, но и в тех случаях назвать это работой нельзя – чаще всего они «стучат» на своих же соратников, чтобы самому не загреметь на скамью подсудимых.
После освобождения из тюрьмы у вас не было мысли поработать в сфере информационной безопасности?
Нет, не было, потому что, в первую очередь, я не «технарь». Я генератор идей, как я сам себя называю, «архитектор идей», поэтому мне интересно выстраивать бизнес. Сидеть сутками за компьютером, отлавливая очередных «червей», троянов, вирусов или хакеров мне неинтересно. Да и заработки, опять же.
На какие сферы деятельности стоит обратить внимание человеку, решившему уйти из киберпреступности в «легальное поле»?
Я бы посоветовал обратить внимание на арбитраж трафика. Как сейчас принято говорить, кто владеет трафиком – тот владеет миром. И это действительно правда. Потому что даже создать крутой интернет-магазин намного легче, чем привести в него покупателей. Сегодня на рынке полно предложений, например, от магазинов, которые предлагают тебе приводить клиентов за щедрые комиссионные с каждой продажи, и если тебе есть где брать клиентов – безбедное существование тебе обеспечено. Трафик можно брать в разных местах: например, создать паблик в соцсетях и раскручивать его, а потом предлагать там какие-то товары или рекламировать конкретные магазины или услуги, можно купить трафик дешево в одном месте (например, дешевый «мусорный» трафик типа попандеров и кликандеров) и сливать его на оффер какого-то магазина/сайта – главное, чтобы он при этом монетизировался. Раньше я доставал трафик при помощи email-спама и сливал его на порносайты и казино, но это незаконно, поэтому сейчас я привожу клиентов в кэшбэк-сервисы. Если вы не знаете, что такое кэшбэк, то это сайт, предлагающий вернуть (реально) часть денег с каждой вашей покупки в Интернете. Также на них есть купоны и промокоды, поэтому я уверен, что сайты-купонаторы, или, как их еще называют, «промокодники» в скором времени умрут. Потому что зачем использовать только купон, если на сайте кэшбэк-сервиса ты можешь использовать не только купон или промокод, но еще и получить обратно кэшбэк. 6% – как на Алиэкспресс или Ламоде, или все 40% (столько обычно возвращают с продажи программного обеспечения, игр, приложений или домена и хостинга для вашего сайта). Арбитраж вообще означает, что вы в одном месте берете трафик дешевле, чем получаете в дальнейшем с его продажи или монетизации другим способом. Кстати, всего 10% покупателей в Интернете, знают, что такое кэшбэк. Поэтому работы – поле непаханое.
Считаете ли вы карьеру в сфере ИБ хорошей возможностью для хакера, желающего выйти из тени?
Не знаю, возможно для какого-то технически грамотно специалиста, не претендующего на большие деньги, это и хорошее решение, в основном же топ-хакеры предпочитают после отсидки заниматься бизнесом или продолжают свои прежние занятия.
Вы написали книгу «Как я украл миллион, исповедь раскаявшегося кардера». Вы планируете продолжать писать? И какими проектами вы занимаетесь в настоящее время?
Книгу я написал, отзывы о ней достаточно хорошие, читается легко, но писать продолжение я не планирую, у меня просто нет на это времени. Да и что писать? Выдумывать, как Перумов это мастерски делает, я не могу, я лишь могу описать то, что пережил сам. Криминальный период моей жизни закончен, написанием книги я поставил в нем жирную точку, поэтому следующая книга если и будет, то только тогда, когда я заработаю миллионов сто долларов, а сейчас я не считаю себя вправе кому-то что-то советовать. Мне очень хочется написать книгу о бизнесе, за решеткой я прочел сотни книг о бизнесе, биографий великих предпринимателей типа Стива Джобса, и мне хочется написать книгу о том, как я воплощаю все то, что узнал и придумал сам и это в конечном счете привело меня к успеху, но, повторюсь, я сяду писать ее только тогда, когда заработаю эти деньги. Может быть больше, может быть меньше, но заработаю. Это своеобразный вызов для меня. Осенью моя теперешняя книга выйдет на английском в Америке, а дальше посмотрим.
Сейчас же я занимаюсь тем, что вместе с компаньоном организовал производство сувенирных долларов и копилок LuckyBucks.ru (посмотрите, достаточно интересные, сейчас еще появится серия с Дональдом Трампом и даже Владимиром Путиным), и все так же привожу трафик на кэшбэк-сервисы. Сразу я приводил клиентов на LetyShops, но сейчас они ухудшили условия партнерской программы, да и кэшбэки в 0,1 цента, которые они мне выплачивают, надоели – и я переключился на относительно молодой сервис SecretDiscounter.ru. Получаю 50% от их дохода с каждого приведенного мной клиента, за год выходит около 2 долларов с каждого, привел я уже больше 10 тыс., поэтому получаю в год около 20000 долларов и не останавливаюсь. Что импонирует, так это то, что ребята постоянно развиваются: сделали блог, где освещают последние новости из жизни сервиса и полезные новые «фишки» типа системы лояльности, позволяющей со временем получать на 30% кэшбэка больше, или бесплатного сервиса отслеживания посылок «Где посылка». Также немаловажным аспектом для меня является то, что Секрет Дискаунтер занимается благотворительностью – уделяет 10% от своей прибыли в проверенные благотворительные фонды, это же могут сделать и клиенты компании. Я и сам думаю вскоре создать свой благотворительный фонд – буду передавать правильные книги и спортинвентарь в тюрьмы и зоны по всему миру. Называться будет «Freedom Forever» (свобода навсегда).
Пока же я иногда пишу в своем блоге, Carding.pro – чтобы, так сказать, не потерять остроту пера.
Сравнивая законодательство разных стран — какое из них наиболее жестоко по отношению к киберпреступлениям? И наоборот.
Если взять отдельно уголовный кодекс, то самые большие сроки за киберпреступления в Соединенных штатах Америки. Если в Беларуси меня судили по статье, предусматривающей до 15 лет лишения свободы, то в Америке вполне могут дать и пожизненное. НО! Если в Америке ты соглашаешься на сделку со следствием, даешь им весь «расклад» (кому охота работать, расследуя несколько лет твое дело!), не создаешь следователям особых проблем и идешь на определенные уступки (не обязательно при этом «сдавать» подельников; на сколько тебе совесть позволяет), то на практике получается, что ты получаешь намного меньше, чем в той же Беларуси. Не всегда, но в большинстве случаев. Да и сидеть там не в пример лучше... Самые же мягкие, чаще всего условные, сроки киберпреступники получают в России или Украине – из-за коррумпированности правоохранительной системы и судебных органов.
Почему в России и странах бывшего СССР так много киберпреступников, однако жертв их деятельности не такое относительно большое число? На это есть какие-то этические причины? Или дело в том, что население этих стран в массе своей беднее?
Конечно, основными «мишенями» хакеров и кардеров всех мастей всегда были и будут Соединенные Штаты – по причине большого числа денег и развитой сетевой инфраструктуры, которую можно взломать. В странах бывшего СССР мало того, что денег практически нет, так еще и не все компьютеризировано, до сих пор многие базы данных существуют только в локальных сетях (а то и в папках в архивах). Это, с одной стороны, неудобно для самих же работников таких отсталых структур, но, с другой стороны, спасает от массовых компьютерных атак наподобие последних нашумевших WannaCry и Petya.
Этические причины были раньше – еще у моего поколения киберпреступников, когда мы редко воровали у своих по причине:
а) отсутствия больших денег
б) а также потому, что наш несчастный народ уже государство не раз обобрало и продолжает это делать, если еще и мы будем...
В целом, могу констатировать, что сегодня гораздо больше различных способов заработка в Интернете (это и арбитраж трафика, и различные стартап-инкубаторы и венчурные фонды, помогающие тебе воплотить твою идею в жизнь), чем в мое время, и нужно быть последним дураком, чтобы воровать в Интернете вместо того, чтобы зарабатывать в нем гораздо больше. Легально.
