0x00 Предисловие В детстве мы смотрели фильмы «Хакеры», «Взлом», «Рыба-меч-пароль» и другие голливудские творения.
Несмотря на наш юный возраст, мы были вдохновлены искать информацию о взломе и фрикинге везде, где это возможно.
Помню, тогда были диски с наборами отрывков из различных эхо-конференций.
Мы освоили программирование, разобрались в устройстве IP-сетей, операционных систем и всякого оборудования.
Игры промышленный шпионаж и другие радости детства.
Мечта украсть миллион, а лучше баксов с помощью компьютеров прочно сидела в наших головах.
Но.
детство проходит, школа заканчивается, попытки владеть бизнесом, работать в различных телекоммуникационных компаниях, и вот желание воровать переросло в желание построить честный высокотехнологичный бизнес, что оказалось сложнее, и поэтому интереснее.
Однако не зря говорят, что возможность воровать создает преступника.
0x01 У каких айтишников хорошая жизнь или как все начиналось.
В нашем бизнесе лучшая репутация – это ее отсутствие.
(С) Была платежная система в 2008 году, не большая, но и не маленькая, и у них у всех был админ, знакомый с ИБ, и программисты, которые писали код, может, не идеально, но быстро.
И администрации ПС пришла в голову идея внедрить автоматизированные рабочие места, с которых можно было бы производить пополнения.
Сказано - сделано.
Рабочая станция написана и представлена.
Правда, администрация то ли по незнанию, то ли по наивности забыла сменить пароли на тестовых аккаунтах.
И тихо-мирно родился новый «бизнес» от админа, пополняющий баланс чего угодно за полцены.
Оказалось, что из-за невнимательности в ИТ-отделе начались увольнения, под них попал и админ.
После ухода я особо не волновался; Я пополнил мобильные телефоны и интернет-аккаунты своих друзей.
Можно было не работать и жить относительно свободно.
Левая сим-карта и мобильный модем позволяли быть анонимными.
Но так, естественно, не могло продолжаться долго, и в 2009 году в один прекрасный весенний день интерфейс закрылся, то ли пароль поменялся, то ли диапазон IP был урезан.
А админ уже привык получать деньги из воздуха с минимальным риском.
И я подумал об этом.
0x02 Знание – сила.
«Если вы будоражите это, сделайте это тихо.
Не знаешь телефона - не бери трубку» (с) Поскольку вся инфраструктура платежной системы была построена администратором, он, естественно, знал как слабые места, так и внутреннюю структуру сети.
Чтобы попасть внутрь, потребовалось около двух недель.
После попадания на шлюз nc быстро поднялся с переадресацией на RemoteAdmin дежурного администратора.
И вот одним темным вечером в полпервого ночи, сидя в трех кварталах от офиса платежной системы, в маленькой тесной комнате над монитором склонились три человека.
PgAdmin запускается на экране, чтобы не попасть под пристальное внимание логов, вставки SQL-запросов пишутся вручную, вызывая из памяти поля таблицы, отвечающей за проводку платежей.
Нервы на пределе, троица успевает вбить несколько строк.
После чего на экране начала дергаться мышка, видимо с той стороны заметили, что на мониторе происходит что-то совсем не хорошее =).
И вместо того, чтобы позвонить в отдел К, дежурный админ не смог придумать ничего лучшего, как закрыть RemoteAdmin, хотя на самом деле можно было увидеть, откуда тусуются «хакеры», и отследить их.
Соединение разорвано.
Они не могут войти в одну и ту же реку дважды.
Лица за монитором нервно курят. Звонки с ПС на мобильные тоже добавляют нервов.
Видимо, в ПС решили, что такое смогут осуществить только бывшие сотрудники.
В общем, они были недалеки от истины.
0x03 Халява.
"Здесь как на базаре - хватай и иди, и хорошо, если рядом правый корень" (с) С той злосчастной ночи прошло полтора месяца.
Однако идея урвать кусок прочно засела в голове бывшего администратора платежной системы; все это обсуждалось с какими-то личностями, которые могли что-то придумать.
По давней традиции все это обсуждалось на кухне под определенным количеством алкоголя.
И в один из таких вечеров удача позволила себя поймать за синий хвост. Потом на кухне сидели два человека.
Третьего, наладчика терминалов платежных систем, позвали «пивка попить»; он появился после работы с пивом.
И рабочий ноутбук.
Сколько времени потребовалось, чтобы его ноутбук был введен в эксплуатацию, или тестировались ли на нем мобильные модемы или что-то в этом роде, история по этому поводу хранит гробовое молчание.
Известно лишь, что в один прекрасный момент, когда, отвлекшись на дым, он и хозяин квартиры (он же бывший администратор) вышли из тесной кухни, другой смуглый человек быстро порылся в папке с терминальное программное обеспечение и переместил его на флэш-накопитель, скопировав его.
Мы допили пиво и настройщик ушел.
Всю следующую неделю администратор провел, пытаясь найти где-нибудь CashCode, термопринтер и старый компьютер, к которому можно было бы все это подключить.
После всё это было найдено, собрано, включено и подключено.
Пара VDS в Бельгии с полностью отключенными логами для анонимности, оплатой веб-деньгами с первоначальных аккаунтов и VPN. Заказы от друзей, потом перевод денег ночью, эмулируя терминалы из разных концов города.
Утром вам будут выданы ПИН-коды для активации.
Потом некоторые друзья, которые были в «теме», начали собирать заказы и стали закупать оптом.
Получалось около 30-40 тысяч в месяц, но этого стало казаться мало, тогда один из друзей предложил познакомить его с владельцем обменника электронных денег.
Первый заказ составил 150 тысяч.
Более того.
Наверное, это были худшие дни для платежной системы, так как все делалось с не тех мобильных модемов, с не теми симками и номерами, которые использовались один раз, а потом выбрасывались.
Параллельно с этим развивался бизнес по продаже левосторонних сим-карт. Сотрудники отдела продаж и сотрудники.
Практически все мобильные операторы с радостью ввели паспортные данные за небольшую плату.
0x04 Кэш.
— Я много воровал, когда был маленьким.
Но я никогда не крал ни одной конфеты, я украл всю коробку.
Еще мне нравилось врываться в дома людей и ходить вокруг них.
Мне было очень приятно находиться в чьем-то пустом доме.
(С) Казалось бы, дело поставлено на поток, что еще требуется? Но сознание администратора хотело играть по-крупному.
Подготовка была соответствующей.
Поддельные нотариально заверенные копии паспортов для отправки на WebMoney и Яндекс Деньги.
Определен момент, когда можно выбросить максимальную сумму.
Подключив к компьютеру все необходимые устройства, и воткнув в компьютер линию от известного провайдера, вооружившись купюрой в 5000, он приступил к процессу.
Сначала, вновь взломав базу данных платежной системы, он отключил ограничение на ручные платежи, для чего ему достаточно было изменить одно логическое поле в таблицах настроек платежей, после чего, зажав «шторку» купюроприемника, он начал класть деньги на несколько счетов.
Потратив более 1 млн руб.
Он выключил все и пошел спать.
Мечта сбылась, пусть на виртуальных счетах было больше миллиона денег, но сделать это можно было не раз.
0x05 Вместо эпилога.
Они тебя трахнут, но не воруй.
(С) Правда, мечтам об итеративном процессе не суждено было сбыться.
Около 6 часов утра в квартиру вошли сотрудники отдела «К».
Оказалось, что сотрудники уже 3 месяца подряд читают логи платежной системы, как роман на ночь.
А до этого они не могли определить, кто и где совершал эти дерзкие рейды.
На этот раз что-то пошло не так.
Либо сим-карта отказалась работать, либо модем.
А наш герой зашел через свои бельгийские VPN-туннели прямо с линии домашнего провайдера.
Глупый? Вероятно, да.
Выставив свой настоящий IP около 2 часов ночи, уже через час отдел К знал адрес, по которому нужно выехать.
Далее следует арест. СИЗО.
9 долгих месяцев ожидания решения суда.
После чего 4,5 года испытательного срока.
Правда, остается один неясный вопрос – а что, если снова будет использован «условно анонимный» канал связи? Вы бы взяли это наличными? или переадресация через какие-то РБК-Деньги сделала свое дело? :) PS: Ответы на вопросы, которые наверняка появятся после прочтения или во время него: Все описанные события реальны и произошли в 2009 году.
Ну, скажу сразу, я автор поста, а не герой этого романа, я просто имел возможность увидеть все это своими глазами, и довольно хорошо знаю некоторые детали.
Поэтому я подумал, что, возможно, хабрасообщество в этом заинтересуется.
Теги: #взлом #взлом #мошенничество #платёжные системы #информационная безопасность
-
Я Удивлен, Что Ваш Продукт Все Еще Работает.
19 Oct, 24 -
Что Удерживает Ядра Атомов Вместе?
19 Oct, 24 -
Что Лежит Под Елкой: Ретроспектива
19 Oct, 24 -
Опыт Анализа Пользовательского Кода C#.
19 Oct, 24
