html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Как украсть миллион?

0x00 Предисловие

В детстве мы смотрели фильмы Хакеры, Взлом, Пароль Рыба-меч, и прочие творения голливуда. Не смотря на юный возраст, вдохновившись мы искали информацию о хакинге, фрикинге везде где только было возможно. Помню тогда еще компакт-диски ходили с наборами выжимок с разных эхо-конференций. Осваивали программирование, постигали устройство IP-сетей, операционок и всяких железяк. Игры в промышленный шпионаж и прочие прелести детства. Мечта украсть миллион и желательно баксов с помощью компютеров прочно сидела в наших головах. Но… детство проходит, школа заканчивается, попытки собственного бизнеса, работа в различных телекоммуникационных компаниях, и вот уже желание своровать сформировалось в желание построить честный высокотехнологичный бизнес, что оказалось сложнее, и следовательно интересней. Однако, не зря говорят, возможность украсть создает преступника.


0x01 Кому из ИТ-ишников жить хорошо или как все началось.

В нашем деле лучшая репутация — это её отсутствие. (с)

Жила была в 2008 году платежная система, не большая, но и не маленькая, и все у них было и админ знакомый с информационной безопасностью и программисты которые код может писали и не идеально, но зато быстро. И придумала администрация ПС, ввести автоматизированные рабочие места, с которых можно было бы проводить пополнения. Сказано сделано. АРМ написан и сдан. Правда администрация то ли по запарке то ли по наивности душевной забыла сменить пароли на тестовых аккаунтах. И тихо мирно у админа родился новый «бизнес», пополнение баланса чего угодно за полцены. Получилось так, что по случаю раздолбайства в ИТ-отделе начались увольнения, под них попал и админ. Уволившись особо не переживал, знакомым пополнял сотовые и интернеты. Можно было и не работать, и жить относительно свободно. Левая сим-карта и мобильный модем позволяли быть анонимным. Но такое долго продолжаться естественно не могло и в 2009 году в один прекрасный весенний день интерфейс прикрыли, то ли пароль сменили, то ли по диапозону IP порезали. А админ уже привык получать деньги с минимальным риском из воздуха. И задумался.

0x02 Знание — сила.

«Если мутишь, мути тихо. Если телефон не знаком лучше не поднимай трубку» (с)

Так как всю инфраструктуру платежной системы строил админ, он естественно знал и слабые места, и внутреннее устройство сети. Около двух недель понадобилось чтобы попасть внутрь. После попадания на шлюзе быстренько поднят был nc с пробросом на RemoteAdmin дежурного администратора. И как-то темным вечером в пол 12 ночи, сидя в трех кварталах от офиса платежной системы, в маленьком тесном помещении склонились над монитором трое. На экране запущен PgAdmin, чтобы не попасть под зоркое око логов инсерт SQL-запросы пишутся ручками, по памяти вспоминая поля таблицы, которая отвечает за проводку платежей. Нервы не к черту, несколько строк троица вбить успевает. После чего на экране начала дергаться мышь, видимо на той стороне заметили что на мониторе происходит что-то уж совсем не хорошее =). И вместо того чтобы вызвать отдел К, дежурный админ не придумал ничего лучше как закрыть RemoteAdmin, хотя по сути можно было поглядеть откуда висят «хакеры» и отследить. Соединение разорвано. Два раза в одну реку не входят. Лица за монитором нервно курят. Нервов добавляют еще и звонки с ПС на мобильные. Видимо в ПС решили что такое могли провернуть только бывшие сотрудники. В чем вообщем то были не далеки от истины.

0x03 Халява.

«Здесь как на рынке — ухватил пошел, и хорошо если рядом верный корешок» (с)

Минуло полтора месяца после той неудачной ночи. Однако идея урвать кусок, прочно сидела в голове у бывшего админа платежной системы, все это обсуждалось с некоторыми личностями которые могли бы что либо придумать. По давней традиции все это обсуждалось на кухнях под некоторым количеством алкоголя. И в один из таких вечеров удача дала себя поймать за синий хвост. Тогда на кухне сидели двое. Третий будучи настройщиком терминалов платежной системы был позван «попить пива», он явился после работы с пивом. И рабочим лэптопом. Долго ли коротко ли его лэптоп пошел в дело, то ли модемы мобильные на нем тестили то ли чего, история по этому поводу хранит гробовое молчание. Известно лишь что в один прекрасный момент когда отвлекшись на покурить он и хозяин квартиры (он же бывшый админ) вышли с тесной кухоньки, еще одна темная личность быстро нашарив папку с терминальным ПО, переместила его на флешку посредством копирования. Пиво допили, настройщик ушел. Вся следующая неделя была потрачена админом на то чтобы достать где либо CashCode, термо-принтер, и старенький комп куда это все можно воткнуть. После того как это все было найдено, собрано включено и подключено. Пара VDS в Бельгии с полностью отключенными логами для анонимности, оплата веб-манями с начальных аккаунтов, ну и VPN. Заказы со знакомых, после ночью проброс денег, эмулируя терминалы с разных районов города. На утро выдача PIN-кодов на руки для активации. Потом некоторые знакомые кто в «теме» начали собирать заказы и начали брать оптом. Получалось около 30-40 тысяч в месяц, но и этого начало казаться мало, тогда один из знакомых предложил свести его с владельцем обменника электронных денег. Первый же заказ составил сумму в 150 тысяч. Дальше больше. Вероятно это были самые неудачные дни для платежной системы, так как все делалось с левых мобильных модемов с левыми сим-картами и номерами которые использовались 1 раз после чего выкидывались. Попутно с этим был освоен бизнес по торговле левыми сим-картами. Продажные сотрудники и сотрудницы. практически всех сотовых операторов радостно вбивали левые паспортные данные за небольшие вознаграждения.

0x04 Кэш.

— Я много воровал, когда был маленьким. Но я никогда не крал одну конфетку, я крал всю коробку. А еще мне нравилось врываться в дома к людям и расхаживать по ним. Я находил это довольно комфортным — быть в чьем-то пустом доме. (с)

Казалось бы дело поставлено на поток чего же еще требуется? Но сознание админа захотело сыграть по крупному. Подготовка была соответствующей. Поддельные нотариально заверенные копии паспортов, для отсылки в WebMoney и Yandex Деньги. Выяснено время когда есть возможность прокидать максимальную сумму. Подключив все необходимые девайсы к компу, и воткнув в комп линию от известного провайдера, вооружившись 5000 купюрой он начал процесс. Сперва снова вломившись в базу данных платежной системы он отключил ограничение о ручном проводе платежей, для чего всего навсего надо было изменить одно булевое поле в таблицы настроек проведения платежей, после чего зажав «шторку» купюроприемника он начал закидывать на несколько счетов, деньги. Прокидав больше 1 млн рублей. Он все выключил и лег спать.
Мечта сбылась на счетах пускай и виртуальных лежало больше миллиона денег, а ведь это можно было провернуть не один раз.

0x05 Вместо эпилога.

Тебя посодют, а ты не воруй. (с)

Правда мечтам об итеративности данного процесса не суждено было сбыться. В то время когда на часах было около 6 утра, в квартиру вошли сотрудники отдела К. Оказалось что логи платежной системы сотрудники читали как роман на ночь вот уж 3 месяца подряд. И до этого не могли определить кто и откуда, совершает сии дерзкие набеги. На этот раз, что-то пошло не так. То ли сим-карта отказалась работать, то ли модем. И пошел наш герой через свои бельгийские VPN-туннели прямо с линии домашнего провайдера. Глупо? Вероятно да. Засветив свой реальный IP около 2 ночи, через час отдел К знал адрес по которому выезжать. Дальше арест. СИЗО. 9-долгих месяцев ожидания судебного решения. После чего 4.5 года условно. Правда остается один смутный вопрос — а что если бы снова был использован «условно анонимный» канал связи? Взяли бы на обналичке? или же проброс через какой либо РБК-Мани сделал свое дело? :)

PS: Ответы на вопросы которые вероятно появятся после прочтения или во время оного:

Все описанные события реальны и происходили в 2009 году.

Ну и говорю сразу, я — автор поста, не герой сего романа, просто имел возможность видеть все это воочию, и знать некоторые подробности достаточно хорошо. Поэтому подумал что возможно хабраобществу это будет интересно.
Читать дальше
Twitter
Одноклассники
Мой Мир

материал с habrahabr.ru

10

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • dag_xottab
          • домен habrahabr.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции