Март 2008 года. После многочисленных проигрышей в букмекерских конторах, скитаний по просторам интернета, в поисках способа заработка в сети, случайно натыкаюсь на неизвестный мне в то время термин – Кардинг. Относительно новый способ заработка, набиравший в то время особенную популярность. Множество непонятных терминов, не имея даже элементарного представления о том, как это все работает, я приступил к изучению этой “науки”. В то время существовало множество форумов этой тематики, одними из самых известных были такие как cardingworld.cc, carder.su, verified. Времена ''планеты'' (carderplanet), shadowcrew, я, к моему большому сожалению, не застал. В последствии какие-то закрывались, люди перебегали с одной площадки на другую, владельцев арестовывали, кто-то уходил из этого бизнеса. Жизнь постоянно кипела в кардерских сообществах. Я жадно штудировал статьи на форумах, пробовал себя в разных сферах деятельности. И вот спустя какое-то время, после очередного вбива (сленг, оплата ворованной кредитной картой) в какой-то интернет-магазин, на мой email пришло письмо с заголовком shipped (англ., отправлено). Моей радости не было предела, и вот спустя несколько дней, дроповод (человек отвечающий за контроль подставных людей – дропов, которые получают на свои домашние адреса посылки с товарами из интернет-магазинов, оплаченные по украденным картам) перечислил на мой интернет-кошелек webmoney $250, по тем временам 7000 рублей. Я просто влюбился в этот прекрасный звук звона монетки, который звучит после поступления денег на твой счёт, в компьютерной программе Webmoney Keeper. Вот именно с этого все и начиналось.
Привлекал меня вещевой кардинг, суть его заключалась в том, что по украденным данным кредитной карты делается заказ в интернет магазине, преимущественно электроники (компьютеры и комплектующие, сотовые телефоны, фотокамеры и т. д.), т.к. это является самым ликвидным и ходовым стафом (сленг, от англ., stuff – вещи) у скупщиков, и за это выплачивают больший процент дроповоды. Менее популярными являются такие товары как: ювелирные украшения, одежда, автозапчасти, и соответственно за них можно получить более скромную денежную компенсацию. Сам процесс происходит в следующем порядке:
1) На форумах находятся продавцы данных кредитных карт, у них покупается так называемый картон (сленг, кардерский термин, обозначающий кредитную карту) той страны, штата, города, где у нас находится поставной человек – дроп.
2) Через сервис на форумах подбирается proxy server или socks, чтобы система интернет-магазина идентифицировала наше местоположение как настоящего картхолдера (владельца кредитной карты).
3) Для скрытия следов своего нахождения в сети, кардеры пользуются VPN серверами (виртуальная частная сеть), чтобы максимально обезопасить себя. В настоящее время, многие сервисы предлагают шифрование вашего трафика через 2–4, а то и больше серверов, находящихся в разных странах. Связка VPN сервер + socks, позволяет свести шансы быть отслеженным по вашим перемещениям в интернете к нулю.
4) Настраивается компьютер, обычно устанавливается варя (сленг, программа VMware), программное обеспечение для одновременного использования нескольких операционных систем на одном компьютере. ОС требуется англоязычная, настраиваются часовые пояса под штат и город владельца карты. Короче говоря, создаём максимальную видимость того, что за компьютером находится настоящий владелец, делающий заказ в интернет-магазине из своего дома, а не мошенник.
5) Немаловажную роль играет время заказа. Нужно обязательно учитывать часовые пояса. К примеру, между США и Россией, как минимум 8 часов различие во времени, и в интернет-магазине будут очень удивлены, почему заказ был размещен поздней ночью, если мы работаем по дневному российскому времени, и поставят нас на ''hold'' (англ., удержание), а нам ведь лишние проверки и задержки ни к чему, правда?
6) Далее, собственно, идет сам вбив в интернет-магазин. Заполняются поля billing address (англ., адрес владельца карты, на который приходят выписки по его счетам) и shipping address (англ., адрес доставки) так указывается информация нашего дропа, куда должны доставить посылку. Express delivery (англ., срочная доставка) вопрос спорный, с одной стороны, в то время, когда будет обработка нашего заказа, погрузка, доставка, владелец карты может заподозрить пропажу денег на своем счете и отменить эту транзакцию. Раньше этот процесс занимал довольно длительное время. Владелец счета получал свой bank statement (англ., выписка по счету) чаще всего раз в месяц, в почтовый ящик, и мог узнать о мошенничестве с его картой только спустя некоторое время. Но сейчас, с появлением различных гаджетов и смартфонов, можно следить за состоянием своего счета 24 часа в сутки, и все это усложняет нашему брату жизнь. С другой стороны, иногда магазины не любят срочную доставку, т.к. им необходимо время для верификации и проверки заказа с целью предотвращения мошеннических действий.
Хотел бы рассказать одну хитрость, кредитные карты Discover и American Express, ''живут'' дольше чем Visa и Mastercard, и chargeback (англ., возврат украденных денег банком на счет владельца) занимает больше времени. Я даже помню бронировал гостиницы, по краденным кредиткам на 1–2 недели, и после выезда, в некоторых случаях, карта оставалась рабочей. Об этом речь пойдет немного позже.
Visa, MasterCard можно заставить работать более длительное время. В платежной системе Visa существует такой протокол как ''verified by visa'', дополнительный уровень безопасности для онлайн-кредитных и дебетовых карт, в кардерском сленге vbv код, а также ''MasterCard SecureCode'', mcsc код соответственно. Суть заключается в следующем: при оплате в интернет-магазине кредитной картой Visa или MasterCard, вас перенаправляют на страницу, где система запрашивает код для подтверждения платежа. Он регистрируется по усмотрению владельца карты, при совершении первой транзакции в интернете. Необходимые данные для этого DOB (англ., date of birth – дата рождения) и SSN (англ., Social Security number – номер социального страхования, которым владеет каждый гражданин США). Я описываю последовательность действий, которые подходят для США, так как практически большая часть моей деятельности в кардинге, была связана с этой страной. Немного я все-таки поработал по Европе и Англии, но, как мне кажется, сама суть всех действий, примерно одинаковая, как и в работе по Америке.
Многообразие различных сервисов, по пробиву dob и ssn, на кардерских форумах, окажет нам помощь в этом вопросе. В конечном итоге у нас имеется кредитная карта со всеми данными владельца, плюс секретный код. Даже после того, как мы оплатили покупку по ней, владелец счета узнает о пропаже денег и заявит об этом в банк, то там ему ответят, что транзакция была совершена с использованием защищенного протокола ''verified by visa'' или ''MasterCard SecureCode''. Visa и MasterCard заявляют о том, что любая транзакция, проведенная таким образом, не может быть отменена или опротестована, и получить возврат средств будет практически невозможно. Настоящий владелец кредитной карты будет рвать на себе волосы, когда узнает об этом, но, к сожалению, ничего уже не сможет предпринять. Большинство интернет-магазинов используют протоколы ''verified by visa'' и ''MasterCard SecureCode'', при оплате заказов, именно поэтому меня привлекали карты Discover и American Express, при использовании которых, и по сей день не требуется никаких кодов, для совершения транзакций в интернете.
Другая проблема, с которой приходилось сталкиваться нашему брату кардеру, это нежелание отправлять товар из магазинов на отличный от billing address. Это означает, что при оплате картой мы вводим платежный почтовый адрес, который указал владелец счета при его открытии, а выбрать для доставки другой, не представляется возможным. Проще говоря, наш американский товарищ Джон, получит посылку на свой домашний адрес, что делает выполненную нами работу абсолютно пустой тратой времени. Несмотря на это мне удавалось забирать посылки, высланные на billing address. Дело было в 2010 году, в Лос-Анджелесе, штат Калифорния. Посылки были разосланы на множество адресов, и я наведывался туда с визитом, и сославшись на чудовищную ошибку службы доставки, которая привезла посылку на неправильный адрес, с помощью моего fake id (англ., поддельное удостоверение личности), забирал их себе. Американцы по своей природе очень честные люди, и не могут себе позволить присвоить то, что было доставлено на чужое имя. Только в последствии выяснялось, что с их счета были украдены деньги, а заказ сделан на то имя и фамилию, которые значились в моем фальшивом удостоверении, но я уже был с посылкой в руках и далеко от их дома. Процессинговая система, обрабатывающая транзакцию по карте, пропускала платеж с подменой имени владельца, а billing address оставался без изменения.
Тот, кто не мог поступать таким образом, как я, действовал следующими способами: на форуме находился сервис, предоставляющий услуги прозвона (сленг, ребята занимались звонками в банки, магазины, платежные системы и другие места, где необходимо было урегулировать вопрос по поводу транзакции с кредитной карты, пройти процесс верификации, вообщем, решить какую-то проблему, связанную с нашим нелегким бизнесом). Эти сервисы предлагали свою помощь 24 часа в сутки, 7 дней в неделю. Любой человек мог связаться с службой поддержки или оставить свою заявку через их web панель. Звонки осуществлялись мужскими и женскими голосами, на различных языках.
В нашем случае, в заявке указывалась необходимость смены billing address кредитной карты на адрес нашего подставного человека, который будет принимать посылку. Предоставлялись все данные владельца счета, телефон банка и т.д. Процесс занимал 10 минут, в некоторых случаях, после их звонка, адрес меняли в течении нескольких дней.
Другим способом являлась самостоятельная смена адреса через систему online banking (англ., доступ к банковскому счету, посредством интернета). Через сервисы на тех же форумах пробивались DOB, SSN, MMN (англ., Mother's Maiden Name – девичья фамилия матери, её требовали банки, как секретный вопрос для доступа к счету), и далее через web сайт банка регистрировался доступ к нашему счету. После, уже находясь в самом аккаунте, осуществлялась смена адреса. Также менялся телефон и email владельца, чтобы обезопасить нас от sms уведомлений, которые рассылает банк для повышенной безопасности. Если же доступ к счету уже был зарегистрирован настоящим владельцем, то billing address менялся только прозвоном. Этот способ был актуален очень давно, впоследствии множество банков начали регистрировать online доступ непосредственно при открытии счета, а также только при личном присутствии владельца. Задача была усложнена тем, что было много секретных вопросов, верификаций и т.д. В Германии, например, использовали специальную карту с одноразовыми кодами, которые пользователь должен был вводить 1 раз, при доступе к счету через интернет. Выдавали ее только в отделении банка, и на каждый код был нанесен защитный слой краски.
Другим препятствием стало введение интернет-магазинов запроса на отправку копий обеих сторон кредитной карты, а также driver license (англ., водительское удостоверение) или ID, а также выписку со счета, с которого была проведена оплата заказа. Все эти проверки были введены для предотвращения мошенничества с интернет-магазинами, но и это нас не останавливало. Были открыты сервисы, на тех же самых форумах, по сознанию сканов (в кардерском сленге это слово употребляют для всех типов документов, которые нужно изготовить для верификации и подтверждении транзакций). Разнообразие шаблонов копий кредитных карт огромного количества банков поражало воображение. Копии водительских прав любой страны, штата. Выписки с банковского счета под любые данные, максимально приближенные к оригиналу. Даже на фотокопии можно было увидеть следы потертости и помятости бумаги. Качество было просто поразительное, выглядело абсолютно правдоподобно. Услугами этих людей пользовались не только те, кто занимался вещевым кардингом, но и кто был задействован в сфере покера (по ворованным кредитным картам пополнялись игровые счета в интернет-покере, деньги с аккаунтов ''сливались'', т.е. проигрывались человеку, который находился одновременно за виртуальным столом, затем благополучно выводились с игрового счета на банковский аккаунт или другим способом обналичивались). Именно этим и занимался один русский товарищ из Майами, арестованный ФБР в начале 2012 года.
Последняя, финальная стадия, в вещевом кардинге, была связана с получением нашим подставным человеком посылки. Эти люди находились несколькими способами:
Разводные дропы – подставные люди, введенные в заблуждение, найденные посредством постинга (сленг, размещения предложений о вакансии, на сайтах по поиску работы) или рассылки по email. У дроповода (человека, который осуществлял контроль за ними) была легенда, в которой чаще всего была какая-то якобы зарегистрированная компания, плюс web сайт, сотрудник которой отвечал на телефонные звонки и электронную почту, с вопросами от дропов. Она занималась посредничеством или перепродажей товаров с интернет-магазинов или аукционов США в страны СНГ и России. Все было грамотно и красиво оформлено, американцам только требовалось получать посылки на свои домашние адреса, и пересылать их по указанию непосредственного начальника – дроповода в страны бывшего Советского Союза. За каждую отправленную коробку он выплачивал денежное вознаграждение, обычно не очень большое по $20–40. Но подставные люди были заинтересованы в долгосрочной работе, тогда они могли зарабатывать уже порядка $500 в неделю и более, в зависимости от того, какой объем посылок успеют получить и переслать, до того, как с неожиданным визитом к ним нагрянут агенты ФБР.
Неразводные дропы – этот тип людей был в курсе всех махинаций, и знал, что полученные по почте коробки, были оплачены посредством ворованных кредитных карт. У них же запросы были побольше, и вести дела с ними приходилось за фиксированный процент от стоимости вещи, которая была в посылке. Обычно это было 30%, но когда речь шла о дорогостоящих фотокамерах фирм Canon, Nicon, ''яблочном стафе'' (Apple) и другого рода подобных вещей, то приходилось выплачивать им до 50–60%. Иногда работали 50/50, это означало, что при получении двух одинаковых товаров, к примеру 2 ноутбука, один отсылался тому, кто скардил (сленг, осуществлял весь процесс заказа в интернет-магазине), а другой оставался у человека, который непосредственно принимал посылку.
В основном заказы всегда делались на имя владельца карты, то есть на адрес приходила посылка с его именем, в США курьерские службы UPS, Fedex не спрашивают удостоверения личности при доставке курьером, а если человека нет дома, просто оставляли коробку у входной двери. Никому и в голову не приходило, подойти и ''приватизировать'' оставленную без присмотра посылку. Представьте себе, что бы было, если бы такое произошло в России, Украине, или другой стране СНГ? У меня даже в голове не укладывается подобное. Другое дело обстоит с USPS (United States Postal Service – государственная почтовая служба США). Если человек отсутствовал во время визита курьера, то на входной двери оставлялся приклеенный стикер, с которым нужно было ехать в ближайшее отделение USPS, и с удостоверением личности забирать посылку. В таком случае требовалось указывать настоящее имя нашего подставного человека.
Всегда возникал вопрос, кто будет оплачивать стоимость пересылки коробки из США, допустим в Россию? Но и это не являлось проблемой. Как вы уже, наверное, догадались, на тех же самых форумах были люди, которые изготавливали карженные лейблы (сленг, предоплаченная услуга по пересылке, почтовых служб USPS, Fedex, UPS, DHL). Они оплачивали теми же самыми ворованными кредитными картами, стоимость транспортировки нашей посылки, и пересылали клиенту их сервиса лейблы, так называемые документы, которые приклеивались к лицевой части коробки. Подставной человек просто приносил в ближайшее отделение почты или офис курьерской службы упакованную коробку, с приклеенным на него оплаченным лейблом, и отдавал ее. На моем лице появилась улыбка, когда, находясь в почтовом отделении, я увидел американца с огромным количеством больших и тяжелых коробок, при вопросе – куда это все отправляется, он ответил: ''This is for my friend in Russia'', ''Это для моего друга в Россию''. Ну я-то уж знаю, что у него там за друг, не удержавшись я начал смеяться прямо там, стоя в очереди.
Самыми популярными лейблами по пересылке были USPS. Так как они проходили нашу российскую таможню с большими лимитами, без оплаты налоговой пошлины, быстро и без особых проблем. В то время как в UPS, FedEx, DHL было ограничение до $200, на содержимое посылки, и если они выясняли, что внутри находится больше, то уже можно было забыть про нее. Так как на взятку таможеннику придется потратить больше, чем останется с продажи товара, находившегося внутри.
Непродолжительное время я работал с немецкими и английскими магазинами. Принцип абсолютно тот же, что и с США, только везде есть свои нюансы. Тогда в 2008–2009 годы, английские магазины одежды отправляли свой товар напрямую в Россию, поэтому я успел урвать для себя разных шмоток, большую часть распродал. Помню еще я заказывал комплекты электронных сигарет, сумма заказа составляла $400–500. Продажи не приносили мне особо большой выгоды, но сам факт того, что американские магазины шлют товар напрямую в Россию, не мог меня не радовать, и я брал объемом, заказывая по 10 разных комплектов, в течении нескольких дней на разные адреса.
Была еще одна интересная вещь с английскими магазинами. В billing address я вставлял адрес доставки в России, и транзакции, к моему большому удивлению, всегда проходили. Ни одной отмены заказа не было, все отсылали в срок. Видимо эти магазины совсем не использовали систему AVS (Address Verification System – система проверки и сопоставления настоящего billing address, с введенными на сайте данными).
Все, в то время, было хорошо. Потихоньку работал, денежка хоть не очень большая, но стабильная, поступала на мой счет. Но в один прекрасный день мне захотелось большего, и я перешел к изучению раздела форума «Реальный кардинг». Вещевуху я не забывал, продолжая одновременно работу и по ней, но большую часть своего времени я старался посвятить абсолютно новому направлению, на которое у меня были большие надежды.