Skip to main content

Как провести залив на карточный счет или искусство жить в Одессе

«Одесса — удивительный город, там агент на агенте, и плетутся интриги спецслужб всего мира», — со знанием дела говорит основатель одного из российских подпольных форумов для web-мастеров и дроповодов. Спецслужбам есть на кого там охотиться. Одесса считается неформальной столицей украинских кардеров, и именно сюда последние годы приводят электронные следы громких международных атак на банковские сайты, заливов на карты и счета, DDoS-атак на сайты российских госучреждений и компаний.

несколько российских on-line банковских дельцов после облав в России нашли здесь убежище

«Ливщики денег на счета и карты с самого начала своего существования тяготели к Одессе, — говорит Константин Корсун, 43-летний полковник, экс-офицер подразделения по борьбе с хакерами Службы безопасности Украины (СБУ).  - Могу лишь предположить, что это как-то связано с высокой степенью коррумпированности местных правоохранительных органов и их тесными связями с «традиционным» криминалитетом. А может, им [заливщикам на карты и счета] там просто климат нравится, море, достаточно большой город, в котором легко затеряться». Давайте по внимательнее посмотрим, кто из реальных заливщиков и почему скрываются в Одессе.

ливщиков денег на карты из Carberp выловили далеко не всех ...

«Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: «На пол!», «Включите свет!» Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны», — вспоминает криминалист Group-IB Артем Артемов операцию по задержанию в Москве одного из лидеров обнальной группы Carberp. От ее действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го ливщики денег перевели на банковские счета и карты и обналичили минимум 130 млн рублей.

как работает обнальная группа
Чуть позже появилось и видео захвата: спустившись с крыши на веревках, бойцы спецназа МВД России «Рысь» выломали раму и ввалились в окно 15-го этажа. Это произошло 4 марта 2012 года, а в мае того же года участник форума Antichat под ником GizmoSB написал встревоженный пост: «Какими средствами возможно вызвать бан ролика на ютуб? Может, жестко накрутить просмотры или DDoS определенного ролика даст результат?»
Под ником GizmoSB скрывался член той самой обнальной группы Carberp заливщиков на карты и счета — 25-летний Роман, который, как считает следствие, отвечал за создание и функционирование бот-сети (Botnet)— парка компьютеров, с загруженной троянской программой. Всю техническую работу за GizmoSB выполняли другие люди — вирусописатели,  программисты, но именно GizmoSB давал заливщикам на карты и счета реквизиты компаний — они проверяли баланс клиентов банков, выжидая момент, когда лучше увести деньги. Руководителями группы заливщиков и группы обнала в Carberp были братья Александр и Николай Покорские.

их отец имел отношение к ГРУ Генштаба РФ

Про самого GizmoSB известно немного. Он родился в Абхазии. Пока учился в одном из московских университетов, искал способы заработать, например, открыть ферму по разведению осетров. Но деньги принесла не рыба, а форумы реальных заливщиков на карты и счета. Роман начинал с DDoS-атак, которые приносили небольшой доход, в среднем около $100 в день. «С моими познаниями даже на мороженное не заработаешь)) мне просто нужен хороший поток трафика… очень большое количество трафика … 50-100 к в день», — писал GizmoSB в сентябре 2008 года.

В тот год и была создана обнальная группа Carberp, состоявшая минимум из 8 человек, которые за четыре года совершили тысячи заливов на карты и счета с последующим обналом по всей России. Для комфортной работы «заливщиков на карты» руководители группы открыли офис, замаскированный под сервис по восстановлению данных. 

В марте 2012 года начались аресты — были задержаны восемь членов Carberp, в том числе и GizmoSB, но позже его отпустили под подписку о невыезде. Заливщик на карты не стал дожидаться суда и уехал на родину в Абхазию. Через 5 месяцев он сделал поддельные документы на имя гражданина Литвы и вылетел в Кипр на встречу с беременной женой. В то время он уже был объявлен в федеральный, а затем и в международный розыск. Сейчас GizmoSB находится на территории Украины и занимается поисковой оптимизацией. Не так прибыльно, но зато спокойно.

Кавказский пленник

Деревянная бита, билет на поезд Москва — Киев, два российских паспорта на имя чеченцев из Урус-Мартановского и Шалинского районов, мобильный телефон, сим-карты, пара наушников, принтер HP, ноутбук и коммуникатор HTC. Все это вещественные доказательства по уголовному делу №1522/18915/12. В тексте приговора Приморского районного суда Одессы, нет ни фамилий, ни адресов. Только короткая фабула — неназванный компьютерщик из Москвы провел четверо суток в «чеченском плену».  Из Одессы его под охраной перевезли в Херсон, потом — в Симферополь и вернули назад в Одессу.

От пленника требовалось развернуть бот-сеть (Botnet) для организации заливов на карты и счета денег в онлайн-банкинге, иначе похитители — суровые мужчины с Северного Кавказа — грозили переломать ему ноги битой.

Чеченцы знали, кто поможет им заработать в обнале. В России Алексей «Pioneer» руководил заливщиками на карты одного из подразделений обнальной группировки Carber. После того как в марте 2012 года ФСБ, МВД и детективы киберагентства Group-IB разгромили Carberp, Pioneer через Белоруссию сбежал на Украину и обосновался в Одессе.

«В Москве GizmoSB и Pioneer вряд ли были знакомы, но их знали братья Покорские», — говорит источник, близкий к следствию. По его словам, Pioneer руководил заливами на карты и счета во второй ветке группировки Carberp. Алексею повезло: в день, когда происходили массовые задержания, его не оказалось дома. В Одессе, куда он бежал, его как заливщика на карты вычислили чеченцы. Пленнику горцев удалось сделать звонок — и местные милиционеры его быстро нашли и освободили. Дело завершилось полюбовно: на суд Pioneer не ходил, претензий не выдвигал, чеченцам дали два года с отсрочкой исполнения приговора на три года и выпустили в зале суда. Pioneer по-прежнему находится на Украине.

«Всегда удобно прятаться за трансграничностью — сливать деньги на карты в одном месте, а прятаться в другом. У местных правоохранительных органов нет к тебе претензий, и они дают тебе дышать, — считает Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. — Заливы на карты с территории суверенной Украины продолжаются. Последний тренд — взлом банковских систем. Ломают уже не клиентов банков, а уже из самих банков пытаются вывести крупные суммы. Так, недавно эксперт по безопасности компании Cisco Systems Алексей Лукацкий обнаружил крупную бот-сеть внутри ПриватБанка».

с Дерибасовской выдачи нет

«Столицей заливов на карты и счета Одессу принято считать лишь потому, что здесь живу и работаю я», — заявил недавно глава интернет-партии Украины Дмитрий Голубов. В начале нулевых Голубова обвиняли во взломе американских банковских систем и хищении $11 млн, а зарубежная пресса наделила его титулом «крестного отца» восточноевропейской обнальной мафии. «Я оправдан всеми судами, которые не нашли в моих деяниях состава преступления», — комментирует Голубов.
Кроме Голубова в Одессе есть еще несколько известных персонажей, замечает Дмитрий Волков, глава службы расследований детективного кибер-агентства Group-IB. Например, Legal-D — владелец одного из наиболее популярных сервисов по проведению DDOS-атак. На его сайте (который сейчас заблокирован) были указаны расценки: сутки от $50, месяц — от $1000. «Legal-D причастен ко многим политическим атакам, — говорит Волков. — Еще во время майдана он атаковал местные правительственные и новостные сайты. В последнее время Legal-D атаковал сайты politikym.net,ura-inform.com, progorod.info, crime.in.ua.
Среди других местных интересных персонажей — Абдулла,  владелец одного из самых дорогих и надежных хостингов, которыми пользуются хакеры, кардеры, спамеры, создатели порно-ресурсов.

Когда-то он был участником нашумевшей группы заливщиков на карты RBN (Russian Business Network), но сейчас у него свой дата-центр, востребованный многими опасными заливщиками на карты и счета. Благодарные клиенты даже сочинили про Абдуллу песню: «Хостятся те, кто не любит класть бабки в банки. Те, кто знает, на что способен пластик с магнитной лентой.... Сервак не встанет и клиентам не о чем жалеть, ведь он пуленепробиваемый, как бронежилет».

«Абдулла давно пропал из Одессы, его видели в Иловайске, воющего в рядах одного из дагестанских ОПГ», — уверяет Голубов, и по тону его письма не понятно, говорит он серьезно или шутит, но в оценках он категоричен: «Обнальное подполье в Одессе представлено тремя несовершеннолетними поцами, которых регулярно арестовывают за попытку взлома сайтов школ».

проделки амеров

Во время одного из последних визитов в одесскую квартиру родителей Михаил Рытиков забрал все свои фотографии во взрослом возрасте. Вычистил и страницы в соцсети. А спустя несколько месяцев исчез. Рытикова объявил в розыск Интерпол. Его и несколько российских заливщиков на карты власти США обвиняли в краже данных 160 млн кредитных карт клиентов американских банков, магазинов, финансовых учреждений и даже биржы Nasdaq. «Мама, если случится что-то плохое, то я в этом не виноват — это все проделки американцев», — вспоминала в одном из интервью слова сына Людмила Рытикова.

В марте 2014 года американские сенаторы Марк Кирк и Марк Ворнер опубликовали заявление относительно заливов на карты банков и обнал в Украине. «Эксперты в области банковского сектора говорят, что ... украинский город Одесса имеет репутацию крупнейшего в мире интернет-рынка украденных кредитных карт», — говорится в заявлении. Сенаторы считают, что американские власти должны усилить совместную работу с украинской стороной, отправить на Украину агентов ФБР для помощи Службе Беспеки Украины в поимке ливщиков денег на карты и счета, а также усовершенствовать процедуру выдачи подозреваемых в США.

«Времена меняются, и Украина сейчас не самое спокойное место для заливов и обнала, которые работают по США или Европе, — считает экс-сотрудник Центра информационной безопасности ФСБ. — Украина дружит с США, и им будет за счастье выдать гражданина России, попавшегося на заливе денег на карты и счета. Другое дело, если эти заливщики на карты работают исключительно против России».

В Одессе борьбу с заливами на карты ведет Управление борьбы с киберпреступностью ГУМВД Украины в Одесской области, которое возглавляет Юрий Выходец. «Одесса — большой город, поэтому не удивительно, что у нас есть люди, умеющие лить на карты и счета. Правда, говорить, что наш город — это столица, будет все же преувеличением. Это справедливо только в масштабах Украины, но никак не мира», — говорил в интервью украинскому ресурсу «Вести» Выходец, странно, но при попытке зайти на сайт Управления по борьбе с киберпреступностью Google выдает предупреждение о том, что сайт небезопасен — на нем происходит загрузка вредоносного ПО.

После присоединения Крыма и войны на юго-востоке Украины сотрудничество российских и украинских силовиков оказалось заморожено. На фоне этого украинские заливщики на карты и счета стали еще активнее атаковать российские госсайты и взламывать банковские счета, а специалисты по IT-безопасности — записываться в ополчение для защиты своего киберпространства. 

Comments

Popular posts from this blog

Сбербанк и дропы с площадки Dark Money, и кто кого?

Крупных открытых площадок в даркнете, специализирующихся именно на покупке-продаже российских банковских данных, обнале и скаме около десятка, самая большая из них – это Dark Money . Здесь есть нальщики, дропы, заливщики, связанный с ними бизнес, здесь льют и налят миллионы, здесь очень много денег, но тебе не стоит пока во все это суваться. Кинуть тут может любой, тут кидали и на десятки миллионов и на десятки рублей. Кидали новички и кидали проверенные люди, закономерности нету. Горячие темы – продажи данных, банковских карт, поиск сотрудников в скам и вербовка сотрудников банков и сотовых операторов, взлом аккаунтов, обнал и советы – какими платежными системы пользоваться, как не попасться милиции при обнале, сколько платить Правому Сектору или патрулю, если попались. Одна из тем – онлайн-интервью с неким сотрудником Сбербанка, который время от времени отвечает на вопросы пользователей площадки об уязвимостях системы банка и дает советы, как улучшить обнальные схемы. Чтобы пользова

Перехват BGP-сессии опустошил кошельки легальных пользователей MyEtherWallet.com

Нарушитель ( реальный заливщик btc и eth ) используя протокол BGP успешно перенаправил трафик DNS-сервиса Amazon Route 53 на свой сервер в России и на несколько часов подменял настоящий сайт MyEtherWallet.com с реализацией web-кошелька криптовалюты Ethereum . На подготовленном нарушителем клоне сайта MyEtherWallet была организована фишинг-атака, которая позволила за два часа угнать 215 ETH (около 137 тысяч долларов) на кошельки дропов. Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet AS10297 в Колумбусе штат Огайо. После перехвата BGP-сессии и BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level3 , Hurricane Electric , Cogent и NTT , стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный нарушителю сервер, размещённый в датацентре п

DDOS атаки на маршрутизатор и методы защиты Juniper routing engine

По долгу службы мне часто приходится сталкиваться с DDOS на сервера, но некоторое время назад столкнулся с другой атакой, к которой был не готов. Атака производилась на маршрутизатор  Juniper MX80 поддерживающий BGP сессии и выполняющий анонс сетей дата-центра. Целью атакующих был веб-ресурс расположенный на одном из наших серверов, но в результате атаки, без связи с внешним миром остался весь дата-центр. Подробности атаки, а также тесты и методы борьбы с такими атаками под катом.  История атаки Исторически сложилось, что на маршрутизаторе блокируется весь UDP трафик летящий в нашу сеть. Первая волна атаки (в 17:22) была как раз UDP трафиком, график unicast пакетов с аплинка маршрутизатора: и график unicast пакетов с порта свича подключенного к роутеру: демонстрируют, что весь трафик осел на фильтре маршрутизатора. Поток unicast пакетов на аплинке маршрутизатора увеличился на 400 тысяч и атака только UDP пакетами продолжалась до 17:33. Далее атакующие изменили стратегию и добавили к

Сброс BGP-сессии при помощи TCP Connection Reset Remote Exploit

Уже ни раз рассказывал о протоколе ТСР , так что повторятся особо не буду, напомню лишь основные положения: Transmission Control Protocol описывается в RFC 793 и преимуществом его является надежность передачи данных от одной машины к другому устройству по сети интернет. Это означает, что ТСР гарантирует надежность передачи данных и автоматически определит пропущенные или поврежденные пакеты. Что для нас важно из его конструкции? В общем виде заголовок ТСР пакета выглядит так: Программа передает по сети некий буфер данных, ТСР разбивает данные на сегменты и дальше упаковывает сегменты в наборы данных. Из наборов данных формируются пакеты и уже они передаются по сети. У получателя происходит обратный процесс: из пакетов извлекаются набор данных, его сегменты, затем сегменты передаются в ТСР стек и там проверяются, потом собираются и передаются программе. Sequence numbers Данные разбиваются на сегменты, которые отдельными пакетами направляются по сети получателю. Возможна ситуация, к

Как найти реального заливщика

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево , но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли? Ко мне начал обращаться народ обращается разных категорий 1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса  2. Реальные мэны, которые  льют сразу большую сумму по SWIFT  без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личност

Обзор внутренней инфраструктуры безопасности Google

Обычно компании предпочитают хранить в тайне особенности своей инфраструктуры безопасности, которая стоит на защите дата-центров, полагая, что раскрытие подобной информации может дать атакующим преимущество. Однако представители Google смотрят на этот вопрос иначе. На то есть две причины. Во-первых, публикация таких отчетов позволяет потенциальным пользователям Google Cloud Platform (GCP) оценить безопасность служб компании. Во-вторых, специалисты Google уверены в своих системах безопасности. На днях компания обнародовала документ Infrastructure Security Design Overview («Обзор модели инфраструктуры безопасности»), в котором Google достаточно подробно описала свои защитные механизмы. Инфраструктура разделена на шесть слоев, начиная от аппаратных решений (в том числе физических средств защиты), и заканчивая развертыванием служб и идентификацией пользователей. Первый слой защиты – это физические системы безопасности, которые просто не позволяют посторонним попасть в дата-центры. Эта част