На днях всплыло больше подробностей обнала € 34 000 000 через банкоматы Нью-Йорка
Как мне рассказал мой один хороший знакомый тимлидер, проверенные дроповоды на этот раз воспользовались платежными системами EnStage и ElectraCard для того, чтобы получить доступ к банковским счетам клиентов National Bank of Ras Al Khaimah (RAKBANK) и Oman’s Bank of Muscat.
Но как они смогли провести столь масштабный процессинг фиата на счета дропов?
Амеры сделали довольно сухое официальное заявление по этому поводу: "Организованная преступная группировка, используя сложные методы вторжения взломала системы мировых финансовых институтов, скопировав данные предоплаченных дебетовых карт, и установив неограниченные лимиты снятия наличных в банкоматах по этим картам."
Однако, мой друг почти на сто процентов уверен, что для реального процессинга фиата на карты неразводных дропов в этом случае использовалась уязвимость SQL Injection в целях проникновения в сети финансовых учреждений.
Банковские умельцы из сферы процессинга скорее всего получили важную финансовую информацию, скомпрометировав Web портал обслуживания клиентов при помощи инъекции SQL, используя при этом такие инструменты, как кейлоггеры, средства удаленного управления (RAT) и анализаторы Web приложений, такие как Havij, Metasploit или NeXpose, что позволило получить доступ к банковской базе данных, где хранились данные о TRACK2 и PIN кодах, записанных на магнитной полосе банковских карт реальных клиентов этих финансовых учреждений.
После этого проверенные дроповоды нанесли при помощи энкодера MSR 605 полученную информацию о магнитной полосе на подарочные карты и ключи от гостиничных номеров, и отправили пластик неразводным дропам обналичивать деньги в банкоматах на улицах Нью-Йорка.
