Как мы взломали 18 работающих кардерских магазинов и не взяли ни цента

В наше время развелось огромное множество «именитых» специалистов в области информационной безопасности, люди, считающие, что знаний по настройке FireWall уже достаточно, чтобы причислить себя к «хакерам» или спецам в области ИБ. Лично я всегда считал, что у меня недостаточно знаний в этой сфере даже для того, чтобы написать нормальную статью, но недавний успех этой истории на всеукраинская олимпиаде и форуме по кибербезопасности «HackIT-2015» и огромное количество отзывов побудили меня написать эту статью.

Для тех, кому интересно, как мы с ребятами из ProtectMaster вскрывали кардерские шопы Just For Fun добро пожаловать под кат.

Всё началось с того что мы с @rewiaca и @combonik готовились организовывать вышеупомянутую коференцию и в поисках денег на это мероприятие … Нет, не то что вы подумали… мы не решили ограбить пару владельцев кредитных карт. Мы решили собрать денег у инвесторов и IT компаний города Харькова, мы подготовили классный спонсорский пакет, запилили сайт и пошли по городу в поисках денег. Нам нужна была фишка, нужна была горячая тема, реальная угроза, которая касалась бы каждого и при этом была простой и понятной, тем более, что в Украине собрались вводить киберполицию, о направлениях деятельности, которой никто ничего не знал. Мы решились рассказать про кардинг, во-первых, это самые популярные и очевидные киберпреступления, во-вторых, мы думали, что основными инвесторами мероприятия станут банки, которые как никто должны быть заинтересованы в борьбе с кардерами. В-третьих, ребята из ProtectMaster, с которыми я давно работаю, как организаторы не могли быть просто теоретиками, мы должны были показать, что мы тоже что-то умеем.

Мы начали наши поиски по популярным в андеграунде форумам, по очевидным запросам «купить кредитных карт», «buy cc», «сс market» и так далее вплоть до «отмыв грязи». Вникнув в тематику, мы поняли главную вещь, что для того, чтобы воровать деньги с кредиток вовсе не обязательно уметь что-то взламывать. Мы постарались вклиниться в схему как «вбивалы»

Схема кардинга

Схема кардинга

Вникнув в суть того, как устроен мир кардинга мы поняли, что самым «центровым» местом, где можно найти сразу всех или почти всех, есть ресурсы для кардеров, а именно закрытые форумы и магазины. Но если на форумах висело много людей, которые «просто ознакамливались» с тематикой, то вот в магазинах были уже только настоящие злодеи. Мы твердо решили собрать список работающих интернет магазинов и найти самые крупные. Составили для себя небольшой список:

privateshop.su,  freshbase.ru,  brocvv.ru,  track2shop.cc,  nonvbv.ru,  usacvv.ru,  btcard.su,  validdumps.cc,  ug-cvv.com,  valid-shop.ru,  n1shop.cc,  lampeduza.cc,  silverlightmarket.ru,  piratescc.ru,  pawn-shop.su,  octavian.cc,  validshop.cc,  zukkoshop.cc.

И так мы зарегистрировались в одном из них:

Внутри кардерского магазина

Внутри кардерского магазина

Как видим, с нас просят всего 15 долларов, чтоб стать активным пользователем. Но мы жадные и не платили, вместо этого… Мы постучали болгаркой в двери , ой то есть «открыли» PHPmyAdmin (на скрине локальная копия)

phpmyadmin-carding-shop

 

 

[email protected], [email protected] – наш супер кардер использует египетский VPN 41.35.14.209, но, как по мне, он явно из России… Всех юзеров сольем. С почтовиками, позже отдадим куда надо, заботливый админ даже логировал входы, записывал IP своих клиентов, это правильно так же удобнее…..

Забыл сказать, мы же зареганы как admin2 (без палева). Давайте просто сделаем себя не юзером, а админом (вообще-то я это я уже намудрил и в user_groupid у нас теперь 1, вместо 3 ) мы админы, глянем что да как. Погуляв под admin2, мы с удивлением обнаружили, что админом то мы не являемся (не понятная логика работы скрипта). Тогда мы решили зайти под admin…

Админ панель кардерского магазина

Админ панель кардерского магазина

Вот тут уже было чуть-чуть приятнее… Даже тикеты и приватные сообщения посмотреть можно.

Личные сообщения админа сайта

Личные сообщения админа сайта

Начитавши вдоволь душевно лирических историй, мы перешли к главному вопросу: где же карты.

И тут мы обнаружили что данные в таблице «cards» зашифрованы, причем явно не base64.

Зашифрованная таблица с кредитными картами

Зашифрованная таблица с кредитными картами

Выход один, нужно смотреть в скрипты , сказано и тут же сделано, спокойненько выкачиваем весь сайтец к себе. И начинаем искать у себя, чтобы не сильно напрягать покупателей магазина…

Дамп магазина кардеров

Дамп магазина кардеров

Поиск по слову ENCRYPT, сразу дает результаты.

Поиск ключа шифрования

Поиск ключа шифрования

И тут мы вникли в схему добавления новых карт, как нам показалась она выглядела как то так:

Механизм добавления ворованных кредитных карт

Механизм добавления ворованных кредитных карт

Но как видно выше, волшебный ключик есть в коде и мы его нашли.

ключ шифрования базы данных

ключ шифрования базы данных

Дальше то дело не сложное. SELECT * , CAST( AES_DECRYPT( card_fullinfo,  ‘f4’ ) AS CHAR( 50 ) )

card_fullinfo_decrypt FROM  `cards` LIMIT 0 , 30

Расшифрованные кредитные карты

Расшифрованные кредитные карты

И вот он золотой эльдорадо, можно идти покупать себе мерседес! (Часть данных для приличия я замазал, а то мало ли кто пойдет покупать).

Тут казалось бы, можно заканчивать вот такой не мало известной картинкой:

Раскидываться деньгами

Раскидываться деньгами

Однако не тут то было =) Всем же интересна статистика?

5898 – пользователей зарегистрировано только в этом магазине. (Таблицу пользователей я выставлю отдельно, народ должен знать своих героев).

71 пользователь с положительным балансом, которые реально воруют в данный момент. (Эти переданы куда нужно).

53.029 Кредитных карт в БД данного магазина.

37.022 PayPal аккаунтов в БД данного магазина.

Если у каждого пользователя украсть хотя бы 100$, то получим 9.млн $

Если взять, что в среднем у пользователя воруют 500$, то получим 45.млн $

И так , мы отбекапили себе всё, что есть, и положили в сухое недоступное для детей место. Мы готовы передать эти данные (без ворованных кредиток и личных данных жертв) любому, кто захочет исследовать этот кейс дальше. Сотрудники правоохранительных органов, которые, я надеюсь, иногда читают статьи, могут связаться с нами по e-mail: [email protected], мы предоставим развернутые бекапы (опять-таки, без личных данных жертв).

Бэкапы 18 кардинг магазинов

Бэкапы 18 кардинг магазинов

Ну и на последок

Успешно получен контроль над 4 BTC кошельками хозяина, но он вовремя включил двухэтапную аутентификацию на blockchain. Зато мы можем мониторить его финансовое благополучие. Извиняюсь, если где-то написал не подробно или не совсем понятно, есть 2 проблемы:

  • Мало опыта написания статей.
  • Уголовный кодекс, который запрещает разглашать некоторую инфу.

Внимательный читатель обратит внимание, что в статье только про один магазин, а бекапов 18… Но это уже совсем другая история…

7 Comments Как мы взломали 18 работающих кардерских магазинов и не взяли ни цента

  1. любознательный

    как вы получили доступ к админке, можете рассказать?

    Reply
    1. CyberAlibi

      Нет, я не планирую этого делать. Не хочу давать остальным возможность получить доступ к ворованным кредитным картам.
      В любом другом случае я бы опубликовал всё детально, но не в этом случае. Дампы и данные выдаются только официальным органам (тем кто пишут с почтовиков *.gov) и то после проверки IP.

      Reply
  2. Вася

    Кто-то в курсе, за что убрали статью на хабре? Владельцы ресурса связаны с кардерами?

    Reply
    1. CyberAlibi

      Я ? Или владельцы хабра? Удалили думаю из соображений безопасности, большой резонанс, плохо показывать людям что их «защитники» ничего не делают, а преступники так близко.

      Reply
  3. vadik

    Интересно написано, было бы здорово узнать про остальные 17 магазинов ) Конечно если бы сдобрили техническими комментариями , было бы еще интереснее. Кстати а чего выпилили статью с хабра ?

    Reply
    1. CyberAlibi

      Не планирую на этом останавливаться. Дальше… больше…

      Reply

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *