Як ми зламали 18 працюючих кардерських магазинів і не взяли ні цента

В наш час розвелося безліч «іменитих» фахівців в області інформаційної безпеки, люди, які вважають що знань з налаштування FireWall вже достатньо, щоб зарахувати себе до «хакерам» або фахівцям в області ІБ. Особисто я завжди вважав, що в мене недостатньо знань у цій сфері навіть для того щоб написати нормальну статтю, але недавній успіх цієї історії на одному форумі з кібербезпеки і величезна кількість відгуків спонукали мене написати цю статтю на хабр.
Для тих кому цікаво як ми з хлопцями розкривали кардерські шопи Just For Fun ласкаво просимо під кат.
image


Все почалося з того що ми з друзями готувалися організовувати вищезгадану конференцію HackIT 2015 (сподіваюся не вважатимуть за рекламу) у пошуках грошей на цей захід… Ні, не те що ви подумали… ми не вирішили пограбувати пару власників кредитних карт. Ми вирішили зібрати грошей у інвесторів і IT компаній міста, ми підготували класний спонсорський пакет, запилили сайт і пішли по місту в пошуках грошей. Нам потрібна була фішка, потрібна була гаряча тема, реальна загроза яка стосувалася б кожного і при цьому була простою і зрозумілою, тим більше що в Україні зібралися вводити киберполицию, про напрямки діяльності, яку ніхто нічого не знав. Ми зважилися розповісти про кардинг, по-перше це найпопулярніші і очевидні кіберзлочини, по-друге ми думали що основними інвесторами заходу стануть банки, які як ніхто повинні бути зацікавлені в боротьбі з кардерами. По-третє, хлопці з якими я давно працюю, як організатори не могли бути просто теоретиками, ми повинні були показати, що ми теж щось вміємо.

Ми почали наші пошуки по популярним в андеграунді форумів, у очевидним запитами «купити кредитних карток», «buy cc», «сс market» і так далі аж до «відмивання бруду». Вникнувши в тематику ми зрозуміли головну річ, що для того, щоб красти гроші з кредиток зовсім не обов'язково вміти щось ламати. Ми постаралися вклинитися в схему як «вбивалы».

Вникнувши в суть того, як влаштований світ кардинга ми зрозуміли, що самим «центровим» місцем, де можна знайти відразу всіх або майже всіх є ресурси для кардерів, а саме закриті форуми і магазини. Але якщо на форумах висіло багато людей які «просто ознайомлювався з тематикою, то ось в магазинах були вже тільки справжні лиходії. Ми твердо вирішили зібрати список працюючих інтернет магазинів і знайти найбільш великі. Склали для себе невеликий список:

priv**eshop[dot]su, fres**ase[dot]ua, bro**v[dot]ua, trac**shop[dot]cc, no**bv[dot]ua, us**vv[dot]ua, bt**rd[dot]su, valid**mps[dot]cc, ug**vv[dot]com, vali***hop[dot]ua, n1s**p[dot]cc, lam**duza[dot]cc, silver****market[dot]ua, pirat**cc[dot]ua, pa**-shop[dot]su, octa**an[dot]cc, va****hop[dot]cc, zu***shop[dot]cc

Вибачаюся за велику кількість зірочок, але не дуже хочеться щоб діти зараз же пішли скуповувати кредитні карти.І так ми зареєструвалися в одному з них:

image

Як бачимо з нас просять всього 15 доларів щоб стати активним користувачем. Але ми жадібні й не платили, замість цього ми постукали болгаркою в двері, тобто «відкрили» PHPmyAdmin (на скріні локальна копія).

image

[email protected], [email protected] – наш супер кардер використовує єгипетський VPN 41.35.14.209 але як на мене він явно з Росії… Всіх юзерів зіллємо. З поштовиками, пізніше віддамо куди треба (вже давно віддали), турботливий адмін навіть логировал входи, записував IP своїх клієнтів, це правильно, так само зручніше!

Забув сказати, ми ж зарегались як admin2 (без особливої праці). Просто робимо себе не юзером а адміном (в user_groupid у нас тепер 1, замість 3) і ми адміни, дивимося що та як. Погулявши під admin2 ми з подивом виявили, що адміном то ми не є (не зрозуміла логіка роботи скрипта). Тоді ми вирішили зайти під admin.

image

Ось тут вже було трохи приємніше. Навіть тікети і приватні повідомлення подивитися можна.

image

Начитавши вдосталь душевно ліричних історій ми перейшли до головного питання: де ж карти.
І тут ми виявили що дані в таблиці «cards» зашифровані, причому явно не base64.

image

Вихід один, потрібно дивитися в скрипти, сказано і тут же зроблено, спокійненько викачуємо весь сайтец до себе. І починаємо шукати у себе, щоб не сильно напружувати покупців магазину.

image

Пошук по слову ENCRYPT, відразу дає результати.

image

І тут ми вникли в схему додавання нових карт, як нам здалася вона виглядала як то так:

image

Але як видно вище, чарівний ключик є в коді і ми його знайшли.

image

Далі справа не складне. SELECT *, CAST( AES_DECRYPT( card_fullinfo, 'f4' ) AS CHAR( 50 ) )
card_fullinfo_decrypt FROM `cards` LIMIT 0, 30

image

І ось він золотий ельдорадо, можна йти купувати собі мерседес! (Частина даних для пристойності я замазав, а то мало хто піде купувати).
Тут здавалося б можна закінчувати ось такою не мало відомою картинкою:

image

Однак не тут то було. Всім же цікава статистика?

  1. 5898 – користувачів зареєстровано тільки в цьому магазині. (Таблицю користувачів я виставлю окремо, народ повинен знати своїх героїв).
  2. 71 користувач з позитивним балансом які реально крадуть в даний момент. (Ці передані куди потрібно).
  3. 53.029 Кредитних карт в БД даного магазину.
  4. 37.022 PayPal записів у БД даного магазину.


Якщо у кожного користувача вкрасти хоча б 100$, то отримаємо 9.млн $ Якщо взяти що в середньому у користувача крадуть 500$, то отримаємо 45.млн $

І так, ми отбекапили собі все що є, почистили за собою сліди і поклали в сухе недоступне для дітей місце. Ми готові передати ці дані (без крадених кредиток і особистих даних жертв) будь хто захоче досліджувати цей кейс далі. Співробітники правоохоронних органів повідомлені, часу пройшло достатньо, ті співробітники, які не повідомлені я сподіваюся іноді читають статті, можуть зв'язатися з нами і ми надамо розгорнуті бекапи (знову-таки, без особистих даних жертв).

image

Ну і на останок. Успішно отримано контроль над 4 BTC гаманцями господаря, але він вчасно включив двоетапну перевірку на blockchain. За те ми можемо моніторити його фінансове благополуччя. Вибачаюсь якщо де то написав не докладно або не зовсім зрозуміло, є 2 проблеми:

  • Мало досвіду написання статей.
  • Кримінальний кодекс, який забороняє розголошувати деяку інфу.
Уважний читач зверне увагу, що в статті тільки про один магазин, а бекапів 18. Але це вже зовсім інша історія.Сподіваюся ця стаття не порушує ніяких правил хабра, намагався нікого не рекламувати і нічого секретного не розголошувати. Мій перший пост, критикуйте!

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.