Цьому сприяла безграмотність в картковому щодо одного американського кардера. Як Олександр Флемінг відкрив пеніцилін, байдуже поставившись до своєї роботи по вирощуванню бактеріальної культури, просто не закривши чашку, в якій ця культура вирощувалася, через що в неї потрапили суперечки пеніциліну з навколишнього середовища (у всьому світі такого лаборанта відразу б звільнили, а ось Флемінг випадково зробив відкриття і отримав за це Нобелівську премію), так і цей американський кардер проігнорував всі мануали по кредитних картах, в яких пишеться про те, що в дампі існує CVV / CVC код, який обов'язково перевіряється Еміта ом при транзакції і який неможливо відтворити без секретного ключа, що зберігається в банку.
"Виловивши" за допомогою фішингу кілька номерів карт до термінів закінчення їх дії і пін-кодами, він вирішив з наявних у нього даних згенерувати робочий дамп і отримати гроші в банкоматі. І, на превеликий подив людей, які знаються на карткової безпеки, це йому вдалося. Як ми пам'ятаємо, після затримання у Великобританії місцевих кардерів, які фотографували карти і підглядають їх пін-коди, МПС ввели в свої правила обов'язкову перевірку всіма емітентами CVV / CVC коду по всіх транзакціях. Це було в 80-х роках минулого століття.
Запитайте у будь-якого банківського співробітника, що займається пластиковими картами, чи може бути так, що CVV / CVC при транзакції не буде перевірятися? Він вам відповість, що це неможливо, тому що такого не може бути. Однак, як виявилося, бути таке може. Не у всіх банках, а в деяких, але все ж.
Не знаю, чим була викликана така кричуща помилка в безпеки транзакцій - чи то неналежної налаштуванням програмного забезпечення в банку, чи то ще чимось, але факт залишається фактом: у ряді банків при проведенні банкоматних транзакцій CVV / CVC не перевірявся, що дозволяло зловмисникам , знаючи номер карти, термін закінчення термінів її дії і пін-коду, генерувати відсутню частину дампа і
переводити карту в банкоматах. Новина про те, що таке можливо, моментально поширилася в вузьких колах, а через деякий час стала відома всім кардерам.
Ті, хто знав, що CVV / CVC код для підроблених дампов насправді генерувався "від ліхтаря", терміново розробили для решти кардерського громадськості легенду, що "кращими математичними умами кардерського спільноти був розшифрований алгоритм генерації CVV / CVC, який використовується деякими банками", і більшість кардерів початок полювання за цими неіснуючими алгоритмами. Зроблено це було для того, щоб основна маса кардерів, які є більше "ремісниками", ніж "дослідниками", що не накинулися на курку, яка несе золоті яйця, і не "вбили тему" передчасно.
До слова, на американських кардерських форумах досі найпопулярніше питання: "У кого можна купити робочі" алгос "для генерації дампов?" Кардери стали спішно методом перебору перевіряти карти різних банків на предмет наявності цієї уразливості. Банків таких виявилося не дуже багато - всього пара десятків. За номерами цих карт з пін-кодом почалося справжнє полювання, і фішингові сайти росли як на дріжджах. Опинився серед цих банків і Райффайзенбанк.
Так уже склалося, що найбільш сильна "школа" в області "реального пластика" серед країн колишнього СРСР виявилася в Україні. Більшість сильних фахівців в галузі використання вразливостей карткових систем, що застосовуються в офлайні, живе в Україні або є вихідцями звідти. Тому не дивно, що, отримавши вихідні дані для генерації дампа з піном, народ кинувся знімати гроші в банкомати, розташовані поблизу від місця їх проживання. А оскільки велика частина цього народу жила в Україні, то саме українські банкомати внесли найбільш вагомий внесок в зміцнення добробуту кардерів.
Слід сказати, що карти європейських банків більш кращі для "російських" кардерів, ніж карти американських банків. Пов'язано це з більшою географічною близькістю Європи. Транзакція на іншому континенті завжди викликає більше підозр у банківських працівників, ніж транзакція в сусідній країні, тому американські дампи "вмирали" зазвичай після одного-двох використань в банкоматах, розташованих в країнах колишнього СРСР, а ось європейські дампи "жили" довше. Але ж чим довше "живе" дамп, тим більше грошей можна з нього зняти - це пов'язано з тим, що у більшості банків виставлені досить скромні ліміти на зняття готівки протягом доби і за один раз неможливо "підчистити карту" до нуля, якщо на ній лежить значна сума. Тому "російські" кардери відправляли, як правило, американські дампи з піном на переведення в готівку в США місцевим кардерам, які за певний відсоток бігали по тамтешнім банкоматів, а ось європейські дампи воліли переводити самі.
Однак у Райффайзенбанку вважали за краще повісити все на нібито мав скімінг в Україні, щоб приховати від громадськості свої власні грубі помилки, які, безсумнівно, надали б вплив на імідж установи. Звичайно, я не заперечую, що випадки скіммінгу в POS-терміналах з пін-падом і банкоматах, напевно, мали місце і в цей період (як це відбувається у всіх без винятку країнах і зараз - можна згадати навіть), але зовсім не в тому масштабі, про який заявляв Райффайзенбанк, гучно оголошуючи Україну бандитської країною, забороняючи всі банкоматні транзакції в цілій країні і через пресу закликаючи перевипустити свої картки тих клієнтів, які користувалися ними в Україні.
Недобре, панове банкіри, приховувати власну недбалість, обливаючи брудом цілу країну. Якщо вже не можете вчасно закривати свої "дірки", то хоча б не звинувачуйте в їх існуванні велику європейську країну з 50 мільйонами населення, а повідомляйте про проблему своїм клієнтам як той же "Сітібанк", який просто оголосив про випадки банкоматного шахрайства зі своїми картами, перевипустити проблемні карти і, нікого не звинувачуючи, швидко ліквідував свою "дірку".