15.
UBuyWeRush
A lepukkant plázát mintha csak úgy rádobták volna Los Angeles megye végtelennek tűnő, a képeslapokat ritkán díszítő síkságának látképére. Olyan messze az óceántól és a domboktól, hogy a stukkós épületek a mögöttük elterülő kifejezéstelen éggel akár egy hollywoodi díszletnek is elmentek volna, aminek kék háttere csak arra várt, hogy filmesek szorgos kezei pakolják tele fákkal és hegyekkel.
Chris egy teleszemetelt parkolóban tette le a kocsiját. A bejáratnál elhelyezett hirdetőtábla nagyját egy Cowboy Country Saloon címer foglalta el, alatta pedig a Dél-Los Angelesben megszokott boltok jelzései sorakoztak: egy italbolt, egy zálogház és egy műkörmös. És még egy, ami egy kicsit kilógott a sorból: UBuyWeRush – Los Angeles egyetlen boltlogója, ami a CarderPlaneten és a Shadowcrew-n is helyet kapott.
Belépett az iroda előterébe, ahol egy üres recepciós ablak egyértelműen jelezte, hogy a helyiség korábban egy orvosi rendelő volt. A falon egy gombostűkkel telerakott Mercator-vetület lógott. Később Christ maga UBuy, Cesar Varrenza üdvözölte.
Cesar egy meglehetősen kanyargós úton jutott el az alvilágig.{74} 2001-ben számítógépes programozásból szerzett diplomát a DeVry intézetben, abban a reményben, hogy el tud helyezkedni valamilyen internetes melóban. Amikor nem talált semmit, úgy döntött, hogy kipróbálja magát a weben, mint független üzletember.
A Daily Commerce egyik hirdetéséből értesült egy Long Beach-i közraktározási cég aukciójáról, ahol a tulajdonosok az elhagyott raktárak tartalmát akarták eladni. Elment és azt látta, hogy az aukció egy nagyon specifikus rituálét követ. A menedzser egy impozáns méretű csavarfejezővel szétvágja a néhai ügyfél lakatját, aztán kinyitja az ajtót, miközben a többiek csak nézik. Ekkor a körülbelül húsz licitálónak pár méterre állva fel kellett mérnie a raktár tartalmát. A nyertes fogta a saját lakatját, lezárta vele a raktárt, és huszonnégy órán belül ki is ürítette.
Könnyű volt kiszúrni a tapasztalt rókákat: lakatok lógtak az övükről, és még elemlámpájuk is volt, hogy a raktárak sötét sarkait is feltérképezhessék. Cesar legalább ennyire lelkes volt, de messze nem ennyire felkészült. Az első körben ő volt az egyetlen licit, úgyhogy egy dollárért vásárolt egy régi ruhákkal teli raktárt.
A ruhákat később 60 dollárért adta el az eBayen. Egy jó raktárra számítva Cesar egyre több aukcióra látogatott el különböző közraktárakba és irodafelszámolásokra, ahol a rengeteg vásárolt árut kiszortírozta, majd egészen szép profittal továbbadta az eBayen. A pénzt visszaforgatta az üzletbe, és vett egy kis boltot egy Long Beach-i plázában, ahol a közelben lakók irodai cuccaival, kerti bútoraival és márkátlan farmereivel megrakott szállítmányait fogadta, amiket később eladott az interneten.
Tisztességes, jó munka volt – nem úgy, mint a legutóbbi független üzlete. Cesar a '90-es évek legnagyobb részét hitelkártyacsalással töltötte. Tetszett neki az eBay-es cserebere, de múltjából eredően érdekelte, hogy van-e piaca azoknak a dolgoknak is, amikkel bűnözőként foglalkozott. Rendelt egy pár MSR206-ot a gyártótól, és felpakolta őket a UBuyWeRush eBay oldalára. Lenyűgözte, hogy milyen hamar elkapkodták őket.
Később az egyik új vevője mesélt neki egy oldalról, ahol még könnyebben tudna eladni. Bemutatta Cesart Scriptnek, aki felvette a UBuyWeRush-t a CarderPlanet hivatalos árusai közé. Cesar 2003. augusztus 8-án posztolta a bemutatkozóját az oldalon. „Úgy döntöttem, hogy kiszolgállak titeket, kik a nagy pénzt keresitek – írta. – Szóval, ha szükségetek lesz rám, vannak eladó kártyanyomtatóim, kártyapréseim, kódolóim, kis olvasóim és még sok minden más. Tudom, hogy reklámszaga van a dolognak, de ez nektek szól, egy BIZTONSÁGOS bolt vagyok.”
Az üzlet még aznap este berobbant. Cesar felhúzott egy saját weboldalt, elkezdett a Shadowcrew-n is árulni, szerzett magának egy ingyenesen hívható számot, és már e-gold és egyéb anonim online fizetőeszközöket is elfogadott, amit a kártyások jobban szerettek. Hamar híre ment, hogy milyen jól bánik a vevőivel. Nagyon lelkiismeretesen üzletelt, megértő volt a különböző időzónákban élő ügyfeleivel, lehetett nappal vagy éjszaka, mindig felvette a telefont. A vonal másik végén ugyanis mindig pénz volt.
Ügyes üzletemberként aznapi kiszállítást is vállalt, és megegyezést kötött a riválisaival is, hogy ha ő esetleg kifogyna valamiből, akkor tudjon a konkurenciától is vásárolni, hogy mindenki elégedett legyen. Az ilyen és ehhez hasonló stratégiai lépések tették a UBuyWeRush-t a világ hackereinek és személyiségtolvajainak első számú hardverszállítójává. „Nagyon jó ember, jó vele üzletelni – írta egy Fear nevű hacker, tanácsot adva egy kezdőnek a Shadowcrew-n. – Ne verd át UBuyWeRush-t, mert nagyon jó arc, és megbízható.”
Cesar nem sokkal később több száz különböző termékkel bővítette a kínálatát: skimmerek, útlevélfotó-kamerák, fólianyomók, üres plasztikok, vonalkódnyomtatók, lyukasztók, csekkpapírok, mágneses tintapatronok, de még set-top boxok is voltak nála. Maga a felszerelés árusítása egészen addig nem volt illegális{75}, amíg nem vállalt részt a későbbi törvénytelen felhasználásukban. Még olyan törvénytisztelő vásárlói is voltak, akik csak céges azonosítókat és iskolai ebédkuponokat akartak készíteni.
Cesart elárasztották a rendelések, ezért feladott egy apróhirdetést, és fel is vett pár embert, akik segítettek neki leltározni, csomagolni és postázni a felszerelését. Ahogy a környező irodák felszabadultak, úgy csatolta hozzá őket az irodájához, megduplázva, majd megtriplázva a tárolókapacitását. Lenyűgözőnek találta, hogy egy olcsó lepukkant plázából működtetett bolt milyen messzire képes elérni, ezért vett egy falitérképet, és akárhányszor egy új városba szállított, egy gombostűvel jelölte meg a helyet a térképen. Hat hónappal később úgy nézett már ki az egész, mint egy sündisznó, az Egyesült Államokba, Kanadába, Európába, Afrikába és Ázsiába mélyesztett tűktől. Oroszországtól délnyugatra, a Fekete-tengeren egy áthatolhatatlan fémerdő burjánzott. Ukrajna.
Chris és Cesar barátok lettek. Még vacsorázni is áthívta Mrs. UBuyWeRush-sal, Clarával és Chris két kisfiával együtt – jól nevelt gyerekek voltak, akik a desszertig el sem hagyták az asztalt. Chris nagyon szeretett Cesar irodájában lógni. Soha sem tudhattad, hogy ki jelent meg a UBuyWeRush-nál. Kártyások, akik még ahhoz is túl paranoiásak voltak, hogy a megvásárolt hamisítóberendezéseiket egy biztonságos felvevőpontra küldessék, elzarándokoltak a Los Angeles-i boltba, hogy személyesen vegyék át a csomagot, még az ajtót is a kabátujjukkal nyitva, hogy ne hagyjanak ujjlenyomatokat. Kaliforniában nyaraló külföldi kártyások is be-benéztek, csak hogy saját szemükkel láthassák a legendás raktárt, és megrázhassák Cesar kezét.
Aztán egy napon az a férfi jött be az üzletbe, hogy felkapjon egy MSR206-ot, akire Chris a legkevésbé számított. Egy 195 centis lófarkas hacker.
Chris lefagyott; Max akkoriban alig hagyta el San Franciscót, és egy szóval sem mondta, hogy a városban lesz. Max is ugyanannyira meglepődött, hogy ott látta Christ. Zavartan üdvözölték egymást.
Chris tudta, hogy csak egyetlen oka lehet annak, hogy Max titokban Los Angelesbe jön és vesz egy saját mágnescsíkkódolót: valószínűleg úgy döntött, hogy nem osztja meg vele többé a legértékesebb adatait.
Max valahonnan értesült az egyik legnagyobb biztonsági baklövésről, amit bankrendszer valaha elkövetett, amiről egy fogyasztó még annak ellenére sem hallott soha, hogy bizonyos kártyásokat milliomossá tett.
A közepes méretű Commerce Bank a Missouri állambeli Kansas Cityben lehetett talán az első, aki rájött, hogy mi is történik. 2003-ban a bank biztonsági menedzsere arra lett figyelmes, hogy az ügyfeleik bankszámláiról napi 10 és 20 ezer dollár közötti összegeket szednek le Olaszországból – amikor hétfőn bement dolgozni, kiderült, hogy a bank 70 000 dollárt bukott egyetlen hétvége alatt. Kis nyomozás után rájött, hogy az érintett ügyfeleik ugyanannak az adathalász-támadásnak estek áldozatul, ami során ellopták a bakkártya- adataikat és PIN kódjaikat.
Valamit azonban nem értett: a CVV pontosan ezeket a csalásokat kellene hogy megakadályozza. A valódi kártyák mágnescsíkjára programozott CVV biztonsági kód nélkül a kártyának a világ egyetlen ATM-jében sem lett volna szabad működnie.
Tovább kutatott, és rájött az igazságra: a bankja egész egyszerűen nem ellenőrizte a CVV-t a pénzlevételeknél, sem pedig a bankkártyás vásárlásoknál, melyeknél a vásárlónak egy PIN kódot is be kell ütniük. Valójában a bank akkor sem tudta volna minden alkalommal végrehajtani ezt az ellenőrzést, ha akarta volna; a harmadik féltől származó feldolgozóhálózat, amit a bank használt, nem továbbította a titkos kódot. Az olasz adathalászok bármilyen véletlenszerű hülyeséggel helyettesíthették a CVV-t tartalmazó mezőt, a kártyát akkor is valódiként fogadnák el.
A menedzser átrakta a rendszert egy másik hálózatra, és beprogramozta, hogy ellenőrizze a CVV-t is. A titokzatos olasz pénzlevételek egy nap alatt megszűntek.
A Commerce Bank csak a kezdet volt. 2004-ben Amerika bankjainak, takarékszervezeteinek és hitelszövetkezeteinek a fele még mindig nem foglalkozott a CVV ellenőrzésével a bankautomatás és bankkártyás tranzakcióknál, ezért Amerika postafiókjait adathalász e-mailek árasztották el, amik olyan PIN kódokat igyekeztek szerezni, amik a kártyások által „pénzelhetőnek” nevezett bankokhoz tartoztak.
A Citibank, a nemzet egyik méretes lakossági bankja volt a legnagyobb hal.{76} „Ezt az e-mailt a Citibank szerverétől, az e-mail címének ellenőrzése végett kapta – állt az Oroszországból küldött spamben, 2003 szeptemberében. – Kérjük, fejezze be a folyamatot, kattintson az alább található linkre, és a kis ablakokba írja be a citibankos ATM/bankkártyájának számát, és a hozzá tartozó PIN kódot.”
Egy 2004-es átgondoltabb kampány már a lakosság jól megalapozott cyberbűnözéstől való félelmére épített. „Az utóbbi időben több kísérlet is történt a Citibank ügyfelei személyi adatainak ellopására. Biztonsága érdekében szükségessé vált, hogy megváltoztassa a citibankos ATM/bankkártyájához tartozó PIN kódját” – írták a Citibank logójával díszített spamben. A link átdobta a felhasználót a Citibank weboldalának tökéletes másolatára, amit valahonnan Kínából hosztoltak, és ahol végül ellopták az áldozattól a szükséges adatokat.
Mivel azonnal pénzre lehetett váltani, a PIN kód volt a kártyázás Szent Grálja. Ebben a küldetésben viszont a CarderPlanet King Arthurja volt a legsikeresebb. King – ahogy a baráti körében nevezték – egy nemzetközi hálózatot működtetett, ami a Citibank ügyfeleire specializálódott. Egy élő legenda volt a kártyások világában. King Arthur egyik főhadnagya, egy Angliában élő amerikai egyszer véletlenül elkotyogta az egyik kollégájának, hogy King heti egymillió dollárt keres ebből az egészből.{77} És ő csak egy kelet-európai srác volt a sok közül, aki akkoriban ezzel foglalkozott.
Max a saját módszerével csatlakozott rá a citibankos tömlőre: ráküldött egy trójait egy Tux nevű amerikai srácra, és egyszerűen lenyúlta azokat a PIN-eket és számlaszámokat, amiket a beszállítója küldött neki. Idővel a forrást is megkereste – egy anonim kelet-európait, akiről Max úgy gondolta, hogy maga King Arthur lehet –, és őszintén bevallotta, hogy mit tett: Max szerint Tux a hanyag védekezés bűnében találtatott vétkesnek. Csak hogy biztos legyen, még azt is behazudta, hogy az embere lehúzza a beszállítóit.
A forrás abban a másodpercben kirúgta Tuxot, és elkezdte közvetlenül Maxnek küldeni a PIN-eket, kinevezve a hackert legújabb cash-out emberének.
Amint elkezdtek érkezni a PIN-ek, Max küldte is őket tovább Chrisnek, aki azonnal rájuk vetette magát.{78} Chris lerántott rólunk 2000 dollárt – a napi limitet –, aztán továbbküldte őket a lányoknak, hogy bolti vásárlásokkal facsarjanak ki mindent a számlákból. Megerőszakolta a kártyákat. Maxnek ez egyáltalán nem tetszett. A cash-out lényege az volt, hogy készpénzt szerezzenek, és ne termékeket, amiket valódi értékük töredékéért tudtak csak továbbadni. Egy kis ravaszsággal a PIN-ekből sokkal többet is ki lehetett sajtolni.
Aztán rájött, hogy ehhez az üzlethez igazából nincs szüksége a társára.
Amikor UBuyWeRush-tól hazaért a saját MSR206-osával, Max saját maga folytatta az üzletet. Beprogramozott egy halom Visa ajándékkártyát a kapott számlaadatokkal, és minden kártyára ráragasztott egy kis cetlit a PIN kóddal. Aztán egyszerűen felpattant a biciklijére, vagy tett egy hosszú sétát a városban, és meglátogatott egy sor olyan kisebb helyet, ahol olyan magántulajdonban lévő pénzautomaták voltak, amiket nem védtek biztonsági kamerák.
Beütötte a PIN kódot, majd a kívánt összeget, aztán egy kis fémes kattogás után a bankautomata nyerőgépként kezdte okádni magából a bankjegyeket. Max begyűrte a pénzt a zsebébe, ráírta a cetlire az új egyenleget, majd diszkréten körülnézett, hogy megbizonyosodjon róla, hogy senki sem figyeli, mielőtt előhúzta volna a következő kártyát paklijából. Hogy ne hagyjon maga után ujjlenyomatokat, a gombokat egy papírlapon keresztül nyomta meg vagy a körmeivel, néha pedig 8-hidroxikinolinnel vonta be az ujjbegyeit – egy átlátszó, ragadós fertőtlenítővel, amit „folyékony ragtapaszként” árulnak a gyógyszertárakban.
Max kötelességtudóan a profit egy meghatározott százalékát továbbküldte Oroszországba a Western Unionon vagy a MoneyGramen keresztül, ahogy a beszállítójával megegyeztek. Most már becsületes bűnöző volt, aki egyenes üzleteket kötött az alvilágban. Még azután is adott egypárat a PIN-jei közül Chrisnek, hogy meglett a saját mágnescsíkírója, aki pedig továbbra is nagyon agresszívan szivattyúzta le róluk a pénzt.
Látszólag Max ATM-látogatásai nem sokban emlékeztettek olyasmire, amit Robin Hood tenne, de azzal nyugtatta a lelkét, hogy a cash-outoknak mindig a kártya letiltása vetett véget. Ez azt jelentette, hogy rájöttek a csalásra, és a Citibanknak kötelessége volt kártalanítani az ügyfelét.
Néhány hónappal később Max egy nagyon szép kis tartalékot halmozott fel a Citibank veszteségéből: Charityvel átköltöztek egy havi 6000 dollárért bérelhető házba a San Franciscó-i Cole Valley-be, ahová azonnal beépíttetett egy széfet is a spórolt pénzének, ami ekkorra 250 000 dollárra hízott.
Amennyit ő szakított ezen az üzleten, az csak egy nagyon kis része volt a CVV csalásból eredő veszteségnek. 2005 májusában a Gartner egyik elemzője ötezer online fogyasztóval készített felmérést, és becslése szerint mindez 2,75 milliárd dollárba került az Egyesült Államok pénzintézeteinek. Mindössze egy év alatt.{79}