Так вот именно старый добрый пок — первое, что приходит в голову, когда слышишь о серии ограблений, проведённой минувшей зимой в Соединённых Штатах и ещё двух десятках стран крепко сбитым интернациональным коллективом чёрных хакеров (частью уже пойманных, частью погибших, частью ещё гуляющих на свободе). Информация продолжает поступать, расследования там и здесь ещё ведутся, но в общем и целом ясно, что ребята использовали взрослый вариант «пока» и извлекли благодаря ему свыше сорока миллионов долларов. Не удивлюсь, если окажется, что идейный вдохновитель всей операции провёл детство, играя в Dizzy или Elite.

То, что американская полиция сейчас называет «крупнейшим и одним из самых совершенных высокотехнологичных ограблений за все времена», начиналось в новогодние каникулы со странного шоу, напоминающего флэшмоб. В ночь с 21 на 22 декабря несколько десятков человек, разбросанных по 26 странам мира, действуя чрезвычайно слаженно (всего за два часа с небольшим), имея на руках пять дебетовых пластиковых карточек MasterCard, навестили тысячи банкоматов и сняли в общей сложности пять миллионов долларов — при том, что изначальный баланс карт составлял в лучшем случае сотни долларов (карты были даже не просто дебетовые, а популярные на Западе предоплаченные: для таких и PIN не всегда требуется).

К моменту, когда всполошились службы безопасности, грабителей и след простыл, остались только вопросы. Как удалось снять такую сумму за столь ограниченное время, если банкоматы выдают в лучшем случае по нескольку тысяч за раз? Каким образом карточки с дебетом в сто долларов отдали мошенникам миллионы? И как, чёрт возьми, одна и та же карта (ну, хорошо, пять) практически одновременно засветилась и в Штатах, и в Канаде, и в Германии, в Испании, Японии, Латвии и много где ещё?

Последний вопрос оказался самым простым. Ребята, готовившие Операцию Анлим (Operation Unlimited — так грабители называли её между собой), завели легально (или украли реквизиты) несколько пластиковых карт, после чего скопировали информацию с их магнитных лент на карты-болванки. А вот ясных ответов на другие два вопроса не дано до сих пор. Официальная версия утверждает одно, а в прессе творится такой бардак, что смешно смотреть: пересказать историю на Западе взялось каждое мало-мальски известное деловое и ИТ-издание, и почти у каждого, вплоть до Wall Street Journal, Wired, New York Times, своя версия случившегося.

Неразбериха, впрочем, объяснима. Отчасти это следствие крайне запутанной структуры отношений между компаниями, обслуживающими «пластик»: цепочка участников, помимо собственно клиента и банка, держащего счёт, включает карточную системы (MasterCard), несколько процессинговых компаний-брокеров (которые, как ни странно, и выпускают карты по поручению банка, и обрабатывают транзакции), а также держателей банкоматов. Отчасти неразбериха создана нехваткой информации: ни спецслужбы, расследующие ограбление, ни пострадавшие стороны не заинтересованы в том, чтобы подробная информация о механизме кражи была обнародована. Так что никто не знает, ни какие «дыры» были использованы, ни какие инструменты применялись.

Из того, что известно, впрочем, рисуется следующая картина. Планируя ограбление (был выбран банк в ОАЭ), злоумышленники прежде всего отыскали в «карточной цепочке» самое уязвимое звено. ИТ-инфраструктура банков защищена хорошо, банкоматы по какой-то причине тоже были отвергнуты, так что выбор пал на индийскую процессинговую компанию, работающую с нужным банком. Следующие несколько месяцев ушло на проникновение в её корпоративную сеть и базы данных. После чего, если верить официальному отчёту о расследовании, грабители сделали два классических «пока»: сильно увеличили максимальный объём снимаемых средств для своих карт и вручную прописали на них миллионы долларов. Что было дальше, вы уже знаете.