CarderPlanet
Professional
Сегодня мы поговорим немного о банковских картах, базовых принципах их работы (и работы с ними) и нюансах их покупки, а также затронем такие вопросы, как чек карт, AVS, 3DS/VBV и почему мы даже на “хороших” картах можем получить деклайн (неуспешный результат выполнения транзакции)
(19:21:07) Pustota: Каждый из вас так или иначе сталкивался в своей жизни с банковскими картами, но мало, кто задумывался, как работает процесс оплаты картой и какую информацию несет в себе сам пластик и информация, напечатанная (либо эмбоссированная) на нем
(19:21:36) Pustota: Первое, что начинающий кардер должен изучить, – базовую информацию о банковских картах в контексте нашей теневой деятельности.
(19:22:16) Pustota: Перед этим подчеркну, что любую информацию которую вы получаете в ходе работы будь то успешный или не успешный ордер - нужно записывать. Дабы в будущем сверяться с данными и не делать ошибок. Или банально что-то не забыть. Пример: https://i.imgur.com/U0PW3jL.jpg
(19:23:00) Pustota: Продолжим.
(19:23:31) Pustota: В нашем контексте CC (Credit Card, кредитная карта, картон и т.д) – заботливо угнанные данные реально существующей (либо виртуальной) карты холдера (владельца карты, КХ), не проживающего в странах СНГ
(19:24:09) Pustota: Где же нам достать картон? 3 основных варианта – купить в шопах, у приватных (или не очень) селлеров, либо добыть самому (с фейкового сайта, со снифера на реально существующем сайте, с ботнета, какой-либо взломанной БД либо с любого другого места, куда хватит вашей фантазии). О самостоятельной добыче речь сегодня не пойдет, это тема "со звездочкой" для самостоятельного освоения
(19:24:39) Pustota: Рассмотрим самый популярный и очевидный вариант с покупкой карты
(19:27:50) Pustota: При покупке вы получите картон примерно в таком формате:
4147400219040084 | 12/21 | 826 | Richard Lang | 56 Groveview Cir #302 | Rochester | 14612 | NY | USA | 661-298-0881 | [email protected]
Формат у каждого шопа/селлера отличается, где-то его можно кастомизировать, но основные моменты идентичны
В нашем примере 4147400219040084 – номер кредитной карты;
12/21 (12 месяц / 21 год) - дата окончания действия карты (Expiry/Expiration Date);
826 – защитный код карты CVV/CVV2/CVC;
Richard Lang – First и Last Name (имя, фамилия);
56 Groveview Cir – Address Line 1 (первая строка адреса);
#302 - Address Line 2 (вторая строка адреса). Обратите внимание, что название улицы и номер дома - это всегда Line 1, а номер квартиры/пристройки/офиса - это Line 2. Если дом частный, то Address Line 2 будет отсутствовать;
Rochester – город;
14612 – Zip code (зип, аналог нашего почтового индекса);
NY (New York) – штат;
USA – страна;
661-298-0881 – телефон;
[email protected] – email-адрес холдера.
(19:29:11) Pustota: Минимально необходимая информация для работы по большинству направлений - номер СС, Expiration Date, CVV, First/Last name, Address line 1, Zip code. Остановимся детальнее на номере карты, он содержит в себе важную информацию для работы
(19:30:16) Pustota: BIN (Bank Identification Number) – первые 6 цифр номера кредитной карты. Каждая банковская организация имеет пул уникальных номеров, которые присваиваются выданным ими картам. В этих номерах содержится информация о платежной системе (Visa/MC/AmEx/Discover и т.д.), банке-эмитенте, уровне карты (Classic/Gold/Platinum и т.д.), типе карты (Credit/Debit/Prepaid)
(19:31:06) Pustota: Первая цифра BIN определяет Major Industry Identifier (MII) - глобальную платежную систему, под управлением которой данная карта работает. Основные платежные системы, с которыми вам предстоит столкнуться, – AmEx (первая цифра карты начинается на 3), Visa (4), MasterCard (5), Discover (6)
(19:32:37) Pustota: Подробную информацию о бинах можно найти на сервисах вроде binlist.net, binov.net (последний очень удобен для масс поиска бинов и реверсивного поиска бинов по банкам, хотя базы несколько устарели на данный момент), также базы бинов встроены в большинство шопов CС.
Если мы пробьем BIN карты из примера выше (414740), увидим следующую информацию:
TYPE: VISA;
BANK: CHASE BANK USA, N.A.;
RANK: CREDIT;
TYPE: SIGNATURE;
COUNTRY: USA
RANK и TYPE мы разберем дальше по ходу лекции (тип и уровень карты), остальные данные очевидны исходя из названия
(19:35:02) Pustota: Остальные цифры карты, кроме последней, идентифицируют аккаунт холдера в банке, а последняя цифра - контрольная, предназначенная для валидации номера банковской карты по алгоритму Луна (Luhn Algorithm) - для нас эта информация имеет пользу только в том контексте, что рандомный набор цифр не может быть валидным номером карты, а опечатавшись на 1 цифру при вводе, мы 100% введем несуществующий номер карты. Также алгоритм Луна используется сервисами генерации псевдонастоящих данных (fake data / fake cc generators) и при валидации ввода (наверное, вы встречались со случаем, когда поле ввода номера карты "краснеет" и говорит о неправильном номере карты еще на этапе, когда вы печатаете номер). Теперь что касается непосредственно покупки карт в шопах
(19:36:11) Pustota: При покупке карт в большинстве шопов мы увидим такой параметр, как валидность базы, в которой карта поступила в шоп. Шопом/селлером она определяется так: берется рандомно некоторое количество карт и валидируется чекером. Допустим, из 10 карт вышло 7 валидных – *заявленная* валидность такой базы около 70%. Отмечу, что реальная валидность может сильно отличаться в зависимости от честности селлера/шопа, используемого чекера, метода добычи карт и того, насколько давно база была добыта и прочекана на валид
(19:37:39) Pustota: Чекер карт – сервис, который прогоняет карты через свои мерчи. Чекеры могут работать по-разному: с карты может преавторизоваться небольшая сумма ($1-2) через мерч чекера и возвращаться обратно через небольшой промежуток времени. Такой метод плох тем, что у холдера могут быть настроены нотификации на транзы и подозрительная транзакция может вынудить его заблокировать карту. Ну или он просто не вовремя может чекнуть bank statement (банковскую выписку, бывает доступна в бумажном виде, по звонку в банк, либо в онлайн-банкинге)
(19:38:23) Pustota: Более продвинутые чекеры используют бесчарджевую валидацию ($0 authorization), которая чаще всего проходит незаметно для холдера и дает ответ от платежной системы о валидности карты
(19:39:59) Pustota: Альтернативным способом прочекать карту на валидность является ее привязка к каким-либо сервисам (как пример - к гуглу, либо в любой другой сервис, куда карта вяжется в личный кабинет)
(19:40:23) Pustota: Это достаточно безопасный метод чека, который сводит риск смерти карты к минимуму при условии, что он тоже использует принцип бесчарджевой валидации
(19:41:54) Pustota: В нормальных шопах за невалидные карты предусмотрен рефанд – обычно на чек дается 5-15 минут. Чтобы минимизировать временные и финансовые потери, я рекомендую чекать карты после покупки и пытаться получить рефанд, если карта мертвая. Если вы не доверяете вашему методу чека карт (допустим, считаете, что он может убивать карты), можно чекать карту после вбива, чтобы свести к минимуму вероятность ее смерти от чека
(19:43:16) Pustota: Также стоит помнить, что встроенные в шопы чекеры зачастую портят карты значительно сильнее, чем ваши собственные методы чека, потому пользуйтесь ими только в том случае, если уверены, что карта невалид (алгоритм чаще всего такой: вы чекаете карту чекером шопа, если чекер шопа сообщает о преждевременной кончине карты, вы получаете рефанд; если же чекер говорит, что карта жива - то нет)
(19:44:39) Pustota: Также, хочу отметить, что однозначно самый безопасный метод чека карты - попытка ее заролить либо прозвонить на баланс (заролить - производное от Enroll (энролл)). Это понятие будет детально освещено в дальнейших лекциях, подразумевает получение доступа к онлайн-банкингу карты), либо прозвон в банк. В этом случае иногда может понадобиться пробить доп. инфу по карте (SSN (номер соц. страхования)/DoB (дату рождения холдера) или еще что-либо)
Пару слов о видах CC. Как я уже говорил выше, чаще всего в работе вам будут встречаться карты Visa, MasterCard, American Express, Discover
(19:45:48) Pustota: Из моего опыта, проще всего найти хорошие бины Visa и MC, однако в практике мне встречались и жирные бины амекса (однако, с последним есть своя специфика - быстрее идет чарджбек, что зачастую бывает губительно для вбивов. Нужно понимать, где такое пройдет, а где будет руинить вашу работу). Карты Discover, скорее, относятся к экзотике - но в некоторых направлениях их тоже используют
(19:46:02) Pustota: Карты Visa, MasterCard и Discover имеют по 16 цифр в номере карты и 3-х значные CVV-коды. У амекса же в номере карты 15 цифр и CVV 4-х значный
(19:47:11) Pustota: У карт некоторых стран (конкретно - USA, Canada, Australia, New Zealand и United Kingdom) предусмотрен механизм защиты AVS (Address Verification System), который сверяет адрес, использованный при совершении транзакции с таковым в банке-эмитенте. В том случае, если данные не совпадают (сверяются цифры в адресе и ZIP-коде), от банка приходит ответ AVS Mismatch и такая транзакция будет отклонена. Отсюда в дальнейшем вы столкнетесь с такими понятиями, как billing и shipping address, они будут затронуты в дальнейших лекциях
(19:48:51) Pustota: Но распишу вам для общего понятия:
(19:50:10) Pustota: AVS - Address Verification System должны были изучать, суть в том что если делаете транзакцию внутри страны (то есть банк эмитент карты той же страны что и магазин) у вас могут сверить цифровую часть адреса, и если он не совпадает будет decline, список стран у которых есть эта система запомните. То есть этой системы нет в РФ/EУ.
(19:51:12) Pustota: (прим. на корпоративных картах англии нет AVS, так же не все карты в usa/ca/au могут иметь такую защиту, в usa и ca почти все, в au реальнее найти без сверки)
(19:52:46) Pustota: При работе с картами рано или поздно вы столкнетесь с защитными механизмами 3D Secure
(19:53:30) Pustota: У карт Visa он называется Visa Secure / Verified by Visa (VBV); у MC - MasterCard Secure Code (MCSC), а у Amex - SafeKey. Соответственно у многих шлюзов есть свои аналоги.
(19:54:31) Pustota: 3Dsecure - Кажется обычно ее называют 3ий слой защиты, суть в том что вы вводите интернет пароль для покупок, я думаю вы уже с этим сталкивались при покупке с ваших карт, когда для подтверждения транзакции банк присылал вам sms код.
(19:55:38) Pustota: Что очень важно отметить, если вы сделали покупку с 3дс кодом, чарджбек ложиться полностью на плечи кардхолдера или банка, магазин ответственности не несет за эту операцию, то есть даже если кардхолдер спалит транзакцию маловероятно что на шоп это повлияет и он не отправит вам товар, но тут есть исключение (шоп который дорожит своей репутацией отменит).
(19:56:29) Pustota: То есть транзакции с 3дс кодом обладают высоким трастом (исключение USA ввиду того что там интернет пароль зачастую статичный, то есть к примеру как пароль от email, и его можно сбросить).
(19:57:39) Pustota: Чуть проясню https://imgur.com/1KQzbTx это окно ввода 3дс кода у USA банка, но вместо смс вас просит банк ввести информацию по карте+зип код.
(19:58:18) Pustota: В общем то 3ds самый распространенный тип защиты, в большинстве стран у мерчантов в шопах подключен он у карт
(19:58:53) Pustota: То есть если у мерчанта не подключена эта защита, а на карте она стоит то транзакция пройдет без 3дс, так как это не было инициировано шопом.
Разберем момент 3Ds более подробно:
(20:00:34) Pustota: Данные механизмы призваны значительно сократить процент неавторизованных/мошеннических операций с картами путем добавления дополнительного метода подтверждения транзакции, не связанного с самой картой. В случае вбива в мерч с активированной системой 3DS, при проведении транзакции вы будете перенаправлены на страницу ввода статичного кода, который должен быть известен холдеру, либо одноразового кода, отправляемого холдеру по SMS/e-mail
(20:01:42) Pustota: Статичные коды будут неизвестны вам при покупке карты, однако, для некоторых бинов их можно сбросить. Бины, где такое можно провернуть, называются бинами со сбросом VBV
(20:02:50) Pustota: Также, встречаются бины, которые проходят VBV автоматически. Выглядит это так: во время проведения транзакции, вы попадаете на страницу VBV, аналогичную таковой для вышеперечисленных бинов, но сам код VBV у вас не запрашивает. В это время банк-эмитент оценивает вашу транзакцию по своим антифрод-критериям и дает ответ мерчу, прошли вы проверку VBV, либо нет. Такие бины называются автовбв. Также, иногда автовбв карты встречаются у банков, которые просто еще не имплементировали защиту с помощью 3DS, в таких банках процент успешного прохождения VBV будет выше. Обычно это небольшие банки (чаще всего - Credit Union'ы)
(20:03:51) Pustota: Если вы работаете по вещевухе с US шопами и наткнулись на шоп с VBV/MCSC, проще всего на такой шоп забить и найти другой. Если же вы бьете какой-либо сервис, где VBV обязателен (например, Airbnb), либо работаете по EU - там уже нужно искать бины со сбросом/автовбв, которые будут лезть в мерч вашего сервиса/шопа
(20:04:22) Pustota: 3дс код в USA зачастую статичен, как правило это либо zip/ssn либо zip+ssn, либо он может быть задан кардхолдером, но зачастую его можно сбросить (увидите пункт reset).
(20:05:02) Pustota: Так вот в eu/ca/au и возможно в других регионах так же можно найти карты у которых можно сбросить статичный пароль(при условия что он статичный а не смс или токен и есть пункт reset) но сколько средств вы потратите в поисках этого никто не может сказать)
(20:06:06) Pustota: Разве что в UK шанс выше найти что-то со сбросом так как в свое время там было очень много бинов со сменой пароля 3дс по DOB.
(20:08:16) Pustota: Раньше было много бинов со сбросом 3дс пароля, по добу,зипу (данным которые пробивались по открытым источникам) сейчас я говорю про европу и англию, на данный момент как я уже говорила таких бинов стало меньше, но найти их реально , я бы начинала с англии и италии,но это субъективно. На данный момент многие уже ушли от этого, и сейчас либо смс либо 2FA токены (типо 2FA приложения Google) Но если стоит смс то варианты есть, и в мире уже с 2017-2018 года трубят что надо отказываться от подтверждения по номеру телефона, поэтому вероятное через 2-3 года масса банков перейдет на токены.
(20:09:10) Pustota: Но если стоит смс то варианты есть, и в мире уже с 2017-2018 года трубят что надо отказываться от подтверждения по номеру телефона, поэтому вероятное через 2-3 года масса банков перейдет на токены.
(20:10:03) Pustota: Вот как выглядит 3ds окно и принципы защиты по еу:
(20:10:17) Pustota: А вот здесь после ввода 3ds кода,дополнительно запросило номер счета https://i.imgur.com/vAMZB6S.png
(20:11:12) Pustota: Методы работы с EU матом вам дадут на лекции по отелям и авиа, т.к. все эти направления очень плотно связанны между собой. Небольшая хитрость чтобы определить наличие 3дс у магазина надо взять карту у которой установлена эта защита и провести транзакцию,желательно не типичную чтобы не сработал auto3ds, таким образом можно проходить списки шопов, либо же узнавать какой мерчант у шопа и читать на их официальном сайте документацию.
(20:11:56) Pustota: Так же при работе с картами европы в америке - стоит уточнять у саппорта есть ли у них возможность оплачивать картами других стран. Т.к если транза пойдет дальше - банк её может не пропустить и там спасёт только прозвон. Поэтому - общаемся с поддержкой.
(20:12:25) Pustota: Если говорить о других странах nonUSA, можно выделить следующее: Это Латинская Америка, Евросоюз, СНГ, Азия, Австралия, Африка.
(20:13:07) Pustota: Можно еще выделить Арабские страны и Индию, Англию (прим. лекция ранее была о европе и азии, но я решил включить весь мир, но справедливости ради скажу что работал в основном по юса/еу/азия). Вы должны смотреть информацию касательно регионов в интернете. Могут быть разные ситуации в странах, влияние и пр. Проще говоря нужно уметь пользоваться гуглом. https://habr.com/ru/sandbox/46956/
(20:14:14) Pustota: Как уже писал выше, в основном я работал с юса/еу/азия ,поэтому эти направления будут более подробно разобраны, в остальных регионах +- такая же ситуация как в еу и азии
(20:14:20) Pustota: Поговорим немного о типах и уровнях СС
(20:15:28) Pustota: Кредитная (Credit) - карта, на которую можно тратить заемные средства, т.е. не имея на счете собственных денег. Более того, у US карт на кредитных картах зачастую нет вообще такого понятия, как положительный баланс - на них можно тратить только кредитные средства и погашать кредит. Чем выше у КХ Credit Score, тем большие кредитные лимиты дает банк. Обращу ваше внимание, что если на такой карте вы захотите прозвонить в банк, либо заролить и узнать баланс, то реально доступными дня траты средствами будет являться не account balance, а available credit
(20:16:00) Pustota: Дебетовая (Debit) - карта, которая привязана к банковскому счету (аккаунту) и является своего рода ключом к банковскому счету для удобства повседневных расчетов (очевидно, что, как метод совершения платежей, банковские аккаунты не так удобны, как карты). Списываются средства с дебеток только в пределах актуального баланса на БА (банковском аккаунте)
(20:17:02) Pustota: Предоплаченная (Prepaid) - карта с предварительно оплаченной суммой - смарт-карта, на которой хранятся электронные деньги, заранее внесенные туда владельцем карты. В использовании аналогичны дебиткам, но в отличии от них не связаны с банковскими аккаунтами. Зачастую встречаются у платежных систем вроде Payoneer и.т.д. Некоторые мерчи отказываются работать с prepaid-картами. Отмечу, что это наихудший вариант для работы, за исключением кейсов, когда вы четко знаете свойства такого бина, как с ним работать и что делать
(20:18:44) Pustota: Что касается уровней карт - их очень много и у разных банков и платежных систем они разные. От Classic до Black. Детальное описание в формате ликбеза каждого из уровней вы можете почитать в рабочей конференции на форуме, там должен быть соответствующий пост. С одной стороны, карты более высокого уровня говорят о более высоком статусе владельца и потенциально на них может находиться больше денег, чем на картах низких уровней. Однако, на практике это далеко не всегда так - к примеру, в моем арсенале есть бины Classic, на которых всегда очень много доступных средств, их холдеры в большинстве своем активны и такие карты позволяют списывать крупные суммы. С другой стороны, есть бины Platinum, на которых в среднем и денег мало и списывать транзакции с них получается со скрипом, а зачастую это вообще невозможно из-за повсеместных лимитов и злого банковского фрода
(20:19:18) Pustota: Таким образом, я хочу развеять популярный миф о том, что стоит стараться брать карты более высоких уровней - зачастую, это далеко не так (по крайней мере, при работе с US картами. В случае с EU картами, использование карт уровней Gold и выше оправдано и действительно показывает статистически лучшие результаты). Также хочу отметить, что далеко не всегда наличие доступных к трате средств на карте равно успешному вбиву и сейчас я дам развернутое объяснение, почему. Для этого рассмотрим детально всю кухню, происходящую при оплате картой и скрытую от глаз обывателя.
(20:19:34) Pustota: Процесс оплаты банковской картой в Интернете не такой простой, как кажется на первый взгляд. Допустим, вы проводите оплату в онлайн-магазине
(20:22:04) Pustota: Разберем основных участников процесса оплаты:
- КХ: кардхолдер, владелец карты, с которой совершается платеж;
- Мерчант: собственно, онлайн-точка продажи товара с расчетным счетом, куда в итоге должны поступить средства за товар. Многие путают мерчант и то, что правильнее называть payment gateway. Это разные сущности, однако на кардерском сленге для упрощения мы говорим о них, как о едином целом (о мерче);
- Payment Gateway (платежный шлюз) - технология, позволяющая связать мерчант с процессинговым центром и банком-эквайером;
- Процессинговый центр - высокотехнологичная система обработки платежей по банковским картам в сфере электронной коммерции. Принимает данные от платежных шлюзов, обрабатывает и перенаправляет их банку-эмитенту;
- Банк-эквайер (банк мерчанта) : банк, который является участником глобальной платежной системы (Visa/MC и.т.д.) и позволяет бизнесу принимать платежи при помощи банковских карт;
- Банк-эмитент (банк КХ) : банк, который также состоит в глобальной платежной системе и выдал карту холдеру;
- Глобальная платежная система (Visa/MC и.т.д.) - организация, регулирующая и производящая межбанковские взаиморасчеты. Простыми словами, позволяет перебросить деньги со счета банка-эмитента на счет банка-эквайера и разруливает весь происходящий при этом процесс.
(20:23:16) Pustota: После нажатия КХ кнопки Place Order, сначала данные попадают в антифрод-систему шопа.
И принимает решение о том, пропустить ли ордер дальше автоматом, отправить на ручной вериф либо дать инстант деклайн. На этом этапе в большинстве случаев данные карты еще не ушли дальше шопа
(20:24:13) Pustota: Если проверка антифродом успешно пройдена, либо менеджер вручную зааппрувил ордер, процесс оплаты продолжается. После аппрува ордера, ваши данные собираются, шифруются и передаются в платежный шлюз (Payment Gateway). В свою очередь, он оценивает транзакцию по своим критериям (у шлюзов есть свои антифрод-системы, позволяющие выявить подозрительные паттерны) и может сразу развернуть оплату
(20:25:18) Pustota: Допустим, транзакция КХ показалась шлюзу легитимной - в этом случае, он передает все данные дальше процессинговому центру. Процессинговый центр снова проводит проверку по своим критериям мошеннических транзакций и принимает решение о том, направлять ли транзакцию дальше. Если процессинговому центру все понравилось - транзакция идет через глобальную платежную систему к банку-эмитенту
(20:26:01) Pustota: Банк-эмитент анализирует транзакции КХ и в случае, если транзакция кажется ему из ряда вон выходящей (например, КХ никогда не покупал с карты ничего дороже $100, а вы вдруг пытаетесь вбить золотой слиток за $10k) - также может завернуть транзакцию (как минимум, до звонка КХ в банк и верифа такой транзакции, сопровождающегося обычно приличным количеством вопросов, ответы на которые в теории должны быть известны только КХ)
(20:26:26) Pustota: Банк-эмитент также смотрит на установленные холдером лимиты и, конечно же, наличие доступных собственных/кредитных средств
(20:27:27) Pustota: Если и банку-эмитенту кажется, что все в порядке, он передает положительный ответ в банк-эквайер обратно через глобальную платежную систему, тот, в свою очередь, возвращает результат успешной транзакции платежному шлюзу и шлюз сообщает напрямую вам и менеджерам шопа об успешной оплате.
(20:28:51) Pustota: Теперь вы понимаете, почему тот факт, что у вас на руках имеется карта с известным балансом, не дает вам уверенности в успешном вбиве? Вы имеете дело с многоступенчатым антифродом (шопа, платежного шлюза, процессингового центра и банков). Большая часть нашей деятельности при работе с картами заключается в том, чтобы все ступени антифрода научиться эффективно обходить. Это достаточно сложно, потому, что всегда есть много переменных, которые нам недоступны, но грамотно анализируя вбивы, рано или поздно мы находим уязвимости, которые и эксплуатируем, пока они не закроются
(20:30:02) Pustota: Если мы говорим о работе с картами, то у нас есть 2 основные сущности, которые мы должны правильно подобрать, чтобы обойти вышеназванные системы защиты. Первая - это техническая сторона, а именно - правильная настройка системы, имитирующая таковую реального холдера (включает, к примеру, системные языки, часовой пояс и т.д., подмену IP-адреса при помощи анонимайзеров (прокси-серверов, SSH-туннелей, OVPN/PPTP конфигов, прямого доступа к машинам ((H)RDP, (H)VNC и т.д.) и поведенческие факторы (имитацию действий реального пользователя). В дальнейших лекциях мы так или иначе будем затрагивать обе этих стороны применимо к различным направлениям в кардинге.
(19:21:07) Pustota: Каждый из вас так или иначе сталкивался в своей жизни с банковскими картами, но мало, кто задумывался, как работает процесс оплаты картой и какую информацию несет в себе сам пластик и информация, напечатанная (либо эмбоссированная) на нем
(19:21:36) Pustota: Первое, что начинающий кардер должен изучить, – базовую информацию о банковских картах в контексте нашей теневой деятельности.
(19:22:16) Pustota: Перед этим подчеркну, что любую информацию которую вы получаете в ходе работы будь то успешный или не успешный ордер - нужно записывать. Дабы в будущем сверяться с данными и не делать ошибок. Или банально что-то не забыть. Пример: https://i.imgur.com/U0PW3jL.jpg
(19:23:00) Pustota: Продолжим.
(19:23:31) Pustota: В нашем контексте CC (Credit Card, кредитная карта, картон и т.д) – заботливо угнанные данные реально существующей (либо виртуальной) карты холдера (владельца карты, КХ), не проживающего в странах СНГ
(19:24:09) Pustota: Где же нам достать картон? 3 основных варианта – купить в шопах, у приватных (или не очень) селлеров, либо добыть самому (с фейкового сайта, со снифера на реально существующем сайте, с ботнета, какой-либо взломанной БД либо с любого другого места, куда хватит вашей фантазии). О самостоятельной добыче речь сегодня не пойдет, это тема "со звездочкой" для самостоятельного освоения
(19:24:39) Pustota: Рассмотрим самый популярный и очевидный вариант с покупкой карты
(19:27:50) Pustota: При покупке вы получите картон примерно в таком формате:
4147400219040084 | 12/21 | 826 | Richard Lang | 56 Groveview Cir #302 | Rochester | 14612 | NY | USA | 661-298-0881 | [email protected]
Формат у каждого шопа/селлера отличается, где-то его можно кастомизировать, но основные моменты идентичны
В нашем примере 4147400219040084 – номер кредитной карты;
12/21 (12 месяц / 21 год) - дата окончания действия карты (Expiry/Expiration Date);
826 – защитный код карты CVV/CVV2/CVC;
Richard Lang – First и Last Name (имя, фамилия);
56 Groveview Cir – Address Line 1 (первая строка адреса);
#302 - Address Line 2 (вторая строка адреса). Обратите внимание, что название улицы и номер дома - это всегда Line 1, а номер квартиры/пристройки/офиса - это Line 2. Если дом частный, то Address Line 2 будет отсутствовать;
Rochester – город;
14612 – Zip code (зип, аналог нашего почтового индекса);
NY (New York) – штат;
USA – страна;
661-298-0881 – телефон;
[email protected] – email-адрес холдера.
(19:29:11) Pustota: Минимально необходимая информация для работы по большинству направлений - номер СС, Expiration Date, CVV, First/Last name, Address line 1, Zip code. Остановимся детальнее на номере карты, он содержит в себе важную информацию для работы
(19:30:16) Pustota: BIN (Bank Identification Number) – первые 6 цифр номера кредитной карты. Каждая банковская организация имеет пул уникальных номеров, которые присваиваются выданным ими картам. В этих номерах содержится информация о платежной системе (Visa/MC/AmEx/Discover и т.д.), банке-эмитенте, уровне карты (Classic/Gold/Platinum и т.д.), типе карты (Credit/Debit/Prepaid)
(19:31:06) Pustota: Первая цифра BIN определяет Major Industry Identifier (MII) - глобальную платежную систему, под управлением которой данная карта работает. Основные платежные системы, с которыми вам предстоит столкнуться, – AmEx (первая цифра карты начинается на 3), Visa (4), MasterCard (5), Discover (6)
(19:32:37) Pustota: Подробную информацию о бинах можно найти на сервисах вроде binlist.net, binov.net (последний очень удобен для масс поиска бинов и реверсивного поиска бинов по банкам, хотя базы несколько устарели на данный момент), также базы бинов встроены в большинство шопов CС.
Если мы пробьем BIN карты из примера выше (414740), увидим следующую информацию:
TYPE: VISA;
BANK: CHASE BANK USA, N.A.;
RANK: CREDIT;
TYPE: SIGNATURE;
COUNTRY: USA
RANK и TYPE мы разберем дальше по ходу лекции (тип и уровень карты), остальные данные очевидны исходя из названия
(19:35:02) Pustota: Остальные цифры карты, кроме последней, идентифицируют аккаунт холдера в банке, а последняя цифра - контрольная, предназначенная для валидации номера банковской карты по алгоритму Луна (Luhn Algorithm) - для нас эта информация имеет пользу только в том контексте, что рандомный набор цифр не может быть валидным номером карты, а опечатавшись на 1 цифру при вводе, мы 100% введем несуществующий номер карты. Также алгоритм Луна используется сервисами генерации псевдонастоящих данных (fake data / fake cc generators) и при валидации ввода (наверное, вы встречались со случаем, когда поле ввода номера карты "краснеет" и говорит о неправильном номере карты еще на этапе, когда вы печатаете номер). Теперь что касается непосредственно покупки карт в шопах
(19:36:11) Pustota: При покупке карт в большинстве шопов мы увидим такой параметр, как валидность базы, в которой карта поступила в шоп. Шопом/селлером она определяется так: берется рандомно некоторое количество карт и валидируется чекером. Допустим, из 10 карт вышло 7 валидных – *заявленная* валидность такой базы около 70%. Отмечу, что реальная валидность может сильно отличаться в зависимости от честности селлера/шопа, используемого чекера, метода добычи карт и того, насколько давно база была добыта и прочекана на валид
(19:37:39) Pustota: Чекер карт – сервис, который прогоняет карты через свои мерчи. Чекеры могут работать по-разному: с карты может преавторизоваться небольшая сумма ($1-2) через мерч чекера и возвращаться обратно через небольшой промежуток времени. Такой метод плох тем, что у холдера могут быть настроены нотификации на транзы и подозрительная транзакция может вынудить его заблокировать карту. Ну или он просто не вовремя может чекнуть bank statement (банковскую выписку, бывает доступна в бумажном виде, по звонку в банк, либо в онлайн-банкинге)
(19:38:23) Pustota: Более продвинутые чекеры используют бесчарджевую валидацию ($0 authorization), которая чаще всего проходит незаметно для холдера и дает ответ от платежной системы о валидности карты
(19:39:59) Pustota: Альтернативным способом прочекать карту на валидность является ее привязка к каким-либо сервисам (как пример - к гуглу, либо в любой другой сервис, куда карта вяжется в личный кабинет)
(19:40:23) Pustota: Это достаточно безопасный метод чека, который сводит риск смерти карты к минимуму при условии, что он тоже использует принцип бесчарджевой валидации
(19:41:54) Pustota: В нормальных шопах за невалидные карты предусмотрен рефанд – обычно на чек дается 5-15 минут. Чтобы минимизировать временные и финансовые потери, я рекомендую чекать карты после покупки и пытаться получить рефанд, если карта мертвая. Если вы не доверяете вашему методу чека карт (допустим, считаете, что он может убивать карты), можно чекать карту после вбива, чтобы свести к минимуму вероятность ее смерти от чека
(19:43:16) Pustota: Также стоит помнить, что встроенные в шопы чекеры зачастую портят карты значительно сильнее, чем ваши собственные методы чека, потому пользуйтесь ими только в том случае, если уверены, что карта невалид (алгоритм чаще всего такой: вы чекаете карту чекером шопа, если чекер шопа сообщает о преждевременной кончине карты, вы получаете рефанд; если же чекер говорит, что карта жива - то нет)
(19:44:39) Pustota: Также, хочу отметить, что однозначно самый безопасный метод чека карты - попытка ее заролить либо прозвонить на баланс (заролить - производное от Enroll (энролл)). Это понятие будет детально освещено в дальнейших лекциях, подразумевает получение доступа к онлайн-банкингу карты), либо прозвон в банк. В этом случае иногда может понадобиться пробить доп. инфу по карте (SSN (номер соц. страхования)/DoB (дату рождения холдера) или еще что-либо)
Пару слов о видах CC. Как я уже говорил выше, чаще всего в работе вам будут встречаться карты Visa, MasterCard, American Express, Discover
(19:45:48) Pustota: Из моего опыта, проще всего найти хорошие бины Visa и MC, однако в практике мне встречались и жирные бины амекса (однако, с последним есть своя специфика - быстрее идет чарджбек, что зачастую бывает губительно для вбивов. Нужно понимать, где такое пройдет, а где будет руинить вашу работу). Карты Discover, скорее, относятся к экзотике - но в некоторых направлениях их тоже используют
(19:46:02) Pustota: Карты Visa, MasterCard и Discover имеют по 16 цифр в номере карты и 3-х значные CVV-коды. У амекса же в номере карты 15 цифр и CVV 4-х значный
(19:47:11) Pustota: У карт некоторых стран (конкретно - USA, Canada, Australia, New Zealand и United Kingdom) предусмотрен механизм защиты AVS (Address Verification System), который сверяет адрес, использованный при совершении транзакции с таковым в банке-эмитенте. В том случае, если данные не совпадают (сверяются цифры в адресе и ZIP-коде), от банка приходит ответ AVS Mismatch и такая транзакция будет отклонена. Отсюда в дальнейшем вы столкнетесь с такими понятиями, как billing и shipping address, они будут затронуты в дальнейших лекциях
(19:48:51) Pustota: Но распишу вам для общего понятия:
(19:50:10) Pustota: AVS - Address Verification System должны были изучать, суть в том что если делаете транзакцию внутри страны (то есть банк эмитент карты той же страны что и магазин) у вас могут сверить цифровую часть адреса, и если он не совпадает будет decline, список стран у которых есть эта система запомните. То есть этой системы нет в РФ/EУ.
(19:51:12) Pustota: (прим. на корпоративных картах англии нет AVS, так же не все карты в usa/ca/au могут иметь такую защиту, в usa и ca почти все, в au реальнее найти без сверки)
(19:52:46) Pustota: При работе с картами рано или поздно вы столкнетесь с защитными механизмами 3D Secure
(19:53:30) Pustota: У карт Visa он называется Visa Secure / Verified by Visa (VBV); у MC - MasterCard Secure Code (MCSC), а у Amex - SafeKey. Соответственно у многих шлюзов есть свои аналоги.
(19:54:31) Pustota: 3Dsecure - Кажется обычно ее называют 3ий слой защиты, суть в том что вы вводите интернет пароль для покупок, я думаю вы уже с этим сталкивались при покупке с ваших карт, когда для подтверждения транзакции банк присылал вам sms код.
(19:55:38) Pustota: Что очень важно отметить, если вы сделали покупку с 3дс кодом, чарджбек ложиться полностью на плечи кардхолдера или банка, магазин ответственности не несет за эту операцию, то есть даже если кардхолдер спалит транзакцию маловероятно что на шоп это повлияет и он не отправит вам товар, но тут есть исключение (шоп который дорожит своей репутацией отменит).
(19:56:29) Pustota: То есть транзакции с 3дс кодом обладают высоким трастом (исключение USA ввиду того что там интернет пароль зачастую статичный, то есть к примеру как пароль от email, и его можно сбросить).
(19:57:39) Pustota: Чуть проясню https://imgur.com/1KQzbTx это окно ввода 3дс кода у USA банка, но вместо смс вас просит банк ввести информацию по карте+зип код.
(19:58:18) Pustota: В общем то 3ds самый распространенный тип защиты, в большинстве стран у мерчантов в шопах подключен он у карт
(19:58:53) Pustota: То есть если у мерчанта не подключена эта защита, а на карте она стоит то транзакция пройдет без 3дс, так как это не было инициировано шопом.
Разберем момент 3Ds более подробно:
(20:00:34) Pustota: Данные механизмы призваны значительно сократить процент неавторизованных/мошеннических операций с картами путем добавления дополнительного метода подтверждения транзакции, не связанного с самой картой. В случае вбива в мерч с активированной системой 3DS, при проведении транзакции вы будете перенаправлены на страницу ввода статичного кода, который должен быть известен холдеру, либо одноразового кода, отправляемого холдеру по SMS/e-mail
(20:01:42) Pustota: Статичные коды будут неизвестны вам при покупке карты, однако, для некоторых бинов их можно сбросить. Бины, где такое можно провернуть, называются бинами со сбросом VBV
(20:02:50) Pustota: Также, встречаются бины, которые проходят VBV автоматически. Выглядит это так: во время проведения транзакции, вы попадаете на страницу VBV, аналогичную таковой для вышеперечисленных бинов, но сам код VBV у вас не запрашивает. В это время банк-эмитент оценивает вашу транзакцию по своим антифрод-критериям и дает ответ мерчу, прошли вы проверку VBV, либо нет. Такие бины называются автовбв. Также, иногда автовбв карты встречаются у банков, которые просто еще не имплементировали защиту с помощью 3DS, в таких банках процент успешного прохождения VBV будет выше. Обычно это небольшие банки (чаще всего - Credit Union'ы)
(20:03:51) Pustota: Если вы работаете по вещевухе с US шопами и наткнулись на шоп с VBV/MCSC, проще всего на такой шоп забить и найти другой. Если же вы бьете какой-либо сервис, где VBV обязателен (например, Airbnb), либо работаете по EU - там уже нужно искать бины со сбросом/автовбв, которые будут лезть в мерч вашего сервиса/шопа
(20:04:22) Pustota: 3дс код в USA зачастую статичен, как правило это либо zip/ssn либо zip+ssn, либо он может быть задан кардхолдером, но зачастую его можно сбросить (увидите пункт reset).
(20:05:02) Pustota: Так вот в eu/ca/au и возможно в других регионах так же можно найти карты у которых можно сбросить статичный пароль(при условия что он статичный а не смс или токен и есть пункт reset) но сколько средств вы потратите в поисках этого никто не может сказать)
(20:06:06) Pustota: Разве что в UK шанс выше найти что-то со сбросом так как в свое время там было очень много бинов со сменой пароля 3дс по DOB.
(20:08:16) Pustota: Раньше было много бинов со сбросом 3дс пароля, по добу,зипу (данным которые пробивались по открытым источникам) сейчас я говорю про европу и англию, на данный момент как я уже говорила таких бинов стало меньше, но найти их реально , я бы начинала с англии и италии,но это субъективно. На данный момент многие уже ушли от этого, и сейчас либо смс либо 2FA токены (типо 2FA приложения Google) Но если стоит смс то варианты есть, и в мире уже с 2017-2018 года трубят что надо отказываться от подтверждения по номеру телефона, поэтому вероятное через 2-3 года масса банков перейдет на токены.
(20:09:10) Pustota: Но если стоит смс то варианты есть, и в мире уже с 2017-2018 года трубят что надо отказываться от подтверждения по номеру телефона, поэтому вероятное через 2-3 года масса банков перейдет на токены.
(20:10:03) Pustota: Вот как выглядит 3ds окно и принципы защиты по еу:
(20:10:17) Pustota: А вот здесь после ввода 3ds кода,дополнительно запросило номер счета https://i.imgur.com/vAMZB6S.png
(20:11:12) Pustota: Методы работы с EU матом вам дадут на лекции по отелям и авиа, т.к. все эти направления очень плотно связанны между собой. Небольшая хитрость чтобы определить наличие 3дс у магазина надо взять карту у которой установлена эта защита и провести транзакцию,желательно не типичную чтобы не сработал auto3ds, таким образом можно проходить списки шопов, либо же узнавать какой мерчант у шопа и читать на их официальном сайте документацию.
(20:11:56) Pustota: Так же при работе с картами европы в америке - стоит уточнять у саппорта есть ли у них возможность оплачивать картами других стран. Т.к если транза пойдет дальше - банк её может не пропустить и там спасёт только прозвон. Поэтому - общаемся с поддержкой.
(20:12:25) Pustota: Если говорить о других странах nonUSA, можно выделить следующее: Это Латинская Америка, Евросоюз, СНГ, Азия, Австралия, Африка.
(20:13:07) Pustota: Можно еще выделить Арабские страны и Индию, Англию (прим. лекция ранее была о европе и азии, но я решил включить весь мир, но справедливости ради скажу что работал в основном по юса/еу/азия). Вы должны смотреть информацию касательно регионов в интернете. Могут быть разные ситуации в странах, влияние и пр. Проще говоря нужно уметь пользоваться гуглом. https://habr.com/ru/sandbox/46956/
(20:14:14) Pustota: Как уже писал выше, в основном я работал с юса/еу/азия ,поэтому эти направления будут более подробно разобраны, в остальных регионах +- такая же ситуация как в еу и азии
(20:14:20) Pustota: Поговорим немного о типах и уровнях СС
(20:15:28) Pustota: Кредитная (Credit) - карта, на которую можно тратить заемные средства, т.е. не имея на счете собственных денег. Более того, у US карт на кредитных картах зачастую нет вообще такого понятия, как положительный баланс - на них можно тратить только кредитные средства и погашать кредит. Чем выше у КХ Credit Score, тем большие кредитные лимиты дает банк. Обращу ваше внимание, что если на такой карте вы захотите прозвонить в банк, либо заролить и узнать баланс, то реально доступными дня траты средствами будет являться не account balance, а available credit
(20:16:00) Pustota: Дебетовая (Debit) - карта, которая привязана к банковскому счету (аккаунту) и является своего рода ключом к банковскому счету для удобства повседневных расчетов (очевидно, что, как метод совершения платежей, банковские аккаунты не так удобны, как карты). Списываются средства с дебеток только в пределах актуального баланса на БА (банковском аккаунте)
(20:17:02) Pustota: Предоплаченная (Prepaid) - карта с предварительно оплаченной суммой - смарт-карта, на которой хранятся электронные деньги, заранее внесенные туда владельцем карты. В использовании аналогичны дебиткам, но в отличии от них не связаны с банковскими аккаунтами. Зачастую встречаются у платежных систем вроде Payoneer и.т.д. Некоторые мерчи отказываются работать с prepaid-картами. Отмечу, что это наихудший вариант для работы, за исключением кейсов, когда вы четко знаете свойства такого бина, как с ним работать и что делать
(20:18:44) Pustota: Что касается уровней карт - их очень много и у разных банков и платежных систем они разные. От Classic до Black. Детальное описание в формате ликбеза каждого из уровней вы можете почитать в рабочей конференции на форуме, там должен быть соответствующий пост. С одной стороны, карты более высокого уровня говорят о более высоком статусе владельца и потенциально на них может находиться больше денег, чем на картах низких уровней. Однако, на практике это далеко не всегда так - к примеру, в моем арсенале есть бины Classic, на которых всегда очень много доступных средств, их холдеры в большинстве своем активны и такие карты позволяют списывать крупные суммы. С другой стороны, есть бины Platinum, на которых в среднем и денег мало и списывать транзакции с них получается со скрипом, а зачастую это вообще невозможно из-за повсеместных лимитов и злого банковского фрода
(20:19:18) Pustota: Таким образом, я хочу развеять популярный миф о том, что стоит стараться брать карты более высоких уровней - зачастую, это далеко не так (по крайней мере, при работе с US картами. В случае с EU картами, использование карт уровней Gold и выше оправдано и действительно показывает статистически лучшие результаты). Также хочу отметить, что далеко не всегда наличие доступных к трате средств на карте равно успешному вбиву и сейчас я дам развернутое объяснение, почему. Для этого рассмотрим детально всю кухню, происходящую при оплате картой и скрытую от глаз обывателя.
(20:19:34) Pustota: Процесс оплаты банковской картой в Интернете не такой простой, как кажется на первый взгляд. Допустим, вы проводите оплату в онлайн-магазине
(20:22:04) Pustota: Разберем основных участников процесса оплаты:
- КХ: кардхолдер, владелец карты, с которой совершается платеж;
- Мерчант: собственно, онлайн-точка продажи товара с расчетным счетом, куда в итоге должны поступить средства за товар. Многие путают мерчант и то, что правильнее называть payment gateway. Это разные сущности, однако на кардерском сленге для упрощения мы говорим о них, как о едином целом (о мерче);
- Payment Gateway (платежный шлюз) - технология, позволяющая связать мерчант с процессинговым центром и банком-эквайером;
- Процессинговый центр - высокотехнологичная система обработки платежей по банковским картам в сфере электронной коммерции. Принимает данные от платежных шлюзов, обрабатывает и перенаправляет их банку-эмитенту;
- Банк-эквайер (банк мерчанта) : банк, который является участником глобальной платежной системы (Visa/MC и.т.д.) и позволяет бизнесу принимать платежи при помощи банковских карт;
- Банк-эмитент (банк КХ) : банк, который также состоит в глобальной платежной системе и выдал карту холдеру;
- Глобальная платежная система (Visa/MC и.т.д.) - организация, регулирующая и производящая межбанковские взаиморасчеты. Простыми словами, позволяет перебросить деньги со счета банка-эмитента на счет банка-эквайера и разруливает весь происходящий при этом процесс.
(20:23:16) Pustota: После нажатия КХ кнопки Place Order, сначала данные попадают в антифрод-систему шопа.
И принимает решение о том, пропустить ли ордер дальше автоматом, отправить на ручной вериф либо дать инстант деклайн. На этом этапе в большинстве случаев данные карты еще не ушли дальше шопа
(20:24:13) Pustota: Если проверка антифродом успешно пройдена, либо менеджер вручную зааппрувил ордер, процесс оплаты продолжается. После аппрува ордера, ваши данные собираются, шифруются и передаются в платежный шлюз (Payment Gateway). В свою очередь, он оценивает транзакцию по своим критериям (у шлюзов есть свои антифрод-системы, позволяющие выявить подозрительные паттерны) и может сразу развернуть оплату
(20:25:18) Pustota: Допустим, транзакция КХ показалась шлюзу легитимной - в этом случае, он передает все данные дальше процессинговому центру. Процессинговый центр снова проводит проверку по своим критериям мошеннических транзакций и принимает решение о том, направлять ли транзакцию дальше. Если процессинговому центру все понравилось - транзакция идет через глобальную платежную систему к банку-эмитенту
(20:26:01) Pustota: Банк-эмитент анализирует транзакции КХ и в случае, если транзакция кажется ему из ряда вон выходящей (например, КХ никогда не покупал с карты ничего дороже $100, а вы вдруг пытаетесь вбить золотой слиток за $10k) - также может завернуть транзакцию (как минимум, до звонка КХ в банк и верифа такой транзакции, сопровождающегося обычно приличным количеством вопросов, ответы на которые в теории должны быть известны только КХ)
(20:26:26) Pustota: Банк-эмитент также смотрит на установленные холдером лимиты и, конечно же, наличие доступных собственных/кредитных средств
(20:27:27) Pustota: Если и банку-эмитенту кажется, что все в порядке, он передает положительный ответ в банк-эквайер обратно через глобальную платежную систему, тот, в свою очередь, возвращает результат успешной транзакции платежному шлюзу и шлюз сообщает напрямую вам и менеджерам шопа об успешной оплате.
(20:28:51) Pustota: Теперь вы понимаете, почему тот факт, что у вас на руках имеется карта с известным балансом, не дает вам уверенности в успешном вбиве? Вы имеете дело с многоступенчатым антифродом (шопа, платежного шлюза, процессингового центра и банков). Большая часть нашей деятельности при работе с картами заключается в том, чтобы все ступени антифрода научиться эффективно обходить. Это достаточно сложно, потому, что всегда есть много переменных, которые нам недоступны, но грамотно анализируя вбивы, рано или поздно мы находим уязвимости, которые и эксплуатируем, пока они не закроются
(20:30:02) Pustota: Если мы говорим о работе с картами, то у нас есть 2 основные сущности, которые мы должны правильно подобрать, чтобы обойти вышеназванные системы защиты. Первая - это техническая сторона, а именно - правильная настройка системы, имитирующая таковую реального холдера (включает, к примеру, системные языки, часовой пояс и т.д., подмену IP-адреса при помощи анонимайзеров (прокси-серверов, SSH-туннелей, OVPN/PPTP конфигов, прямого доступа к машинам ((H)RDP, (H)VNC и т.д.) и поведенческие факторы (имитацию действий реального пользователя). В дальнейших лекциях мы так или иначе будем затрагивать обе этих стороны применимо к различным направлениям в кардинге.
