Friend
Professional
- Messages
- 2,653
- Reaction score
- 842
- Points
- 113
Для тех, кто следит за моими руководствами по кардингу на форуме, вы знакомы с моим акцентом на разведку перед тем, как зайти на какой-либо сайт. Поток сообщений в личку, о более глубоком погружении в этот процесс, наконец, утомил меня. Итак, вот мы, собираемся препарировать искусство цифровой разведки.
Это руководство является частью 1 нашего глубокого погружения в разведку. Мы рассмотрим основы и дадим вам представление о техническом подходе. В следующей части мы углубимся в техническую сторону, показав вам, как использовать такие инструменты, как Burp Suite и Caido, чтобы действительно понять, с чем вы столкнулись.
Большинство новичков-кардеров не могут дождаться, чтобы протестировать свои блестящие новые карты, с нетерпением ожидая, чтобы набрать заказы, как только они получат немного пластика. Это экспресс-билет на то, чтобы ваши транзакции были заблокированы, а ваш цифровой отпечаток помечен.
Опытные игроки понимают, что настоящая битва происходит задолго до того, как вы даже подумаете об этой кнопке «Оплатить». Речь идет о том, чтобы препарировать свою цель, понять ее работу и найти слабые места. С какими мерами безопасности вы сталкиваетесь? Есть ли какие-либо уязвимости в их системе, которые можно использовать? Какие стратегии оказались эффективными для других?
Это руководство — ваш ускоренный курс по освоению цифровой разведки. Не ждите пошагового руководства по «Мошенничеству для чайников». Мы развиваем навыки и менталитет, необходимые для анализа потенциальных отметок с хирургической точностью.
Мы переходим от сканирования на уровне поверхности к краткому обзору технического зондирования. К тому времени, как мы закончим обе части, вы будете готовы составить обширный отчет по разведданным по любому сайту, на который вы смотрите.
В этой игре информация правит бал. Чем больше данных вы соберете, тем выше ваши шансы на успешный удар и тем меньше вероятность быть пойманным с ослабленной обороной. Так что сосредоточьтесь — пришло время превратиться из неуклюжего любителя в цифрового гения
Почему разведка?
Так почему же разведка так важна? Давайте разберемся. Во-первых, она значительно повышает ваши показатели успеха. Я не могу сосчитать, сколько раз я был свидетелем того, как идиоты тратили высококачественные карты, пытаясь пробиться через сайт методом грубой силы, когда простая разведка показала бы, что они проводили дополнительную проверку на той неделе из-за возросшего мошенничества. Это потенциально тысячи долларов на ветер, потому что кто-то не удосужился сделать свою домашнюю работу.
Разведка также помогает вам избегать распространенных ловушек. Вы когда-нибудь пытались взломать сайт, только чтобы узнать, что они используют 3D Secure для каждой транзакции? Или что у них есть жесткий лимит на суммы покупок для новых учетных записей? Вот такое дерьмо раскрывает правильная разведка.
Но, возможно, самое главное, хорошая разведка позволяет вам адаптировать свой подход. У каждого сайта есть свои причуды, и кардинг по принципу «один размер для всех» — это рецепт неудачи. Возьмем, к примеру, Walmart. Поверхностная проверка может показать, что они разрешают изменение адреса после покупки. Копните глубже, и вы обнаружите, что они разрешают это только для определенных категорий продуктов. Вооружившись этими знаниями, вы можете сосредоточиться на этих конкретных категориях, что значительно увеличит ваши шансы на успешный вбив.
Позвольте мне донести эту мысль на примере из реальной жизни. В прошлом месяце какой-то наглый ублюдок в одной из моих групп решил, что он собирается сильно ударить по продавцу комплектующих для ПК, потому что ему много раз везло с ним. У него была новая партия из 50 карт премиум-класса стоимостью около 25 долларов за карту. Не проводя никакой разведки, он включил свой антидетект и начал размещать заказы на высококлассные графические процессоры.
Результат? 48 отклонений и отмен из 50 попыток. Оказалось, что сайт недавно сотрудничал с Signifyd для предотвращения мошенничества, и они тщательно проверяли заказы на дорогостоящую электронику, как ревнивая подружка, проверяющая телефон своего мужчины. Этот придурок не только потратил впустую карты на сумму более тысячи долларов, но и сжег гигабайты резидентных прокси-серверов и потратил впустую добрых 2 дня своей жизни. И все потому, что он не удосужился потратить час на надлежащую разведку.
Проверки уровня поверхности
Хорошо, прежде чем мы погрузимся в техническую часть, давайте поговорим об основах. Эти проверки на уровне поверхности — ваша первая линия разведки, и они могут спасти вашу задницу чаще, чем вы думаете.
Лазейки в проверке электронной почты
Сначала проверьте, можете ли вы зарегистрироваться с помощью любого адреса электронной почты без проверки. Это чертовски здорово по нескольким причинам. Если сайт позволяет вам оформлять заказ с помощью любого адреса электронной почты, вы можете использовать адрес электронной почты держателя карты. Почему? Потому что это заставляет их систему мошенничества пускать слюни от радости. «О, смотрите, это тот же адрес электронной почты, который мы видели тысячу раз! Должно быть, он настоящий!»
Чтобы проверить это, просто попробуйте зарегистрироваться с помощью дерьмового адреса электронной почты. Если он позволяет вам продолжить без отправки ссылки для проверки, вы в деле. Этот трюк спасал мою задницу больше раз, чем я могу сосчитать, особенно на сайтах с обнаружением анального мошенничества.
Изменение адреса после заказа
Далее следует посмотреть, можно ли изменить адрес доставки после покупки. Это влажная мечта кардера. Вы размещаете заказ с адресом держателя карты, чтобы выставление счетов и доставка совпадали, как хороший маленький клиент. Затем, как только он будет одобрен, вы меняете адрес доставки на своего дропа.
Чтобы проверить это, загуглите «Изменить адрес доставки [ИМЯ САЙТА]» или зайдите на Reddit. Поищите опыт других людей. Если вы чувствуете себя особенно дотошным, разместите дешевый заказ и попробуйте изменить его самостоятельно. Не получилось? Зайдите в службу поддержки клиентов и спросите об изменении адреса доставки. Их ответ скажет вам все, что вам нужно знать.
Время ответа и политика службы поддержки клиентов
Говоря о службе поддержки клиентов, почувствуйте, как они работают. Быстро ли они отвечают? Используют ли они тикеты или чат в реальном времени? Эта информация имеет решающее значение, если вам нужно вытащить какую-нибудь ерунду после заказа.
Попробуйте связаться с ними с глупым вопросом и посмотрите, сколько времени им потребуется, чтобы ответить. Обратите внимание также на их часы работы. Нет ничего хуже, чем зависнуть в подвешенном состоянии из-за того, что служба поддержки клиентов не работает в этот день.
Политика в отношении подарочных карт и цифровых товаров
Если вы смотрите на подарочные карты или цифровые товары, обратите на это особое внимание. Изучите их политику изменения адреса электронной почты получателя для этих заказов. Почему? Потому что так же, как и при использовании адреса электронной почты держателя карты для обычных заказов, вы можете использовать его и для заказов подарочных карт.
Суть здесь в том, чтобы заказать подарочную карту на адрес электронной почты держателя карты, а затем переключить ее на свой после одобрения. Amazon — лучший пример этого трюка, но множество других сайтов тоже попадаются на него.
Помните, эти поверхностные проверки — это всего лишь закуска. Они быстрые и простые, и часто их можно выполнить, не поднимая никаких красных флажков. Но не останавливайтесь на этом. Это всего лишь закладка фундамента для более глубокого технического исследования, к которому мы перейдем далее.
Эти проверки могут показаться простыми, но они спасали мою задницу больше раз, чем я могу сосчитать. Не будьте идиотом, который пропускает этот шаг и тратит высококачественные карты на легко избегаемую ерунду. Не торопитесь, сделайте работу и настройте себя на успех, прежде чем даже подумаете нажать кнопку оформления заказа.
Техническая разведка
Теперь, когда мы рассмотрели основы, давайте погрузимся в техническую сторону разведки. По сути, техническая разведка сводится к раскрытию двух важных частей информации: платежного процессора и системы защиты от мошенничества, которую реализует сайт.
Почему это важно? Потому что знание этого позволяет нам настраивать наш подход с хирургической точностью. Допустим, сайт использует Stripe. Если ваши карты были пропущены через другие магазины, работающие на Stripe (например, Shopify), вы можете захотеть отложить эти карты для этого удара. Почему? Потому что у Stripes память как у слона, и он быстро пометит эти карты.
У разных систем защиты от мошенничества тоже разные причуды. Например, Forter встает на историю транзакций. Signifyd, с другой стороны, относится к адресам электронной почты так, будто они — Святой Грааль. Знание этих причуд может сделать или погубить вашу операцию.
Так как же нам раскрыть эту золотую жилу информации? В нашем наборе инструментов есть три основных инструмента: Caido, Burp Suite и старые добрые инструменты разработчика Chrome (в частности, вкладка «Сеть»).
Эти инструменты позволяют нам заглянуть под капот веб-сайта, показывая нам запросы и ответы, летающие туда-сюда между нашим браузером и их системой. Это как рентгеновское зрение для веб-сайтов. Мы можем видеть, какой JavaScript они внедряют в нашу сессию, какие данные отправляют им (например, наши отпечатки пальцев или даже наши чертовы движения мыши) и многое другое.
Caido и Burp Suite здесь — большие пушки. Это полнофункциональные прокси-серверы перехвата, которые дают вам божественный контроль над трафиком HTTP/S. Инструменты разработчика Chrome, хотя и не такие мощные, встроены прямо в ваш браузер и все равно могут раскрыть кучу полезной фигни.
Теперь я знаю, что некоторые из вас, вероятно, истекают слюной при мысли о том, чтобы погрузиться глубже в эту техническую штуку. Но придержите коней. Объяснять все тонкости этих инструментов и как интерпретировать данные, которые они выдают? Это совсем другое дело. Мы бы здесь были весь день, а у меня есть дела поважнее, чем писать роман.
Так вот в чем дело: мы собираемся рассмотреть все это сочное техническое дерьмо во второй части этого руководства. Мы рассмотрим каждый инструмент, покажем, как их использовать и, что самое важное, как интерпретировать то, что вы найдете. Мы разберем примеры из реального мира, показывая вам, на что именно следует обращать внимание, когда вы проводите собственную разведку.
А пока просто поймите, что эти инструменты существуют и что они могут для вас сделать. Они — разница между тем, чтобы идти вслепую, и тем, чтобы иметь план защиты сайта.
Вторичные источники
В то время как техническая разведка предоставляет вам факты, вторичные источники заполняют пробелы реальной информацией. Здесь вы становитесь цифровым детективом, собирающим пазл из интернета.
Для начала попрактикуйтесь в Google fu. Не просто ищите название компании, копайте глубже. Ищите годовые отчеты, пресс-релизы и технические блоги. Они могут раскрыть всевозможные полезные сведения об их платежных системах, обновлениях безопасности или даже утечках данных. Компания хвастается своим новым обнаружением мошенничества на основе искусственного интеллекта? Это ваш сигнал быть осторожным.
Reddit и форумы — это золото. Найдите название сайта и ключевые слова, такие как проблема с заказом, «мошенничество» или «учетная запись заблокирована». Вы найдете множество разгневанных клиентов, описывающих свой опыт. Ищите закономерности. Если несколько пользователей сообщают о блокировке своих учетных записей после смены адреса доставки, вы знаете, как избежать этого трюка.
Не упускайте из виду и небольшие форумы. Иногда лучшая информация приходит из неожиданных мест. Однажды я обнаружил серьезное слабое место в системе крупного розничного продавца электроники, скрытое в теме на форуме по сборке ПК.
Социальные сети — это ваше окно в практику обслуживания клиентов. Следите за Twitter и FB компании. Посмотрите, как они реагируют на жалобы. Быстро ли они предлагают возврат средств? Есть ли у них специальная команда по борьбе с мошенничеством? Эта информация может быть полезна при планировании вашей стратегии.
Проверьте также их списки вакансий. Компания, нанимающая сотрудников на должности по предотвращению мошенничества, может ужесточать меры. Компания, увольняющая свою команду по предотвращению потерь, может стать легкой добычей.
Помните, что цель здесь не только в сборе информации, но и в получении полной картины вашей цели. Как они решают споры? Что вызывает у них мошеннические сигналы? Какие лазейки успешно использовали другие?
Не смотрите только на последние сообщения. Иногда старая информация так же ценна. Предотвращение мошенничества в компании могло измениться, но основные политики остались прежними.
Все это требует времени и терпения. Но поверьте мне, когда я говорю, что это того стоит. Я видел, как кардеры проворачивали шестизначные мошеннические операции, потому что находили одну маленькую деталь в комментарии Reddit годовой давности.
Речь идет не только о том, чтобы не попасться, а о том, чтобы разработать идеальный подход. Чем больше вы знаете о своей цели, тем больше вы можете настроить свой подход. Возможно, вы обнаружите, что они снисходительны к новым клиентам или никогда не проверяют заказы ниже определенной суммы. Это тот тип разведданных, который превращает рискованное нападение в гладкую операцию.
Так что прежде чем вы даже подумаете о заказе, сделайте свою домашнюю работу. Прочесывайте каждый уголок интернета. Создайте профиль вашей цели, который заставил бы ЦРУ позавидовать. Потому что в этой игре информация — это не просто власть, это прибыль.
Собираем все вместе
Хорошо, давайте замкнем круг. Мы рассмотрели основы разведки, от проверок на уровне поверхности до небольшого технического зондирования и поиска во вторичных источниках. Но знание этих вещей — это только половина истории. Настоящее мастерство — объединить все эти разведданные в стратегию.
Прежде чем вы даже подумаете о размещении заказа, соберите все, что вы узнали о своей цели. Создайте предварительный контрольный список, специально предназначенный для места, которое вы собираетесь атаковать. Это не просто упражнение для галочки — это ваш план битвы.
Ваш контрольный список должен охватывать:
Помните, разведка — это не одноразовое дело. Кардинг-ландшафт постоянно меняется. То, что работало вчера, может привести к тому, что вас сегодня пометят. Будьте начеку, следите за своей информацией и никогда не прекращайте учиться.
В части 2 мы глубже погрузимся в техническую сторону разведки. А пока начните практиковать эти приемы. Развивайте свои навыки, оттачивайте инстинкты и подходите к каждому потенциальному удару как профессионал.
Потому что в этой игре разница между успехом и неудачей часто сводится к работе, которую вы делаете до того, как нажмете на кнопку оформления заказа.
А теперь идите и начинай считать, будто от этого зависят ваши деньги — потому что так оно и есть.
Это руководство является частью 1 нашего глубокого погружения в разведку. Мы рассмотрим основы и дадим вам представление о техническом подходе. В следующей части мы углубимся в техническую сторону, показав вам, как использовать такие инструменты, как Burp Suite и Caido, чтобы действительно понять, с чем вы столкнулись.
Большинство новичков-кардеров не могут дождаться, чтобы протестировать свои блестящие новые карты, с нетерпением ожидая, чтобы набрать заказы, как только они получат немного пластика. Это экспресс-билет на то, чтобы ваши транзакции были заблокированы, а ваш цифровой отпечаток помечен.
Опытные игроки понимают, что настоящая битва происходит задолго до того, как вы даже подумаете об этой кнопке «Оплатить». Речь идет о том, чтобы препарировать свою цель, понять ее работу и найти слабые места. С какими мерами безопасности вы сталкиваетесь? Есть ли какие-либо уязвимости в их системе, которые можно использовать? Какие стратегии оказались эффективными для других?
Это руководство — ваш ускоренный курс по освоению цифровой разведки. Не ждите пошагового руководства по «Мошенничеству для чайников». Мы развиваем навыки и менталитет, необходимые для анализа потенциальных отметок с хирургической точностью.
Мы переходим от сканирования на уровне поверхности к краткому обзору технического зондирования. К тому времени, как мы закончим обе части, вы будете готовы составить обширный отчет по разведданным по любому сайту, на который вы смотрите.
В этой игре информация правит бал. Чем больше данных вы соберете, тем выше ваши шансы на успешный удар и тем меньше вероятность быть пойманным с ослабленной обороной. Так что сосредоточьтесь — пришло время превратиться из неуклюжего любителя в цифрового гения
Почему разведка?
Так почему же разведка так важна? Давайте разберемся. Во-первых, она значительно повышает ваши показатели успеха. Я не могу сосчитать, сколько раз я был свидетелем того, как идиоты тратили высококачественные карты, пытаясь пробиться через сайт методом грубой силы, когда простая разведка показала бы, что они проводили дополнительную проверку на той неделе из-за возросшего мошенничества. Это потенциально тысячи долларов на ветер, потому что кто-то не удосужился сделать свою домашнюю работу.
Разведка также помогает вам избегать распространенных ловушек. Вы когда-нибудь пытались взломать сайт, только чтобы узнать, что они используют 3D Secure для каждой транзакции? Или что у них есть жесткий лимит на суммы покупок для новых учетных записей? Вот такое дерьмо раскрывает правильная разведка.
Но, возможно, самое главное, хорошая разведка позволяет вам адаптировать свой подход. У каждого сайта есть свои причуды, и кардинг по принципу «один размер для всех» — это рецепт неудачи. Возьмем, к примеру, Walmart. Поверхностная проверка может показать, что они разрешают изменение адреса после покупки. Копните глубже, и вы обнаружите, что они разрешают это только для определенных категорий продуктов. Вооружившись этими знаниями, вы можете сосредоточиться на этих конкретных категориях, что значительно увеличит ваши шансы на успешный вбив.
Позвольте мне донести эту мысль на примере из реальной жизни. В прошлом месяце какой-то наглый ублюдок в одной из моих групп решил, что он собирается сильно ударить по продавцу комплектующих для ПК, потому что ему много раз везло с ним. У него была новая партия из 50 карт премиум-класса стоимостью около 25 долларов за карту. Не проводя никакой разведки, он включил свой антидетект и начал размещать заказы на высококлассные графические процессоры.
Результат? 48 отклонений и отмен из 50 попыток. Оказалось, что сайт недавно сотрудничал с Signifyd для предотвращения мошенничества, и они тщательно проверяли заказы на дорогостоящую электронику, как ревнивая подружка, проверяющая телефон своего мужчины. Этот придурок не только потратил впустую карты на сумму более тысячи долларов, но и сжег гигабайты резидентных прокси-серверов и потратил впустую добрых 2 дня своей жизни. И все потому, что он не удосужился потратить час на надлежащую разведку.
Проверки уровня поверхности
Хорошо, прежде чем мы погрузимся в техническую часть, давайте поговорим об основах. Эти проверки на уровне поверхности — ваша первая линия разведки, и они могут спасти вашу задницу чаще, чем вы думаете.
Лазейки в проверке электронной почты
Сначала проверьте, можете ли вы зарегистрироваться с помощью любого адреса электронной почты без проверки. Это чертовски здорово по нескольким причинам. Если сайт позволяет вам оформлять заказ с помощью любого адреса электронной почты, вы можете использовать адрес электронной почты держателя карты. Почему? Потому что это заставляет их систему мошенничества пускать слюни от радости. «О, смотрите, это тот же адрес электронной почты, который мы видели тысячу раз! Должно быть, он настоящий!»
Чтобы проверить это, просто попробуйте зарегистрироваться с помощью дерьмового адреса электронной почты. Если он позволяет вам продолжить без отправки ссылки для проверки, вы в деле. Этот трюк спасал мою задницу больше раз, чем я могу сосчитать, особенно на сайтах с обнаружением анального мошенничества.
Изменение адреса после заказа
Далее следует посмотреть, можно ли изменить адрес доставки после покупки. Это влажная мечта кардера. Вы размещаете заказ с адресом держателя карты, чтобы выставление счетов и доставка совпадали, как хороший маленький клиент. Затем, как только он будет одобрен, вы меняете адрес доставки на своего дропа.
Чтобы проверить это, загуглите «Изменить адрес доставки [ИМЯ САЙТА]» или зайдите на Reddit. Поищите опыт других людей. Если вы чувствуете себя особенно дотошным, разместите дешевый заказ и попробуйте изменить его самостоятельно. Не получилось? Зайдите в службу поддержки клиентов и спросите об изменении адреса доставки. Их ответ скажет вам все, что вам нужно знать.
Время ответа и политика службы поддержки клиентов
Говоря о службе поддержки клиентов, почувствуйте, как они работают. Быстро ли они отвечают? Используют ли они тикеты или чат в реальном времени? Эта информация имеет решающее значение, если вам нужно вытащить какую-нибудь ерунду после заказа.
Попробуйте связаться с ними с глупым вопросом и посмотрите, сколько времени им потребуется, чтобы ответить. Обратите внимание также на их часы работы. Нет ничего хуже, чем зависнуть в подвешенном состоянии из-за того, что служба поддержки клиентов не работает в этот день.
Политика в отношении подарочных карт и цифровых товаров
Если вы смотрите на подарочные карты или цифровые товары, обратите на это особое внимание. Изучите их политику изменения адреса электронной почты получателя для этих заказов. Почему? Потому что так же, как и при использовании адреса электронной почты держателя карты для обычных заказов, вы можете использовать его и для заказов подарочных карт.
Суть здесь в том, чтобы заказать подарочную карту на адрес электронной почты держателя карты, а затем переключить ее на свой после одобрения. Amazon — лучший пример этого трюка, но множество других сайтов тоже попадаются на него.
Помните, эти поверхностные проверки — это всего лишь закуска. Они быстрые и простые, и часто их можно выполнить, не поднимая никаких красных флажков. Но не останавливайтесь на этом. Это всего лишь закладка фундамента для более глубокого технического исследования, к которому мы перейдем далее.
Эти проверки могут показаться простыми, но они спасали мою задницу больше раз, чем я могу сосчитать. Не будьте идиотом, который пропускает этот шаг и тратит высококачественные карты на легко избегаемую ерунду. Не торопитесь, сделайте работу и настройте себя на успех, прежде чем даже подумаете нажать кнопку оформления заказа.
Техническая разведка
Теперь, когда мы рассмотрели основы, давайте погрузимся в техническую сторону разведки. По сути, техническая разведка сводится к раскрытию двух важных частей информации: платежного процессора и системы защиты от мошенничества, которую реализует сайт.
Почему это важно? Потому что знание этого позволяет нам настраивать наш подход с хирургической точностью. Допустим, сайт использует Stripe. Если ваши карты были пропущены через другие магазины, работающие на Stripe (например, Shopify), вы можете захотеть отложить эти карты для этого удара. Почему? Потому что у Stripes память как у слона, и он быстро пометит эти карты.
У разных систем защиты от мошенничества тоже разные причуды. Например, Forter встает на историю транзакций. Signifyd, с другой стороны, относится к адресам электронной почты так, будто они — Святой Грааль. Знание этих причуд может сделать или погубить вашу операцию.
Так как же нам раскрыть эту золотую жилу информации? В нашем наборе инструментов есть три основных инструмента: Caido, Burp Suite и старые добрые инструменты разработчика Chrome (в частности, вкладка «Сеть»).
Эти инструменты позволяют нам заглянуть под капот веб-сайта, показывая нам запросы и ответы, летающие туда-сюда между нашим браузером и их системой. Это как рентгеновское зрение для веб-сайтов. Мы можем видеть, какой JavaScript они внедряют в нашу сессию, какие данные отправляют им (например, наши отпечатки пальцев или даже наши чертовы движения мыши) и многое другое.
Caido и Burp Suite здесь — большие пушки. Это полнофункциональные прокси-серверы перехвата, которые дают вам божественный контроль над трафиком HTTP/S. Инструменты разработчика Chrome, хотя и не такие мощные, встроены прямо в ваш браузер и все равно могут раскрыть кучу полезной фигни.
Теперь я знаю, что некоторые из вас, вероятно, истекают слюной при мысли о том, чтобы погрузиться глубже в эту техническую штуку. Но придержите коней. Объяснять все тонкости этих инструментов и как интерпретировать данные, которые они выдают? Это совсем другое дело. Мы бы здесь были весь день, а у меня есть дела поважнее, чем писать роман.
Так вот в чем дело: мы собираемся рассмотреть все это сочное техническое дерьмо во второй части этого руководства. Мы рассмотрим каждый инструмент, покажем, как их использовать и, что самое важное, как интерпретировать то, что вы найдете. Мы разберем примеры из реального мира, показывая вам, на что именно следует обращать внимание, когда вы проводите собственную разведку.
А пока просто поймите, что эти инструменты существуют и что они могут для вас сделать. Они — разница между тем, чтобы идти вслепую, и тем, чтобы иметь план защиты сайта.
Вторичные источники
В то время как техническая разведка предоставляет вам факты, вторичные источники заполняют пробелы реальной информацией. Здесь вы становитесь цифровым детективом, собирающим пазл из интернета.
Для начала попрактикуйтесь в Google fu. Не просто ищите название компании, копайте глубже. Ищите годовые отчеты, пресс-релизы и технические блоги. Они могут раскрыть всевозможные полезные сведения об их платежных системах, обновлениях безопасности или даже утечках данных. Компания хвастается своим новым обнаружением мошенничества на основе искусственного интеллекта? Это ваш сигнал быть осторожным.
Reddit и форумы — это золото. Найдите название сайта и ключевые слова, такие как проблема с заказом, «мошенничество» или «учетная запись заблокирована». Вы найдете множество разгневанных клиентов, описывающих свой опыт. Ищите закономерности. Если несколько пользователей сообщают о блокировке своих учетных записей после смены адреса доставки, вы знаете, как избежать этого трюка.
Не упускайте из виду и небольшие форумы. Иногда лучшая информация приходит из неожиданных мест. Однажды я обнаружил серьезное слабое место в системе крупного розничного продавца электроники, скрытое в теме на форуме по сборке ПК.
Социальные сети — это ваше окно в практику обслуживания клиентов. Следите за Twitter и FB компании. Посмотрите, как они реагируют на жалобы. Быстро ли они предлагают возврат средств? Есть ли у них специальная команда по борьбе с мошенничеством? Эта информация может быть полезна при планировании вашей стратегии.
Проверьте также их списки вакансий. Компания, нанимающая сотрудников на должности по предотвращению мошенничества, может ужесточать меры. Компания, увольняющая свою команду по предотвращению потерь, может стать легкой добычей.
Помните, что цель здесь не только в сборе информации, но и в получении полной картины вашей цели. Как они решают споры? Что вызывает у них мошеннические сигналы? Какие лазейки успешно использовали другие?
Не смотрите только на последние сообщения. Иногда старая информация так же ценна. Предотвращение мошенничества в компании могло измениться, но основные политики остались прежними.
Все это требует времени и терпения. Но поверьте мне, когда я говорю, что это того стоит. Я видел, как кардеры проворачивали шестизначные мошеннические операции, потому что находили одну маленькую деталь в комментарии Reddit годовой давности.
Речь идет не только о том, чтобы не попасться, а о том, чтобы разработать идеальный подход. Чем больше вы знаете о своей цели, тем больше вы можете настроить свой подход. Возможно, вы обнаружите, что они снисходительны к новым клиентам или никогда не проверяют заказы ниже определенной суммы. Это тот тип разведданных, который превращает рискованное нападение в гладкую операцию.
Так что прежде чем вы даже подумаете о заказе, сделайте свою домашнюю работу. Прочесывайте каждый уголок интернета. Создайте профиль вашей цели, который заставил бы ЦРУ позавидовать. Потому что в этой игре информация — это не просто власть, это прибыль.
Собираем все вместе
Хорошо, давайте замкнем круг. Мы рассмотрели основы разведки, от проверок на уровне поверхности до небольшого технического зондирования и поиска во вторичных источниках. Но знание этих вещей — это только половина истории. Настоящее мастерство — объединить все эти разведданные в стратегию.
Прежде чем вы даже подумаете о размещении заказа, соберите все, что вы узнали о своей цели. Создайте предварительный контрольный список, специально предназначенный для места, которое вы собираетесь атаковать. Это не просто упражнение для галочки — это ваш план битвы.
Ваш контрольный список должен охватывать:
- Лазейки проверки электронной почты
- Политика изменения адреса
- Время реагирования службы поддержки клиентов
- Платежный процессор и система борьбы с мошенничеством
- Известные факторы, способствующие обнаружению мошенничества
- Успешные стратегии, которые использовали другие
Помните, разведка — это не одноразовое дело. Кардинг-ландшафт постоянно меняется. То, что работало вчера, может привести к тому, что вас сегодня пометят. Будьте начеку, следите за своей информацией и никогда не прекращайте учиться.
В части 2 мы глубже погрузимся в техническую сторону разведки. А пока начните практиковать эти приемы. Развивайте свои навыки, оттачивайте инстинкты и подходите к каждому потенциальному удару как профессионал.
Потому что в этой игре разница между успехом и неудачей часто сводится к работе, которую вы делаете до того, как нажмете на кнопку оформления заказа.
А теперь идите и начинай считать, будто от этого зависят ваши деньги — потому что так оно и есть.
Last edited: