Искусство цифровой разведки: руководство для кардеров

[Friend]

Для тех, кто следит за моими руководствами по кардингу на форуме, вы знакомы с моим акцентом на разведку перед тем, как зайти на какой-либо сайт. Поток сообщений в личку, о более глубоком погружении в этот процесс, наконец, утомил меня. Итак, вот мы, собираемся препарировать искусство цифровой разведки.

Это руководство является частью 1 нашего глубокого погружения в разведку. Мы рассмотрим основы и дадим вам представление о техническом подходе. В следующей части мы углубимся в техническую сторону, показав вам, как использовать такие инструменты, как Burp Suite и Caido, чтобы действительно понять, с чем вы столкнулись.

Большинство новичков-кардеров не могут дождаться, чтобы протестировать свои блестящие новые карты, с нетерпением ожидая, чтобы набрать заказы, как только они получат немного пластика. Это экспресс-билет на то, чтобы ваши транзакции были заблокированы, а ваш цифровой отпечаток помечен.

Опытные игроки понимают, что настоящая битва происходит задолго до того, как вы даже подумаете об этой кнопке «Оплатить». Речь идет о том, чтобы препарировать свою цель, понять ее работу и найти слабые места. С какими мерами безопасности вы сталкиваетесь? Есть ли какие-либо уязвимости в их системе, которые можно использовать? Какие стратегии оказались эффективными для других?

Это руководство — ваш ускоренный курс по освоению цифровой разведки. Не ждите пошагового руководства по «Мошенничеству для чайников». Мы развиваем навыки и менталитет, необходимые для анализа потенциальных отметок с хирургической точностью.

Мы переходим от сканирования на уровне поверхности к краткому обзору технического зондирования. К тому времени, как мы закончим обе части, вы будете готовы составить обширный отчет по разведданным по любому сайту, на который вы смотрите.

В этой игре информация правит бал. Чем больше данных вы соберете, тем выше ваши шансы на успешный удар и тем меньше вероятность быть пойманным с ослабленной обороной. Так что сосредоточьтесь — пришло время превратиться из неуклюжего любителя в цифрового гения

Почему разведка?

Так почему же разведка так важна? Давайте разберемся. Во-первых, она значительно повышает ваши показатели успеха. Я не могу сосчитать, сколько раз я был свидетелем того, как идиоты тратили высококачественные карты, пытаясь пробиться через сайт методом грубой силы, когда простая разведка показала бы, что они проводили дополнительную проверку на той неделе из-за возросшего мошенничества. Это потенциально тысячи долларов на ветер, потому что кто-то не удосужился сделать свою домашнюю работу.

Разведка также помогает вам избегать распространенных ловушек. Вы когда-нибудь пытались взломать сайт, только чтобы узнать, что они используют 3D Secure для каждой транзакции? Или что у них есть жесткий лимит на суммы покупок для новых учетных записей? Вот такое дерьмо раскрывает правильная разведка.

Но, возможно, самое главное, хорошая разведка позволяет вам адаптировать свой подход. У каждого сайта есть свои причуды, и кардинг по принципу «один размер для всех» — это рецепт неудачи. Возьмем, к примеру, Walmart. Поверхностная проверка может показать, что они разрешают изменение адреса после покупки. Копните глубже, и вы обнаружите, что они разрешают это только для определенных категорий продуктов. Вооружившись этими знаниями, вы можете сосредоточиться на этих конкретных категориях, что значительно увеличит ваши шансы на успешный вбив.

Позвольте мне донести эту мысль на примере из реальной жизни. В прошлом месяце какой-то наглый ублюдок в одной из моих групп решил, что он собирается сильно ударить по продавцу комплектующих для ПК, потому что ему много раз везло с ним. У него была новая партия из 50 карт премиум-класса стоимостью около 25 долларов за карту. Не проводя никакой разведки, он включил свой антидетект и начал размещать заказы на высококлассные графические процессоры.

Результат? 48 отклонений и отмен из 50 попыток. Оказалось, что сайт недавно сотрудничал с Signifyd для предотвращения мошенничества, и они тщательно проверяли заказы на дорогостоящую электронику, как ревнивая подружка, проверяющая телефон своего мужчины. Этот придурок не только потратил впустую карты на сумму более тысячи долларов, но и сжег гигабайты резидентных прокси-серверов и потратил впустую добрых 2 дня своей жизни. И все потому, что он не удосужился потратить час на надлежащую разведку.

Проверки уровня поверхности

Хорошо, прежде чем мы погрузимся в техническую часть, давайте поговорим об основах. Эти проверки на уровне поверхности — ваша первая линия разведки, и они могут спасти вашу задницу чаще, чем вы думаете.

Лазейки в проверке электронной почты

Сначала проверьте, можете ли вы зарегистрироваться с помощью любого адреса электронной почты без проверки. Это чертовски здорово по нескольким причинам. Если сайт позволяет вам оформлять заказ с помощью любого адреса электронной почты, вы можете использовать адрес электронной почты держателя карты. Почему? Потому что это заставляет их систему мошенничества пускать слюни от радости. «О, смотрите, это тот же адрес электронной почты, который мы видели тысячу раз! Должно быть, он настоящий!»

Чтобы проверить это, просто попробуйте зарегистрироваться с помощью дерьмового адреса электронной почты. Если он позволяет вам продолжить без отправки ссылки для проверки, вы в деле. Этот трюк спасал мою задницу больше раз, чем я могу сосчитать, особенно на сайтах с обнаружением анального мошенничества.

Изменение адреса после заказа

Далее следует посмотреть, можно ли изменить адрес доставки после покупки. Это влажная мечта кардера. Вы размещаете заказ с адресом держателя карты, чтобы выставление счетов и доставка совпадали, как хороший маленький клиент. Затем, как только он будет одобрен, вы меняете адрес доставки на своего дропа.

Чтобы проверить это, загуглите «Изменить адрес доставки [ИМЯ САЙТА]» или зайдите на Reddit. Поищите опыт других людей. Если вы чувствуете себя особенно дотошным, разместите дешевый заказ и попробуйте изменить его самостоятельно. Не получилось? Зайдите в службу поддержки клиентов и спросите об изменении адреса доставки. Их ответ скажет вам все, что вам нужно знать.

Время ответа и политика службы поддержки клиентов

Говоря о службе поддержки клиентов, почувствуйте, как они работают. Быстро ли они отвечают? Используют ли они тикеты или чат в реальном времени? Эта информация имеет решающее значение, если вам нужно вытащить какую-нибудь ерунду после заказа.

Попробуйте связаться с ними с глупым вопросом и посмотрите, сколько времени им потребуется, чтобы ответить. Обратите внимание также на их часы работы. Нет ничего хуже, чем зависнуть в подвешенном состоянии из-за того, что служба поддержки клиентов не работает в этот день.

Политика в отношении подарочных карт и цифровых товаров

Если вы смотрите на подарочные карты или цифровые товары, обратите на это особое внимание. Изучите их политику изменения адреса электронной почты получателя для этих заказов. Почему? Потому что так же, как и при использовании адреса электронной почты держателя карты для обычных заказов, вы можете использовать его и для заказов подарочных карт.

Суть здесь в том, чтобы заказать подарочную карту на адрес электронной почты держателя карты, а затем переключить ее на свой после одобрения. Amazon — лучший пример этого трюка, но множество других сайтов тоже попадаются на него.

Помните, эти поверхностные проверки — это всего лишь закуска. Они быстрые и простые, и часто их можно выполнить, не поднимая никаких красных флажков. Но не останавливайтесь на этом. Это всего лишь закладка фундамента для более глубокого технического исследования, к которому мы перейдем далее.

Эти проверки могут показаться простыми, но они спасали мою задницу больше раз, чем я могу сосчитать. Не будьте идиотом, который пропускает этот шаг и тратит высококачественные карты на легко избегаемую ерунду. Не торопитесь, сделайте работу и настройте себя на успех, прежде чем даже подумаете нажать кнопку оформления заказа.

Техническая разведка

Теперь, когда мы рассмотрели основы, давайте погрузимся в техническую сторону разведки. По сути, техническая разведка сводится к раскрытию двух важных частей информации: платежного процессора и системы защиты от мошенничества, которую реализует сайт.

Почему это важно? Потому что знание этого позволяет нам настраивать наш подход с хирургической точностью. Допустим, сайт использует Stripe. Если ваши карты были пропущены через другие магазины, работающие на Stripe (например, Shopify), вы можете захотеть отложить эти карты для этого удара. Почему? Потому что у Stripes память как у слона, и он быстро пометит эти карты.

У разных систем защиты от мошенничества тоже разные причуды. Например, Forter встает на историю транзакций. Signifyd, с другой стороны, относится к адресам электронной почты так, будто они — Святой Грааль. Знание этих причуд может сделать или погубить вашу операцию.

Так как же нам раскрыть эту золотую жилу информации? В нашем наборе инструментов есть три основных инструмента: Caido, Burp Suite и старые добрые инструменты разработчика Chrome (в частности, вкладка «Сеть»).

Эти инструменты позволяют нам заглянуть под капот веб-сайта, показывая нам запросы и ответы, летающие туда-сюда между нашим браузером и их системой. Это как рентгеновское зрение для веб-сайтов. Мы можем видеть, какой JavaScript они внедряют в нашу сессию, какие данные отправляют им (например, наши отпечатки пальцев или даже наши чертовы движения мыши) и многое другое.

Caido и Burp Suite здесь — большие пушки. Это полнофункциональные прокси-серверы перехвата, которые дают вам божественный контроль над трафиком HTTP/S. Инструменты разработчика Chrome, хотя и не такие мощные, встроены прямо в ваш браузер и все равно могут раскрыть кучу полезной фигни.

Теперь я знаю, что некоторые из вас, вероятно, истекают слюной при мысли о том, чтобы погрузиться глубже в эту техническую штуку. Но придержите коней. Объяснять все тонкости этих инструментов и как интерпретировать данные, которые они выдают? Это совсем другое дело. Мы бы здесь были весь день, а у меня есть дела поважнее, чем писать роман.

Так вот в чем дело: мы собираемся рассмотреть все это сочное техническое дерьмо во второй части этого руководства. Мы рассмотрим каждый инструмент, покажем, как их использовать и, что самое важное, как интерпретировать то, что вы найдете. Мы разберем примеры из реального мира, показывая вам, на что именно следует обращать внимание, когда вы проводите собственную разведку.

А пока просто поймите, что эти инструменты существуют и что они могут для вас сделать. Они — разница между тем, чтобы идти вслепую, и тем, чтобы иметь план защиты сайта.

Вторичные источники

В то время как техническая разведка предоставляет вам факты, вторичные источники заполняют пробелы реальной информацией. Здесь вы становитесь цифровым детективом, собирающим пазл из интернета.

Для начала попрактикуйтесь в Google fu. Не просто ищите название компании, копайте глубже. Ищите годовые отчеты, пресс-релизы и технические блоги. Они могут раскрыть всевозможные полезные сведения об их платежных системах, обновлениях безопасности или даже утечках данных. Компания хвастается своим новым обнаружением мошенничества на основе искусственного интеллекта? Это ваш сигнал быть осторожным.

Reddit и форумы — это золото. Найдите название сайта и ключевые слова, такие как проблема с заказом, «мошенничество» или «учетная запись заблокирована». Вы найдете множество разгневанных клиентов, описывающих свой опыт. Ищите закономерности. Если несколько пользователей сообщают о блокировке своих учетных записей после смены адреса доставки, вы знаете, как избежать этого трюка.

Не упускайте из виду и небольшие форумы. Иногда лучшая информация приходит из неожиданных мест. Однажды я обнаружил серьезное слабое место в системе крупного розничного продавца электроники, скрытое в теме на форуме по сборке ПК.

Социальные сети — это ваше окно в практику обслуживания клиентов. Следите за Twitter и FB компании. Посмотрите, как они реагируют на жалобы. Быстро ли они предлагают возврат средств? Есть ли у них специальная команда по борьбе с мошенничеством? Эта информация может быть полезна при планировании вашей стратегии.

Проверьте также их списки вакансий. Компания, нанимающая сотрудников на должности по предотвращению мошенничества, может ужесточать меры. Компания, увольняющая свою команду по предотвращению потерь, может стать легкой добычей.

Помните, что цель здесь не только в сборе информации, но и в получении полной картины вашей цели. Как они решают споры? Что вызывает у них мошеннические сигналы? Какие лазейки успешно использовали другие?

Не смотрите только на последние сообщения. Иногда старая информация так же ценна. Предотвращение мошенничества в компании могло измениться, но основные политики остались прежними.

Все это требует времени и терпения. Но поверьте мне, когда я говорю, что это того стоит. Я видел, как кардеры проворачивали шестизначные мошеннические операции, потому что находили одну маленькую деталь в комментарии Reddit годовой давности.

Речь идет не только о том, чтобы не попасться, а о том, чтобы разработать идеальный подход. Чем больше вы знаете о своей цели, тем больше вы можете настроить свой подход. Возможно, вы обнаружите, что они снисходительны к новым клиентам или никогда не проверяют заказы ниже определенной суммы. Это тот тип разведданных, который превращает рискованное нападение в гладкую операцию.

Так что прежде чем вы даже подумаете о заказе, сделайте свою домашнюю работу. Прочесывайте каждый уголок интернета. Создайте профиль вашей цели, который заставил бы ЦРУ позавидовать. Потому что в этой игре информация — это не просто власть, это прибыль.

Собираем все вместе

Хорошо, давайте замкнем круг. Мы рассмотрели основы разведки, от проверок на уровне поверхности до небольшого технического зондирования и поиска во вторичных источниках. Но знание этих вещей — это только половина истории. Настоящее мастерство — объединить все эти разведданные в стратегию.

Прежде чем вы даже подумаете о размещении заказа, соберите все, что вы узнали о своей цели. Создайте предварительный контрольный список, специально предназначенный для места, которое вы собираетесь атаковать. Это не просто упражнение для галочки — это ваш план битвы.

Ваш контрольный список должен охватывать:

• Лазейки проверки электронной почты
• Политика изменения адреса
• Время реагирования службы поддержки клиентов
• Платежный процессор и система борьбы с мошенничеством
• Известные факторы, способствующие обнаружению мошенничества
• Успешные стратегии, которые использовали другие

Помните, разведка — это не одноразовое дело. Кардинг-ландшафт постоянно меняется. То, что работало вчера, может привести к тому, что вас сегодня пометят. Будьте начеку, следите за своей информацией и никогда не прекращайте учиться.

В части 2 мы глубже погрузимся в техническую сторону разведки. А пока начните практиковать эти приемы. Развивайте свои навыки, оттачивайте инстинкты и подходите к каждому потенциальному удару как профессионал.
Потому что в этой игре разница между успехом и неудачей часто сводится к работе, которую вы делаете до того, как нажмете на кнопку оформления заказа.

А теперь идите и начинай считать, будто от этого зависят ваши деньги — потому что так оно и есть.

 

[Friend]

Добро пожаловать обратно, амбициозные каредры. Если часть 1 была началом, то приготовьтесь к главному событию кардерской разведки. Мы собираемся перейти к техническим вещам, которые отделяют новичков от профессионалов.

Эта часть посвящена инструментам Man in the Middle (MITM), таким как Caido и Burp Suite. Это не просто красивые названия — это реальная вещь для вскрытия защиты ваших целей.

Мы разберем, как работают эти инструменты, научим вас определять системы защиты от мошенничества на основе искусственного интеллекта и платежные шлюзы, а также покажем вам все тонкости подделки HTTP-пакетов. К концу вы увидите веб-сайты в совершенно новом свете.

Предупреждение: это не для новичков. Если вы все еще пытаетесь понять, как использовать VPN, вам, возможно, стоит сначала развить свои навыки. Но если вы готовы повысить уровень, это руководство — ваш билет к настоящему пониманию веб-сайтов, на которые вы пытаетесь напасть.

Так что усаживайтесь поудобнее и сосредоточьтесь. Мы собираемся перейти к техническим аспектам, и занятие началось. Впереди — продвинутая разведка кардинга.

Что такое инструменты MITM?

Burp Suite и Caido — это не просто модные игрушки, это скальпели, которые вы будете использовать для препарирования своих целей.

По сути, эти инструменты работают, встраиваясь между вашим браузером и целевым веб-сайтом. Каждый отправляемый вами запрос и каждый получаемый вами ответ сначала проходят через них. Это как если бы любопытный кардер читал всю вашу почту, только в этом случае любопытный кардер — вы.

Вот основной поток:

• Вы вводите URL-адрес в адресную строку браузера.
• Ваш браузер отправляет запрос в Burp / Caido
• Burp / Caido пересылает запрос на сайт
• Сайт отправляет свой ответ обратно в Burp / Caido
• Burp / Caido передает ответ вашему браузеру

Но вот где это становится интересным для нас, кардеров. Эти инструменты не просто пассивно наблюдают - они позволяют вам перехватывать, изменять и даже воспроизводить запросы. Представьте себе, что у вас есть кнопка паузы для Интернета.

Допустим, вы изучаете большой сайт электронной коммерции. С Burp или Caido вы можете:

• Посмотрите, какие именно данные отправляются при добавлении товаров в корзину.
• Определите, какие API вызываются во время оформления заказа
• Найдите скрытые поля или токены, используемые для предотвращения мошенничества.
• Определите, какой тип платежного шлюза они используют

Эта информация — просто золото для разработки вашей стратегии кардинга. Вы можете точно увидеть, какую информацию собирает сайт, как она форматируется и где могут быть потенциальные слабые места.

Например, вы можете заметить, что сайт отправляет параметр «riskScore» во время оформления заказа. Бинго — вы только что определили часть их системы предотвращения мошенничества. Или, может быть, вы заметили вызовы API Stripe. Теперь вы знаете, как использовать карты, которые не были сожжены на сайтах на базе Stripe.

Настоящая сила проявляется, когда вы начинаете изменять запросы. Изменение параметров, изменение заголовков, даже внедрение собственного кода — все это возможно. Это позволяет вам тестировать защиту сайта, фактически не размещая заказы. Вы можете проверить слабые места, посмотреть, как сайт реагирует на необычные данные, и настроить свой подход, прежде чем рисковать одной картой.

Настройка цифрового скальпеля: Burp Suite

Прежде чем погрузиться в сочные дела, вам нужно подготовить свои инструменты. Burp Suite — это как швейцарский армейский нож для взлома веб-приложений, и для нас, кардеров, он чертовски необходим. Вот как настроить эту красоту:

• Загрузка и установка: зайдите на сайт PortSwiggers и скачайте Community Edition. Он бесплатный и содержит достаточно мощи для того, что нам нужно. После загрузки установите этот софт.
• Настройте свой браузер: мы используем Firefox для этого руководства, потому что он менее заморочен с сертификатами. Откройте Firefox, перейдите в Настройки > Настройки сети и установите прокси-сервер в ручной режим. Используйте следующие настройки:
  HTTP-прокси: 127.0.0.1 Порт: 8080
  
  
  
  
  
  
  
  
• Установите сертификат Burps: это важно. Без него вы получите больше предупреждений о безопасности, чем правительственный информатор.
  • Откройте Burp и перейдите по адресу http://burp
  • Нажмите «Сертификат CA» в правом верхнем углу.
    
    
  - В Firefox перейдите в Настройки > Конфиденциальность и безопасность > Сертификаты > Просмотреть сертификаты.
  
  
  
  - Импортируйте загруженный сертификат и доверяйте ему для веб-сайтов.
  
  
• Добавление прокси-сервера SOCKS (необязательно): Если вы используете резидентный прокси-сервер, вот как его объединить:
  • В Burp перейдите в Параметры пользователя > Прокси-сервер SOCKS.
  • Включить SOCKS-прокси
  • Введите данные вашего прокси-сервера

Теперь Burp перехватит ваш трафик и направит его через ваш SOCKS-прокси. Ловко, правда?

Совет профессионала: для первоначальной разведки я обычно просто использую VPN, настроенный на ту же страну, что и карта, которую я планирую использовать. Это чище и менее вероятно, что поднимет флаги. Когда приходит время фактически атаковать сайт, тогда я переключаюсь на полную настройку антидетекта.

Мобильная разведка: да, вы можете делать это и на мобильном телефоне. Это немного сложнее, и мы не будем рассматривать это сегодня. Просто знайте, что это возможно и может быть полезно для сайтов с проверками, специфичными для мобильных устройств.

Теперь, когда вы заблокированы и загружены, давайте погрузимся в настоящее дерьмо. Пора начать ковыряться в этих сочных целях.

Обнаружение мошенничества с помощью ИИ-аналитики

Теперь, когда у вас есть Burp Suite, заблокированный и загруженный, пришло время использовать эту фишку. Прежде чем мы погрузимся, убедитесь, что ваш Intercept отключен на вкладке Proxy. Если он включен, Burp остановит все запросы, ожидая вашего ввода, и мы не собираемся играть в 20 вопросов с HTTP- пакетами.

Если Intercept выключен, Burp будет молча записывать весь трафик на вкладке HTTP History. Вот где происходит волшебство. Когда вы просматриваете целевой сайт, вы увидите поток запросов, накапливающихся здесь. Не волнуйтесь, мы научим вас, как разобраться в этой цифровой теме.

Теперь давайте поговорим о подлых уловках, за которыми вы действительно гонитесь: антимошеннические системы на основе ИИ. Эти цифровые ищейки повсюду на современных сайтах электронной коммерции, вынюхивая любой намек на подозрительную активность.

Современные сайты электронной коммерции заполнены антимошенническими системами на основе ИИ. Они работают, внедряя JavaScript на страницу и отслеживая все, от движений мыши до шаблонов набора текста.

Просматривая Burps HTTP History, следите за загрузкой этих файлов JavaScript на странице. Это визитные карточки различных антифрод-систем:

• Sift Science: "https://cdn.sift.com/s.js"
• Signifyd: "https://cdn-scripts.signifyd.com/signifyd.js"
• Riskified: "https://beacon.riskified.com?shop=example.com"
• Forter: The exact URL can vary, but it often looks like "https://scripts.forter.com/forter.js" or "https://cdn.ftr-cdn.com/ftr/YOUR_SITE_ID.js"
• SEON: "https://cdn.seondf.com/js/v6/agent.js"
• Kount: "https://b.kount.net/collect/sdk"
• Ravelin: "https://cdn.ravelin.net/core/ravelin.js"
• ClearSale: "https://integration.clearsale.com.br/fp/check.js"
• Bolt: "https://connect.bolt.com/connect.js"
• Accertify: "https://h.online-metrix.net/fp/tags.js"
• PerimeterX: "https://client.perimeterx.net/PX_CLIENT_ID/main.min.js"
• Feedzai: "https://cdn.feedzai.com/v1/feedzai-fingerprint.js"
• Shape Security: "https://ds.shapesecurity.com/ds/client.js"

Поиск этих JS- файлов — это как поиск иголки в стоге сена, особенно на сайтах с миллионом скриптов. Лучше следить за запросами POST. Вот где происходит волшебство.

Помните, что этот список не является исчерпывающим. Технологии борьбы с мошенничеством развиваются быстрее модных тенденций. Всегда будьте начеку в отношении подозрительных JS- файлов и сетевых запросов, особенно тех, которые загружаются со сторонних доменов. Если вы видите что-то похожее на антифрод, но не в этом списке, копайте глубже.

Эти скрипты собирают кучу данных о вашем сеансе. Они отслеживают:

• Отпечатки устройства (фингерпринты)
• Движения и щелчки мыши
• Скорость и закономерности печати
• Время, проведенное на странице
• Плагины и настройки браузера

Просматривайте целевой сайт, следите за вкладкой Burps HTTP History. Вы увидите запросы POST к конечным точкам, таким как "/api/risk/assess" или "/fraud/check" со всеми этими данными. Это работа системы антимошенничества.

Вот несколько URL-адресов для запросов POST, которые отслеживают риск ваших сеансов:

• Sift Science: "https://api.sift.com/v205/events"
• Signifyd: "https://api.signifyd.com/v2/cases"
• Riskified: "https://beacon.riskified.com/api/v2/beacon/collect"
• Forter: "https://api.forter-secure.com/v2/decisions"
• SEON: "https://api.seon.io/"
• Kount: "https://risk.kount.net/order.json"
• Ravelin: "https://live.ravelin.com/v2/sdk/event"
• ClearSale: "https://integration.clearsale.com.br/api/v2/order/create"
• Bolt: "https://api.bolt.com/v1/merchant/transactions"
• Accertify: "https://secure.accertify.com/CM/AccertifyMAWeb/OrderProcess"
• PerimeterX: "https://collector-PX_CLIENT_ID.perimeterx.net/api/v1/collector"
• Feedzai: "https://api.feedzai.com/v2/labels"

Например, если вы имеете дело с Sift Science, Burp перехватит запрос, который выглядит примерно так:

{
"event": {
"$type": "$create_order",
"$user_id": "user123",
"$session_id": "abc123xyz",
"$order_id": "ORDER-123456",
"$amount": 10000,
"$currency_code": "USD",
"$billing_address": {
"$name": "John Doe",
"$address_1": "123 Main St",
"$city": "San Francisco",
"$region": "CA",
"$country": "US",
"$zipcode": "94111"
},
"$payment_methods": [
{
"$payment_type": "$credit_card",
"$payment_gateway": "$stripe",
"$card_bin": "424242",
"$card_last4": "4242"
}
],
"$shipping_address": {
"$name": "Jane Doe",
"$address_1": "456 Oak St",
"$city": "San Francisco",
"$region": "CA",
"$country": "US",
"$zipcode": "94110"
}
}
}

Эти данные используются для построения профиля риска для вашего сеанса. Высокие оценки риска вызывают дополнительную проверку или прямые отклонения.

Для некоторых систем, таких как Forter, запросы не отображаются, пока вы не инициируете платеж. В таких случаях вы можете просмотреть запросы к основному сайту и поискать файлы cookie, такие как ForterToken и т. д.

Booking.com показывает Riskified Token:

Определение платежных шлюзов (мерчантов)

Поиск платежного шлюза является ключом к поиску правильных карт и методов. Вот как разоблачить этих ублюдков:

Всегда начинайте с тестовой карты. Некоторые популярные тестовые карты:

• Stripe: 4242 4242 4242 4242
• Braintree: 4111 1111 1111 1111
• Adyen: 5555 4444 3333 1111

Когда вы отправляете тестовую карту, следите за сетевым трафиком. Вы увидите запросы к домену платежных шлюзов. Ищите:

• Stripe: https://api.stripe.com/v1/payment_intents
• Braintree: https://api.braintreegateway.com/merchants/
• Adyen: https://checkoutshopper-live.adyen.com/checkoutshopper/
• CyberSource: https://secureacceptance.cybersource.com
• Authorize.Net: https://api.authorize.net/xml/v1/request.api
• WorldPay: https://secure.worldpay.com/jsp/merchant/xml/paymentService.jsp

Вот как может выглядеть запрос Braintree:

POST https://api.braintreegateway.com/merchants/merchantid/client_api/v1/payment_methods/credit_cards
{
"credit_card": {
"number": "4111111111111111",
"expiration_month": "12",
"expiration_year": "2025",
"cvv": "123"
},
"share": true
}

А вот как выглядит запрос Stripe:

POST https://api.stripe.com/v1/payment_intents
{
"amount": 2000,
"currency": "usd",
"payment_method_types[]": "card",
"payment_method": "pm_card_visa"
}

Некоторые сайты сначала обрабатывают платежи на своем собственном домене. Если вы не видите прямых вызовов к известному платежному шлюзу, ищите запросы к собственным конечным точкам API сайта, таким как "/api/process-payment" или "/checkout/finalize".

В этих случаях вам нужно будет копать глубже. Ищите явные признаки в параметрах запроса:

• «stripe_token» или «stripe_source» предполагает Stripe
• "braintree_nonce" указывает на Braintree
• «adyen_encrypted_data» указывает на Adyen
• «cybersource_token» подразумевает CyberSource
• «authorize_transaction_key» намекает на Authorize.Net
• "worldpay_order_code" предполагает WorldPay

Помните, что некоторые сайты используют несколько платежных шлюзов или маршрутизируют через посреднические сервисы. Обратите внимание на такие сервисы, как:

• Spreedly: https://core.spreedly.com/v1/payment_methods
• Checkout.com: https://api.checkout.com/pays.
• BlueSnap: https://ws.bluesnap.com/services/2/payment

Поиск платежного шлюза — это всего лишь первый шаг. У каждого шлюза есть свои особенности и потенциальные уязвимости. Теперь, когда вы знаете, с чем вы сталкиваетесь, вы можете отточить свой подход и увеличить свои шансы на успех.

Заключительные мысли

От настройки Burp Suite до обнаружения систем противодействия мошенничеству и разоблачения платежных шлюзов — теперь у вас есть инструменты, чтобы взломать свои цели как профессионал.

Помните, чем больше вы знаете о защите сайта, тем лучше вы можете адаптировать свою атаку. Не просто бросайте карты в стену и надейтесь, что что-то прилипнет. Используйте эти методы, чтобы разработать стратегию, которая максимизирует ваши шансы на успех.
Но мы еще не закончили. В нашем следующем руководстве мы погрузимся в мобильную разведку. Мы покажем вам, как применить эти же принципы к мобильным приложениям, совершенно новой игровой площадке для кардинга.

И мы запачкаем руки с инструментом Burps Tamper. Вы узнаете, как изменять запросы на лету, снижать свой рейтинг мошенничества, редактируя значения, отправляемые в системы противодействия мошенничеству, и ускользать от этих собак ИИ.

До следующего раза держите свой OPSEC под контролем, а свои навыки отточенными.

Отказ от ответственности: информация, представленная в этой статье, предназначена только для образовательных целей. Это исследование того, как работает мошенничество, и оно не предназначено для продвижения, одобрения или содействия какой-либо незаконной деятельности. Я не могу нести ответственность за какие-либо действия, предпринятые на основе этого материала. Пожалуйста, используйте эту информацию ответственно и не участвуйте в какой-либо преступной деятельности.