Friend
Professional
- Messages
- 2,667
- Reaction score
- 877
- Points
- 113
Многие спрашивают меня: "Как вы находите эти сайты?". "Почему у вас всегда есть новый сайт для кардинга?" и прочая ерунда. Ответ прост: исследуйте.
Мы уже рассмотрели Deep Research, и это, по сути, более общий подход, но более глубокое погружение с имеющимися в вашем распоряжении инструментами — это то, что отличает постоянный успех от случайной удачи. Освойте эту методологию, и вы никогда не иссякнете в достижении целей.
Google Dorks (дорки)
Один неоспоримый факт, касающийся всего в Интернете, заключается в том, что все начинается с поиска Google. Это особенно актуально при поиске сайтов, которые можно вбивать.
Поисковые операторы Google — просто золото для поиска простых для кардинга платформ электронной коммерции. Это не какие-то секреты чёрных хакеров — они встроены прямо в поисковую систему, но 99% людей слишком ленивы, чтобы их изучать.
Для сайтов Shopify:
Это выводит тысячи магазинов, работающих на платформе Shopify. Многие небольшие компании даже не настраивают свои URL-адреса, что упрощает их идентификацию.
Сайты WooCommerce — еще одна заманчивая цель:
Эти магазины на базе WordPress часто имеют устаревшие плагины и несовершенные настройки безопасности.
Хотите узнать больше о продуктах? Попробуйте:
Замените "роскошные часы" на то, что вам нужно. Это сузит круг сайтов, продающих определенные продукты, и в то же время покажет уязвимость их платформы.
Прелесть dorks в том, что вы можете складывать их, как детали LEGO. Добавьте [-site:amazon.com -site:ebay.com], чтобы отфильтровать основные торговые площадки и сосредоточиться на отдельных магазинах с меньшим количеством мер безопасности.
Покупка на месте
Еще один мощный инструмент — Google Maps в сочетании с Google Shopping на прокси вашей карты для получения рекомендаций, связанных с местоположением.
Допустим, BIN вашей карты находится во Флориде. Настройте VPN на соответствие этому местоположению, затем выполните поиск «boutique jewelry stores Florida» или «designer handbags Tampa». Это выведет десятки местных компаний с собственными веб-сайтами.
Золотая середина? Средние предприятия. Слишком маленькие (доход менее 500.000$ в год) — и они будут лично проверять каждый заказ. Слишком большие (более 50.000.000$) — и у них будут промышленные системы борьбы с мошенничеством.
Проверьте их трафик на ahrefs.com — в идеале от 5.000 до 50.000 посетителей в месяц. Это зона Златовласки, где они являются законными процветающими предприятиями, которые могут легко принять ваши вбивы, но не могут позволить себе сложное обнаружение мошенничества.
Важно: не кардите мелкие семейные предприятия. Это обычные люди, пытающиеся заработать на жизнь, и один возврат платежа может их разорить. Придерживайтесь достаточно крупных предприятий, чтобы выдержать вбив. Не будьте придурком.
Ebay и Amazon
Эти огромные торговые площадки кишат законными предприятиями, которые также поддерживают собственные витрины, которые, как правило, имеют гораздо более слабую защиту.
На eBay ищите продавцов с профессиональными названиями компаний, а не с личными именами пользователей. «LuxTimeWatches» — это, скорее всего, реальный бизнес; «John_Sells_Stuff» — скорее всего, нет.
Как только вы заметите профессионального продавца, загуглите его название компании плюс "official website" или проверьте его профиль на наличие прямых ссылок. Многие с гордостью рекламируют свои отдельные сайты.
Amazon работает похожим образом — профессиональные продавцы часто указывают «Sold by [Business Name]» под списками товаров. Введите это имя в Google, чтобы найти их независимый сайт.
Эти независимые сайты часто работают на Shopify или подобных платформах с минимальными уровнями безопасности по сравнению с гигантами рынка. Они достаточно устоялись, чтобы иметь инвентарь, но недостаточно сложны, чтобы иметь надежное обнаружение мошенничества.
Shop App
Мы уже обсуждали это раньше, но Shopifys Shop app заслуживает особого упоминания. Это ценная сокровищница, содержащая миллионы продавцов Shopify в одной поисковой базе данных.
Как ни странно, многие люди получают отмены заказов через само приложение, но забывают кое-что важное: у каждого магазина, указанного там, есть свой собственный прямой веб-сайт Shopify.
Когда вы найдете понравившийся вам магазин в приложении, просто посетите его собственную витрину. Вы обойдете централизованную безопасность приложения Shopifys, при этом по-прежнему имея доступ к тому же инвентарю.
Это, очевидно, не работает с очень крупными магазинами, так как безопасность Shop App слабее, чем у их основного сайта, так как в Shop App нет настраиваемой защиты от мошенничества. Но для торговцев среднего уровня? Это идеально.
В приложении теперь даже есть поиск AI — просто опишите, что вы хотите, и оно выдаст потенциальные цели. Загрузите его из своего магазина приложений или посетите shop.app.
Сайты с отзывами
Используйте агрегаторы отзывов, такие как resellerratings.com, не для того, для чего они были созданы — вместо того, чтобы помогать потребителям находить надежных продавцов, вы ищете тех, у кого есть пробелы в безопасности.
Сайты с рейтингом 2–3 звезды, но минимальным количеством отзывов — главные цели. Почему? Потому что они достаточно известны, чтобы быть перечисленными, но недостаточно опытны, чтобы иметь надежную защиту.
Эти сайты с отзывами иногда даже рассказывают вам о методах проверки: «Этот магазин постоянно запрашивает мой идентификатор» или «Они помогли мне решить проблему и изменили мой адрес доставки без вопросов» — это зеленый свет для ваших целей.
Другие сайты с отзывами, такие как Trustpilot и SiteJabber, предлагают похожие возможности сбора разведданных — сами отзывы представляют собой аудит безопасности в виде простого текста.
Инструменты для анализа
Техническая разведка имеет решающее значение, но для этого не нужно быть чертовым программистом.
Расширения браузера, такие как Wappalyzer, и сайты, такие как BuiltWith, мгновенно показывают, какой технологический стек использует сайт. Они показывают платформы CMS платежных процессоров, инструменты безопасности и все остальное под капотом.
Когда вы найдете сайт, который хорошо вам подходит, проанализируйте его с помощью этих инструментов, а затем найдите другие сайты, использующие ту же комбинацию технологий. Похожие стеки технологий часто имеют схожие недостатки.
SimilarWeb и SimilarSites позволяют вам находить сайты в той же категории с сопоставимыми уровнями трафика. Если вы успешно проведете кардинг в одном нишевом магазине электроники, эти инструменты найдут еще двадцать с соответствующими профилями.
TheirStack — еще один отличный платный сервис, который я недавно обнаружил, который глубоко проникает в каждый сайт и их платформы. Избегайте сайтов, показывающих Signifyd Riskified или другие средства обнаружения корпоративного мошенничества.
Что теперь?
Поиск сайтов, пригодных для кардинга, не зависит от случайной удачи — это методичное исследование с использованием общедоступных инструментов. Идеальная цель находится в этой средней зоне: законный бизнес, приличный инвентарь, но безопасность — это второстепенная мысль.
Помните, что каждый сайт, который вы скардили, представляет реальных людей на другом конце. Нацельтесь на достаточно крупные компании, чтобы выдержать вбив, а не на отдельных лиц или небольшие семейные компании, где ваши действия могут нанести серьезный ущерб.
Методы здесь работают, потому что большинство компаний ставят продажи выше безопасности — они сосредоточены на том, чтобы провести клиентов через кассу, а не на предотвращении сложных атак. Их ошибка, ваша возможность.
(c) Свяжитесь с автором здесь: d0ctrine
Мы уже рассмотрели Deep Research, и это, по сути, более общий подход, но более глубокое погружение с имеющимися в вашем распоряжении инструментами — это то, что отличает постоянный успех от случайной удачи. Освойте эту методологию, и вы никогда не иссякнете в достижении целей.
Google Dorks (дорки)
Один неоспоримый факт, касающийся всего в Интернете, заключается в том, что все начинается с поиска Google. Это особенно актуально при поиске сайтов, которые можно вбивать.
Поисковые операторы Google — просто золото для поиска простых для кардинга платформ электронной коммерции. Это не какие-то секреты чёрных хакеров — они встроены прямо в поисковую систему, но 99% людей слишком ленивы, чтобы их изучать.
Для сайтов Shopify:
Code:
inurl:myshopify.com "add to cart"Это выводит тысячи магазинов, работающих на платформе Shopify. Многие небольшие компании даже не настраивают свои URL-адреса, что упрощает их идентификацию.
Сайты WooCommerce — еще одна заманчивая цель:
Code:
inurl:wp-content/plugins/woocommerce "checkout"Эти магазины на базе WordPress часто имеют устаревшие плагины и несовершенные настройки безопасности.
Хотите узнать больше о продуктах? Попробуйте:
Code:
inurl:product "add to cart" "woocommerce" "luxury watches"Замените "роскошные часы" на то, что вам нужно. Это сузит круг сайтов, продающих определенные продукты, и в то же время покажет уязвимость их платформы.
Прелесть dorks в том, что вы можете складывать их, как детали LEGO. Добавьте [-site:amazon.com -site:ebay.com], чтобы отфильтровать основные торговые площадки и сосредоточиться на отдельных магазинах с меньшим количеством мер безопасности.
Покупка на месте
Еще один мощный инструмент — Google Maps в сочетании с Google Shopping на прокси вашей карты для получения рекомендаций, связанных с местоположением.
Допустим, BIN вашей карты находится во Флориде. Настройте VPN на соответствие этому местоположению, затем выполните поиск «boutique jewelry stores Florida» или «designer handbags Tampa». Это выведет десятки местных компаний с собственными веб-сайтами.
Золотая середина? Средние предприятия. Слишком маленькие (доход менее 500.000$ в год) — и они будут лично проверять каждый заказ. Слишком большие (более 50.000.000$) — и у них будут промышленные системы борьбы с мошенничеством.
Проверьте их трафик на ahrefs.com — в идеале от 5.000 до 50.000 посетителей в месяц. Это зона Златовласки, где они являются законными процветающими предприятиями, которые могут легко принять ваши вбивы, но не могут позволить себе сложное обнаружение мошенничества.
Важно: не кардите мелкие семейные предприятия. Это обычные люди, пытающиеся заработать на жизнь, и один возврат платежа может их разорить. Придерживайтесь достаточно крупных предприятий, чтобы выдержать вбив. Не будьте придурком.Ebay и Amazon
Эти огромные торговые площадки кишат законными предприятиями, которые также поддерживают собственные витрины, которые, как правило, имеют гораздо более слабую защиту.
На eBay ищите продавцов с профессиональными названиями компаний, а не с личными именами пользователей. «LuxTimeWatches» — это, скорее всего, реальный бизнес; «John_Sells_Stuff» — скорее всего, нет.
Как только вы заметите профессионального продавца, загуглите его название компании плюс "official website" или проверьте его профиль на наличие прямых ссылок. Многие с гордостью рекламируют свои отдельные сайты.
Amazon работает похожим образом — профессиональные продавцы часто указывают «Sold by [Business Name]» под списками товаров. Введите это имя в Google, чтобы найти их независимый сайт.
Эти независимые сайты часто работают на Shopify или подобных платформах с минимальными уровнями безопасности по сравнению с гигантами рынка. Они достаточно устоялись, чтобы иметь инвентарь, но недостаточно сложны, чтобы иметь надежное обнаружение мошенничества.
Shop App
Мы уже обсуждали это раньше, но Shopifys Shop app заслуживает особого упоминания. Это ценная сокровищница, содержащая миллионы продавцов Shopify в одной поисковой базе данных.
Как ни странно, многие люди получают отмены заказов через само приложение, но забывают кое-что важное: у каждого магазина, указанного там, есть свой собственный прямой веб-сайт Shopify.
Когда вы найдете понравившийся вам магазин в приложении, просто посетите его собственную витрину. Вы обойдете централизованную безопасность приложения Shopifys, при этом по-прежнему имея доступ к тому же инвентарю.
Это, очевидно, не работает с очень крупными магазинами, так как безопасность Shop App слабее, чем у их основного сайта, так как в Shop App нет настраиваемой защиты от мошенничества. Но для торговцев среднего уровня? Это идеально.
В приложении теперь даже есть поиск AI — просто опишите, что вы хотите, и оно выдаст потенциальные цели. Загрузите его из своего магазина приложений или посетите shop.app.
Сайты с отзывами
Используйте агрегаторы отзывов, такие как resellerratings.com, не для того, для чего они были созданы — вместо того, чтобы помогать потребителям находить надежных продавцов, вы ищете тех, у кого есть пробелы в безопасности.
Сайты с рейтингом 2–3 звезды, но минимальным количеством отзывов — главные цели. Почему? Потому что они достаточно известны, чтобы быть перечисленными, но недостаточно опытны, чтобы иметь надежную защиту.
Эти сайты с отзывами иногда даже рассказывают вам о методах проверки: «Этот магазин постоянно запрашивает мой идентификатор» или «Они помогли мне решить проблему и изменили мой адрес доставки без вопросов» — это зеленый свет для ваших целей.
Другие сайты с отзывами, такие как Trustpilot и SiteJabber, предлагают похожие возможности сбора разведданных — сами отзывы представляют собой аудит безопасности в виде простого текста.
Инструменты для анализа
Техническая разведка имеет решающее значение, но для этого не нужно быть чертовым программистом.
Расширения браузера, такие как Wappalyzer, и сайты, такие как BuiltWith, мгновенно показывают, какой технологический стек использует сайт. Они показывают платформы CMS платежных процессоров, инструменты безопасности и все остальное под капотом.
Когда вы найдете сайт, который хорошо вам подходит, проанализируйте его с помощью этих инструментов, а затем найдите другие сайты, использующие ту же комбинацию технологий. Похожие стеки технологий часто имеют схожие недостатки.
SimilarWeb и SimilarSites позволяют вам находить сайты в той же категории с сопоставимыми уровнями трафика. Если вы успешно проведете кардинг в одном нишевом магазине электроники, эти инструменты найдут еще двадцать с соответствующими профилями.
TheirStack — еще один отличный платный сервис, который я недавно обнаружил, который глубоко проникает в каждый сайт и их платформы. Избегайте сайтов, показывающих Signifyd Riskified или другие средства обнаружения корпоративного мошенничества.
Что теперь?
Поиск сайтов, пригодных для кардинга, не зависит от случайной удачи — это методичное исследование с использованием общедоступных инструментов. Идеальная цель находится в этой средней зоне: законный бизнес, приличный инвентарь, но безопасность — это второстепенная мысль.
Помните, что каждый сайт, который вы скардили, представляет реальных людей на другом конце. Нацельтесь на достаточно крупные компании, чтобы выдержать вбив, а не на отдельных лиц или небольшие семейные компании, где ваши действия могут нанести серьезный ущерб.
Методы здесь работают, потому что большинство компаний ставят продажи выше безопасности — они сосредоточены на том, чтобы провести клиентов через кассу, а не на предотвращении сложных атак. Их ошибка, ваша возможность.
(c) Свяжитесь с автором здесь: d0ctrine
Last edited:
