Friend
Professional
- Messages
- 2,653
- Reaction score
- 842
- Points
- 113
PayPal везде. Каждый крупный ритейлер, каждый маленький магазин Shopify, все они машут этими синими и желтыми кнопками у вас перед лицом. Но большинство кардеров относятся к jоплате PayPal как к криптониту, и на то есть веская причина. Эти умные ублюдки из PayPal год за годом усиливают свои системы борьбы с мошенничеством, превращая прохождение их касс в чертов кошмар.
Но вот где становится интересно - я сидел на методе, который постоянно попадал на вбив PayPal в течение последних двух лет. Это фундаментальный недостаток конструкции в их системе, который они не могут просто исправить быстрым обновлением. И сегодня я собираюсь разобрать его для вас пошагово.
Процесс оплаты PayPal
Прежде чем мы погрузимся в эксплойт, давайте разберем, как на самом деле работает процесс оплаты PayPal. Существует два основных пути, по которым может пройти транзакция:
PayPal Express Checkout (немедленная оплата)
PayPal Standard Checkout (двухэтапный процесс)
Во втором потоке — Standard Checkout (стандартная оплата) — кроется наша уязвимость. Этот разрыв между авторизацией и окончательной обработкой? Это наш золотой билет. Двухэтапный процесс создает окно возможностей, которое система обнаружения мошенничества PayPal не может легко закрыть, не нарушив законную функциональность.
Обнаружение мошенничества PayPal
Обнаружение мошенничества PayPal — это многоуровневый зверь, который был отточен за десятилетия борьбы с мошенниками. В своей основе он построен на одном важном понимании — адреса доставки не лгут. В то время как большинство платежных систем одержимы отпечатками браузера и IP, PayPal знает, что физические заказы оставляют бумажный след, который вы не сможете подделать. Они создали обширную базу данных надежных мест доставки, привязанных к каждой учетной записи PayPal и карте, которые когда-либо касались их системы.
Подумайте об этом — что за дерьмовая карта на 5$, которую вы пытаетесь использовать? Скорее всего, ее законный владелец заказывал что-то через PayPal в какой-то момент своей жизни. PayPal уже знает их домашний адрес, их рабочий адрес, дом их мамы, куда они отправляют рождественские подарки. Каждая успешная транзакция оставляет след в огромной сети надежных мест PayPal. Когда вы пытаетесь отправить этот 65-дюймовый телевизор на какой-то случайный адрес, который они никогда раньше не видели, начинают звенеть тревожные колокола.
Эта одержимость адресами доставки выходит за рамки только индивидуальной истории транзакций. Алгоритмы PayPal анализируют места доставки по всей своей сети, создавая тепловые карты законной торговли и подозрительной активности. Они знают, какие почтовые индексы имеют высокий уровень мошенничества, какие адреса связаны с дропом, даже какие здания, как правило, имеют необычные схемы доставки. Ваш, казалось бы, невинный заказ проходит через этот длинный список факторов риска, основанных на местоположении, прежде чем он когда-либо попадет на стадию обработки платежа.
Но что делает обнаружение мошенничества PayPal по-настоящему грозным, так это то, как он объединяет эту информацию о доставке с их огромным набором пользовательских данных. Почти каждый взрослый в США в какой-то момент взаимодействовал с PayPal — будь то посредством прямых покупок, получения платежей или просто создания учетной записи, которой он никогда не пользовался. Каждое из этих взаимодействий подпитывает их модели риска, создавая сложную сеть доверенных отношений и проверенного поведения, которую практически невозможно проникнуть с помощью традиционных методов кардинга.
Почему трюк Bill=Ship не работает
Удачи. В отличие от обычных транзакций по кредитным картам большинство сайтов не позволят вам менять адрес после того, как платеж PayPal пройдет. И на это есть веская причина — PayPal, по сути, является их гарантией отсутствия мошенничества.
Подумайте об этом: когда вы платите кредитной картой, сайты подвергают вас проверкам на мошенничество и всякой ерунде. Но платить через PayPal? Магазины упаковывают и отправляют товар на следующий день, не задавая вопросов. Почему? Потому что эти продавцы знают, что обнаружение мошенничества PayPal — это божественный уровень. Они видели послужной список PayPal по закрытию мошенников, и они доверяют ему больше, чем собственной матери.
Логика торговцев проста: никто не настолько глуп, чтобы пытаться кардить через PayPal. Модели риска слишком сложны, а набор данных слишком огромен. Поэтому, когда они видят, что платеж PayPal проходит, они относятся к нему так, как будто он благословлен самими богами предотвращения мошенничества, пока никакая информация не меняется после оплаты.
Переключение адреса доставки
Вот где начинается самое интересное. Помните тот двухэтапный процесс стандартной оплаты PayPal, о котором мы говорили? Этот разрыв между авторизацией и окончательной обработкой — это не просто причуда, это наш чертов молоток. Чтобы лучше донести мысль, давайте проиллюстрируем это на примере случайного магазина Shopify.
Когда вы имеете дело с магазином Shopify, использующим PayPal Standard Checkout, вот как мы собираемся поиздеваться над их системой:
1. Добавьте товары в корзину и перейдите к оформлению заказа
2. В информации о доставке введите РЕАЛЬНЫЙ АДРЕС ДЕРЖАТЕЛЯ КАРТЫ
Как и почему это работает как по волшебству
Обнаружение мошенничества PayPal происходит во время первоначальной авторизации. Как только они дают зеленый свет, они доверяют продавцу обработку всего остального. Конечно, продавцы могут отправить им обновленный адрес доставки, но это бывает редко. И даже когда они это делают, вы уже прошли через сложную проверку на мошенничество во время оформления заказа — PayPal уже провел самые глубокие исследования и дал вам свое благословение.
Любой магазин, который позволяет нам изменять заказ перед оплатой, — это наш золотой билет. Он предназначен для того, чтобы позволить добросовестным клиентам исправлять опечатки или изменять адрес в последнюю минуту. Вместо этого мы будем использовать его, чтобы полностью обойти сложную проверку на мошенничество PayPal. К моменту завершения обработки транзакций PayPal уже перешел к тщательному изучению следующего бедолаги, пытающегося провести платеж (вбить карту) через их систему.
Заключительные мысли
Итак, вот вам и Святой Грааль кардинга - Вбив через PayPal — раскрыт. Мы не просто бросаем дерьмо в стену и надеемся, что что-то прилипнет. Это рассчитанная точная эксплуатация фундаментального недостатка в их процессе оформления заказа.
Помните — это не какая-то чушь о «быстром обогащении». Обнаружение мошенничества PayPal по-прежнему зверь.
И ради всего святого, держите свой OPSEC под контролем. Смешивайте своих дропов, меняйте суммы покупок и никогда не используйте один и тот же аккаунт PayPal дважды.
Теперь идите зарабатывать эти деньги — только не приходите ко мне плакаться, когда облажаетесь, срезая углы.
(c) Телеграм: d0ctrine
Но вот где становится интересно - я сидел на методе, который постоянно попадал на вбив PayPal в течение последних двух лет. Это фундаментальный недостаток конструкции в их системе, который они не могут просто исправить быстрым обновлением. И сегодня я собираюсь разобрать его для вас пошагово.
Процесс оплаты PayPal
Прежде чем мы погрузимся в эксплойт, давайте разберем, как на самом деле работает процесс оплаты PayPal. Существует два основных пути, по которым может пройти транзакция:
PayPal Express Checkout (немедленная оплата)
- Клиент нажимает кнопку «Оплатить через PayPal»
- Перенаправляется в PayPal для оплаты
- Платеж обрабатывается немедленно на стороне PayPal
- Клиент возвращается в магазин с завершенной транзакцией
- Дополнительное подтверждение не требуется
- Обычно встречается на базовых сайтах электронной коммерции
PayPal Standard Checkout (двухэтапный процесс)
- Клиент нажимает кнопку «Оплатить через PayPal»
- Перенаправляется в PayPal для авторизации (но не обработки) платежа
- Возвращается на сайт продавца с токеном PayPal
- Все еще может изменять данные о доставке/выставлении счета
- Необходимо нажать последнюю кнопку «Оплатить сейчас» для завершения
- Используется крупными розничными торговцами для гибкости
Во втором потоке — Standard Checkout (стандартная оплата) — кроется наша уязвимость. Этот разрыв между авторизацией и окончательной обработкой? Это наш золотой билет. Двухэтапный процесс создает окно возможностей, которое система обнаружения мошенничества PayPal не может легко закрыть, не нарушив законную функциональность.
Обнаружение мошенничества PayPal
Обнаружение мошенничества PayPal — это многоуровневый зверь, который был отточен за десятилетия борьбы с мошенниками. В своей основе он построен на одном важном понимании — адреса доставки не лгут. В то время как большинство платежных систем одержимы отпечатками браузера и IP, PayPal знает, что физические заказы оставляют бумажный след, который вы не сможете подделать. Они создали обширную базу данных надежных мест доставки, привязанных к каждой учетной записи PayPal и карте, которые когда-либо касались их системы.
Подумайте об этом — что за дерьмовая карта на 5$, которую вы пытаетесь использовать? Скорее всего, ее законный владелец заказывал что-то через PayPal в какой-то момент своей жизни. PayPal уже знает их домашний адрес, их рабочий адрес, дом их мамы, куда они отправляют рождественские подарки. Каждая успешная транзакция оставляет след в огромной сети надежных мест PayPal. Когда вы пытаетесь отправить этот 65-дюймовый телевизор на какой-то случайный адрес, который они никогда раньше не видели, начинают звенеть тревожные колокола.
Эта одержимость адресами доставки выходит за рамки только индивидуальной истории транзакций. Алгоритмы PayPal анализируют места доставки по всей своей сети, создавая тепловые карты законной торговли и подозрительной активности. Они знают, какие почтовые индексы имеют высокий уровень мошенничества, какие адреса связаны с дропом, даже какие здания, как правило, имеют необычные схемы доставки. Ваш, казалось бы, невинный заказ проходит через этот длинный список факторов риска, основанных на местоположении, прежде чем он когда-либо попадет на стадию обработки платежа.
Но что делает обнаружение мошенничества PayPal по-настоящему грозным, так это то, как он объединяет эту информацию о доставке с их огромным набором пользовательских данных. Почти каждый взрослый в США в какой-то момент взаимодействовал с PayPal — будь то посредством прямых покупок, получения платежей или просто создания учетной записи, которой он никогда не пользовался. Каждое из этих взаимодействий подпитывает их модели риска, создавая сложную сеть доверенных отношений и проверенного поведения, которую практически невозможно проникнуть с помощью традиционных методов кардинга.
Почему трюк Bill=Ship не работает
Удачи. В отличие от обычных транзакций по кредитным картам большинство сайтов не позволят вам менять адрес после того, как платеж PayPal пройдет. И на это есть веская причина — PayPal, по сути, является их гарантией отсутствия мошенничества.
Подумайте об этом: когда вы платите кредитной картой, сайты подвергают вас проверкам на мошенничество и всякой ерунде. Но платить через PayPal? Магазины упаковывают и отправляют товар на следующий день, не задавая вопросов. Почему? Потому что эти продавцы знают, что обнаружение мошенничества PayPal — это божественный уровень. Они видели послужной список PayPal по закрытию мошенников, и они доверяют ему больше, чем собственной матери.
Логика торговцев проста: никто не настолько глуп, чтобы пытаться кардить через PayPal. Модели риска слишком сложны, а набор данных слишком огромен. Поэтому, когда они видят, что платеж PayPal проходит, они относятся к нему так, как будто он благословлен самими богами предотвращения мошенничества, пока никакая информация не меняется после оплаты.
Переключение адреса доставки
Вот где начинается самое интересное. Помните тот двухэтапный процесс стандартной оплаты PayPal, о котором мы говорили? Этот разрыв между авторизацией и окончательной обработкой — это не просто причуда, это наш чертов молоток. Чтобы лучше донести мысль, давайте проиллюстрируем это на примере случайного магазина Shopify.
Когда вы имеете дело с магазином Shopify, использующим PayPal Standard Checkout, вот как мы собираемся поиздеваться над их системой:
1. Добавьте товары в корзину и перейдите к оформлению заказа
2. В информации о доставке введите РЕАЛЬНЫЙ АДРЕС ДЕРЖАТЕЛЯ КАРТЫ
- Это важно — PayPal должен увидеть адрес, которому они доверяют
- Убедитесь, что он совпадает с тем, что есть в записях PayPal для карты
- PayPal видит надежный адрес доставки
- Их обнаружение мошенничества вызывает теплые, неясные чувства
- Авторизация проходит гладко и без сучка и задоринки
- После авторизации PayPal, но ДО окончательного подтверждения
- Shopify позволит вам «просмотреть» (если только магазин не использует Express Checkout, в этом случае он немедленно обработает транзакцию) ваш заказ в последний раз
- Это когда вы меняете этот адрес доставки на свой адрес
- PayPal уже получил свое благословение, они больше не проверяют
- Транзакция обрабатывается через предварительно авторизованный токен PayPal
- Shopify получает обновленную информацию о доставке
- Посылка отправляется к вам, а не к владельцу карты
Как и почему это работает как по волшебству
Обнаружение мошенничества PayPal происходит во время первоначальной авторизации. Как только они дают зеленый свет, они доверяют продавцу обработку всего остального. Конечно, продавцы могут отправить им обновленный адрес доставки, но это бывает редко. И даже когда они это делают, вы уже прошли через сложную проверку на мошенничество во время оформления заказа — PayPal уже провел самые глубокие исследования и дал вам свое благословение.
Любой магазин, который позволяет нам изменять заказ перед оплатой, — это наш золотой билет. Он предназначен для того, чтобы позволить добросовестным клиентам исправлять опечатки или изменять адрес в последнюю минуту. Вместо этого мы будем использовать его, чтобы полностью обойти сложную проверку на мошенничество PayPal. К моменту завершения обработки транзакций PayPal уже перешел к тщательному изучению следующего бедолаги, пытающегося провести платеж (вбить карту) через их систему.
Заключительные мысли
Итак, вот вам и Святой Грааль кардинга - Вбив через PayPal — раскрыт. Мы не просто бросаем дерьмо в стену и надеемся, что что-то прилипнет. Это рассчитанная точная эксплуатация фундаментального недостатка в их процессе оформления заказа.
Помните — это не какая-то чушь о «быстром обогащении». Обнаружение мошенничества PayPal по-прежнему зверь.
И ради всего святого, держите свой OPSEC под контролем. Смешивайте своих дропов, меняйте суммы покупок и никогда не используйте один и тот же аккаунт PayPal дважды.
Теперь идите зарабатывать эти деньги — только не приходите ко мне плакаться, когда облажаетесь, срезая углы.
(c) Телеграм: d0ctrine
