Professor
Professional
- Messages
- 213
- Reaction score
- 22
- Points
- 18
Лекция 1.
Начнем с базовой безопасности.
Рассказ веду про РУ и СНГ зону, информация тут похожая, может отличаться в мелочах.
Существует в принципе 2 важных правила для работы в нашей сфере:
1) Не распространяйтесь в оффлайне о своей деятельности
Тут, думаю понятно почему. Тише едешь - дальше будешь.
2) Еще более важное правило - никогда не работайте по СНГ зоне. Если живете в Европе или любой другой стране - не работайте в своей стране.
Тут правило еще проще - не сри, там где ешь.
Если описать второе правило более подробно - то никаких Ру шопов, никакого ру материала (за исключением сканов)
Сканы - это вспомогательный материал и он нужен нам будет просто для регистрации.
Никаких лишних действий с ними мы делать не будем.
Насчет работы по РУ.
В целом, по ней работают, были даже знакомые.
Но категорически не советую лезть в эту тему и иметь знакомств с подобными персонажами.
Да, тут у нас работать выгодней, проще и т.п.
Но - если тебе дорога свобода, про это направление забудь.
Этими делами занимается ФСБ.
Они тебя найдут и вычислят сами достаточно быстро.
Потому как им интересны люди, которые работают по своей стране.
И если тебя найдут или заложат - то ты получишь вполне реальный срок.
Именно поэтому мы работаем по США и дальним странам.
Например, с США у РФ нет никаких договоренностей по высылке преступников.
Максимум что они сделают, даже если у них будет в руках твой айпи - вышлют письмо в ФСБ со словами - "вот тут такой есть человек, делает нашей экономике плохо, просьба проверить и выслать к нам"
ФСБ получив такое письмо на руки:
1. Ничего не делает, просто будет следить за тобой внимательно
2. Придет на профилактическую беседу с целью сотрудничества
Понятное дело, если ты очень крупный кардер или держишь какой-то сервис, то тебя выдать могут, можешь почитать историю Димы Смелого.
Но мы в этом море на самом деле мелкие рыбы и нам такое не светит в принципе.
Кто еще интересует наших ФСБшников
Работа с ботнетом - заражение компов, рассылка вирусов
Добыча материала - CC, банки и т.д.
Работа с ДДОС
Мы материал не добываем, мы его покупаем.
Все инструменты мы тоже покупаем, ничего сами не поднимаем, ничего лишнего не делаем.
Пользуемся уже готовыми решениями.
И все, вуаля, мы нашим правоохранительным органам неинтересны.
США неинтересны до определенной суммы.
А если и сумму превысим - то мы грамотно замаскируем свой айпи и они нас не вычислят
Но даже, если вдруг будет какой-то прокол с нашей стороны условный и они получат наш настоящий айпи, то максимум что возможно - это письмо в ФСБ и беседа
Ну особенно в текущих политических условия - это 99% что закончится беседой и то, если очень сильно ты будешь им интересен.
Сейчас у них куча других проблем с хакерами и ддосом.
Насчет вбива с дальних стран, например со стороны США, то наша основная задача не дать себя определить как конкретного нарушителя
Как пример - в один шоп было за месяц сделано в сумме сто кардерских вбивов.
Если пойдет разбор полетов и увидят, что 70% от этой суммы шли на одного и того же посреда, на одно и тоже имя (на ру сканы), а потом уезжало на одно и тоже имя в ру (пусть даже на ру приемщика), то это дело их заинтересует, потому как видно, что бил один человек. а если еще и отпечатки будут совпадать по всем заказам - так точно им будет интересно раскрыть, кто это бил и наказать его.
Другой случай, эти же 70 вбивов сделал опять же один и тот же человек, но все заказы он грамотно распихал - часть уехало на дропов скуп сервисов (дропы часто менялись, каждый дроп более 1 пака не принимал), часть заказов уехало на посреда, а потом на разные адреса в ру (приемщики товара в ру), некоторая часть уехало по заказам в другие страны (выполнил чей-то заказ на вбив).
И человек занимался безопасностью, менял отпечатки своего компа, железа и в целом менял свое поведение, то этот случай скорее всего уже не заинтересует, потому как не будет точно известно, что это бил один и тот же человек
Потому как им очень не хочется, да и финансово невыгодно гоняться за 50 кардерами.
Это и есть базовая безопасность
Не нужно заниматься порнографией - криптовать и шифровать свои данные, сидеть в лесу без телефонов и т.п.
Важно изначально правильно строить процесс своей работы
По желанию можно конечно купить левый ноут, купить модем и левую симку и работать через нее
Левый ноут купленный с авито (для покупки опять же регаешь левый акк на авито на левую симку и левое имя), модем (тоже желательно с рук или в переходе) и левая симка с интернетом.
С этого ноута уже соответственно своими личными делами никогда не занимаешься, в ВК не сидишь и т.п., только работа, только вечно включенный впн.
Ну и не светим свою личность в онлайне, начиная от общения в мессенджерах, заканчивая получением товара на руки.
Все данные, вся активность, которую вы оставляете в работе, в диалогах с контактами в мессенджерах, на теневых ресурсах, абсолютно всё не должно быть связано с вашей реальной личностью.
Кратко про товар.
В целом всегда было 2 способа продавать товар:
1) продавать в той же стране скупам. Из плюсов - быстрее, из минусов - меньше профит.
2) привозить к себе и продавать на том же авито, либо в какие-то магазины толкать левак. Из плюсов - больше профита, из минусов - намного дольше процесс доставки, плюс прохождение таможни.
Сейчас же границы не то, чтобы закрыты, товары идут, но на таможне все входящее в РУ проверяется намного тщательнее. Были раньше сервисы, которые занимались приемкой товара в РУ через дропов, но сейчас им хуже стало. Поэтому лучше иметь своих дропов принимающих, либо слать как-то через Казахстан. А если слать в обходную, чтобы привлекать меньше внимания - это еще дольше по времени и еще дороже.
Из впн советую NordVPN, брут стоит копейки (рублей 20-50), безопасность хорошая, пользуюсь уже давно.
Как работает ВПН? Когда пользователь заходит в обычную сеть, его устройству присваивается уникальный IP-адрес и этот адрес виден третьим лицам (например, вашему интернет провайдеру) – они могут смотреть, какие сайты пользователь открывает, какую информацию ищет и т.д.
При активации ВПН же оригинальный IP-адрес становится не виден, вместо него отображается адрес виртуальной частной сети. Подключение к интернету будет зашифровано и даже, если данные получат третьи лица – то расшифровать данные они не смогут без ключей шифрования.
Однако, не все сервисы надежны и готовы хранить вашу анонимность. Во-первых, очень большую роль играет то, где расположена штаб-квартира ВПН-сервиса. Для примера, возьмем довольно популярный NordVPN (именно его я буду приводить в качестве хорошего сервиса) – его штаб-квартира находится в Панаме. В этой стране нет закона об обязательном сборе данных или программ массовой слежке. Это означает, что все конфиденциальные данные пользователей будут оставаться анонимными. Если у сервиса возникнут какие-либо юридические проблемы, то компания будет подчиняться только местным законам Панамы.
Так же, Панама не входит в состав альянса “5, 9 и 14 глаз” (международная разведывательная сеть, в которую входят США, Великобритания, Канада, Австралия и многие страны Европы).
Сервера работают через оперативную память (RAM-based) – это значит, что все данные, начиная от операционной системы, программного обеспечения и всех данных пользователя хранятся временно.
NordVPN никогда не хранит и не собирает данные о пользователях, чему я охотно верю, так как в 2019 году один из хакеров взломал один из серверов в Финляндии, но не получил никакие данные о пользователях (пароли, айпи-адреса, активность).
Так же, после этого случая сервис запустил программу тестирования и поиска багов на известном сервисе HackerOne (https://hackerone.com/nordsecurity?type=team)
А если мы возьмем для примера какой-нибудь русский бесплатный ВПН-сервис? Чаще всего, они хранят данные о всех пользователях и при малейшем запросе от спецслужб выдадут все эти данные, чтобы самим не сесть на бутылку. Безопасность и анонимность такие сервисы никакую не предоставляют. Так же, подобные сервисы имеют очень слабую защиту и их регулярно взламывают и сливают данные в открытый доступ (такие новости довольно частые, например https://www.kommersant.ru/doc/4424143)
Далее, NordVPN использует шифрование военного уровня (AES с ключами 256-bit) – это чрезвычайно сложный шифр, такой же стандарт шифрования используют правительства по всему миру. Для того, чтобы взломать брутфорсом такой шифр понадобится миллиарды лет.
Так же, у данного сервера есть множество дополнительных фишек по безопасности, если заинтересует данный вопрос, то можно будет почитать профильные статьи от обозревателей различных ВПН-сервисов, которые проверяют их на безопасность.
Купить данный ВПН можно или через официальный сайт, либо, что еще лучше, купить уже взломанный аккаунт одного из реальных покупателей (такие бесплатные раздачи довольно частое явление на разных форумах, либо можно купить в каком-нибудь шопе, например тут https://crazyshops.ru)
Так же скажу, что можно поднять и свой ВПН-сервис, полностью статью я заново писать не буду, просто поищите мануалы в Интернете.
Хочу сказать, что данный метод не гарантирует суперзащиту, поэтому, если вы полный новичок – лучше пользуйтесь NordVPN, там уже все предусмотрели и сделали за вас. Если же вы прожжённый мастер своего дела и знаете, как поднять самостоятельно идеальный по анонимности сервер – то велкам, пользуйтесь своими инструментами.
Также не забывайте выставлять в настройках VPN функцию Kill Switch (может называться как-либо иначе). Функция килл свитч полностью отключает вас от интернета, если вы потеряли соединение с сервером впн, тем самым не давая оголиться нашему траффику.
Общие моменты по безопасности мы обсудили, перейдем ближе к нашей теме.
Если прямо совсем просто рассказать как произвести вбив - то это 1. Купить карту, 2. Оплатить картой заказ.
Понятное дело, что это в очень обобщенных чертах и так просто все сейчас не работает, иначе каждый второй бы сидел и вбивал бы заказы.
Кардинг, по сути, зародился тогда, когда появились первые интернет-магазины, то есть еще в конце 20 века.
Тогда да, все было просто - можно было взять любую карту, вписать данные и заказ проходил без всяких проблем.
Очевидно, что и в то время были люди, которые пользовались этим, а банки и интернет-магазины были очень недовольны, потому что это по сути мошенничество и хищение чужих денежных средств.
Поэтому банки и магазины начали вводить ответные меры, которые могли бы помешать оплачивать чужими картами заказы в магазине. Логично, что сначала эти меры были простыми, но каждый год они развивались, развивались и становились все сложнее и сложнее. У этих мер, которые должны помешать кардерам есть свой термин Антифрод (Antifraud). Соответственно, Антифрод - это комплекс мер, которые помогают бороться с мошенниками.
В самом начале эти меры были очень простыми. Например, cvv-код (три цифры сзади карты). Это вот самая первая мера Антифрода.
Сейчас понятное дело это намного все обширнее. Если вспомнить, например, во многих странах есть 2FA защита (смс-код на телефон). Это уже такая довольно серьезная защита, но в США не все банки ей пользуются. Для нашей работы лучше всего в самом простом формате подходят карты, которые не имеют смс-защиту. Такие карты есть в США и Европе, называются они non-vbv.
Так вот, насчет Антифрода.
Свой комплекс мер имеет и сам банк, в котором выпущена карта. Например, лимиты по операциям, подтверждения через звонок и т.п.
Но нас больше интересует антифрод, который установлен в самом интернет-магазине, так как он намного более серьезный. Антифрод не установлен в сам интернет-магазин напрямую, он встроен в специальную систему, которая называется Мерч (merchant). У каждого шопа есть Мерч, это по сути его ядро.
Когда мы открываем сайт в интернете - мы видим картинки, надписи, различные кнопочки - но это лишь его визуальная внешняя часть. Основная работа сайта в интернете происходит именно в Мерче. Именно он обрабатывает все наши нажатия, следит за нашими кликами, собирает статистику и т.п. А когда мы говорим про интернет-магазин - в нем в Мерче встроен специальный раздел, который и занимается Антифродом.
Антифрод Мерча - это комплексое ПО, которая подключена к банковской сети и шопу одновременно, так же имеет платежную систему и является системой защиты транзакций и настраивает жесткость прохода транзакций самим шопом.
С того момента, как мы попадаем на сайт самого шопа, мерч уже начинаем присваивать нам фрод очки, основываясь на наших действиях на сайте.
Он анализирует по какой ссылке мы перешли, с какого сайта, вбили в браузере или с поисковика. Так же пристально наблюдает за нашим поведением - ходим ли мы по шопу, выбираем товар или тупо сразу вбиваем.
Поэтому, первое, на что стоит обратить внимание - это что нужно вести себя в шопе как реальный покупатель.
Сравнивать товары, добавлять, убирать из корзины, поля все заполнять только набирая текст вручную, а не копипастом данных с кредитки. Серьезные шопы вообще могут реагировать на переключение с окна браузера при вводе данных.
Немного терминов.
В США есть 2 типа адресов:
1. Shipping address - тут все довольно просто, это адрес доставки, куда едет товар
2. Billing address - это платежный адрес, у нас такого нет. Если объяснить по простому - это адрес, по которому зарегистрирован владелец и его карточка. То есть владелец пошел в банк, выпустил кредитную картку и в качестве своего адреса платежного указал свое текущее место проживание.
Эти 2 адреса могут как совпадать (владелец заказывает для себя), так и могу не совпадать (заказывает на свою другую квартиру, покупает подарок подруге и т.п.)
По биллинг адресу есть специальная проверка, называется AVS (Address Verification System).
Эта система встроена в мерч шопа и проверяет биллинг адрес, который мы ввели с тем, что хранится в банке.
Опять же, один из элементов Антифрод защиты.
https://chargebacks911.com/knowledge-base/what-is-address-verification-service/#1 - Здесь можно подробно ознакомиться с этой системой.
AVS сверяет опять же не все данные - она смотрит только zip (индекс по нашему), номер дома (+квартиры, если это квартира).
Имя-фамилию, номер карты и всякое такое она не смотрит.
Сам по себе AVS - довольно простая тема, но проблема в том, что с самим материалом может идти левый или старый адрес.
Потому как бывает что владелец часто переезжает и у него там 5 адресов.
А адрес в биллинге - например, это третий адрес. Он на этом адресе выпустил карту и ей пользуется.
Если адреса нет, то есть вариант попробовать пробить самому бесплатно по поиску через Гугл.
Иногда приходится обращаться к пробивщикам, но и те не всегда могут точно сказать, какой адрес в банке.
Поэтому с AVS проблемы могут быть все равно определенные, хоть защита и простая.
Лекция 2.
У стандартной системы антифрода шопа, например у Spotify (мерч) есть 3 уровня цвета и соответствующие риски.
Зеленый, Серый и Красный.
Разберем конкретные маркеры с этого конкретного шопа.
Зелёный - рисков нет, фрод снизит немного очки. Отображается когда значение атрибута совпадает с большинством "законных" заказов.
Серый - не прибавляет и не убавляет фрод очки. По сути, дополнительная информация о заказе. Всегда разная, зависит от того, какие у Вашего заказа зелёные атрибуты, а какие красные.
Красный - Extreme Risky (Экстремальный риск). Отображается когда значение атрибута совпадает с большинством мошеннических заказов.
Разберём атрибуты со скриншота:
/Красный/ - Характеристики заказа совпадают с другими мошенническими заказами.
/Зеленый/ - CVV корректен.
/Красный/ - Биллинг адрес не совпадает с зарегистрированным адресом cc.
/Красный/ - Билл ZIP или индекс не совпадает с зарегистрированным адресом cc.
/Красный/ - Было пять попыток оплаты.
/Зеленый/ - Попытки оплаты были с двух карт.
/Серый/ - IP адрес используется для размещения заказа в Бруклине.
/Зеленый/ - Адрес доставки находиться в 24 км от адреса IP.
/Зеленый/ - Билл страна соответствует стране, из которой был сделан заказ.
/Зеленый/ - IP адрес не высокого риска, не находиться в blacklist'е.
Это пример работы антифрода достаточно слабого шопа на Shopify
Чтобы ты примерно понимал, какие стандартные маркеры есть
На деле, даже в самом обычном шопе их тысячи
Они есть как встроенные изначально, которые идут вместе с привязкой шопа к Мерчу, так и любые другие, которые может добавить сам владелец шопа
То есть он может к любому мерчу прикрутить любые маркеры, проверяющие фродовость
Чем дороже и более востребован товар, тем жестче настроен фильтр антифрода!
ПРИМЕР:
Дополнительные настройки защиты от Fraud транзакций при вбиве допустим Iphone
- Отпечаток устройства. WebGL, Canvas Fingerprinting, и т.д.
- IP/Billing/Shipping дистанция между ними.
- Проверка на прокси/VPN.
- Тайминг - определение скорости транзакции.
- Поведение клиента в шопе.
- Проверяет наличие аккаунтов по E-Mail в соц. сетях.
- Проверяет информацию о CC в банках.
- Использует, как глобальные blacklist'ы, так и мерчевские.
- Проверка BIN'ов банка.
- Проверка по ASN
- Создает и использует свою базу значений мошеннических атрибутов и "законных" заказов на основе статистики.
Сверху это еще одни маркеры антифрода, по которым он проверяет наши заказы
Так же в процессе оплаты участвует Процессинговый центр (Payment Processor) у которого задача взаимодействовать с Visa/MasterCard и другими платежными системами, с Банком выпустившим СС КХ CardHolderа, с системой AVS соответственно, и на основании полученной/обработанной информации сообщает/рекомендует дальнейшие действия.
Так же еще добавлю, что в целом система АФ имеет не только разные цвета рисков, но и шкалу их влияния.
Допустим, в шоп ты пришел со значением 1 балл (стандарт)
Если ты наберешь больше 2х баллов - твой заказ не пропустят.
Если у тебя будет от 1 до 2х баллов - то система пропустит твой заказ, но отправит на ручную проверку.
Будет меньше 1 балла - то система пропустит твой заказ автоматически, без всяких проверок.
Бин - это идентификационный номер карты
ANS - что-то вроде вычисления твоей сети через айпи, тоже как отпечаток системы
Тайминг - это время, которое прошло с того момента, как ты нажал кнопку Оплатить и до того момента, как тебе сайт выдал результат.
Если у тебя слабый интернет (а это бывает довольно часто на прокси) - то у тебя это долго будет грузиться и обрабатываться. Если шоп видит, что времени прошло много - скорее всего ты сидишь через какой-то впн или прокси.
Насчет деклайна поговорим
Деклайн - это отмена транзакции при попытке оплаты
То есть ты заполнил все поля и тебе выдает Деклайн, что платежное средство не принято.
Всего их 2 вида:
Первый - это автоматический, как раз когда ты нажал кнопку оплаты и тебе выдало автоматическое сообщение.
Самые частые проблемы это:
1. Невалидная карта (заблокированная или с истекшим сроком действия) или неверные данные по карте (ты неправильно ввел или изначально в логе была инфа неправильная), если говорим про оплату с цц
2. Отсутствие баланса на платежном средстве (палка, любое другое подвязанное средство или просто истекшее по сроку действия)
3. Ошибки в самых базовых маркерах АФ (айпи адрес другой страны, утечка твоего адреса и т.п.)
То есть самые такие базовые проверки.
Но если тебе дали деклайн на первом уровне, то в 90% это что-то с данными
Второй вид деклайна - это уже при ручной проверке.
То есть твой заказ проходит первый автоматический этап и заказ ставится на обработку, и твой заказ вручную потом смотрит Служба Безопасности шопа (в случае с небольшими шопами. если шоп крупный, то в случае подозрений отправит на дополнительную автоматическую проверку по тем же базам)
Примерно вот такая табличка у них по каждому заказу где есть различные фильтры и маркеры настроенные и по ним они смотрят, что не так с твоим заказом или все в порядке.
Если все отлично - то они пропускают его и дают добро на высылку товара
Если есть какие-то сомнения - начинают свои проверки по своим базам или доп. маркерам или звонят тебе на указанный телефон и просят подтвердить оплату.
Например сообщить им свои данные или что-то по карте.
И последний вариант - если так все плохо, то они просто отменят заказ и все.
Насчет начала второго этапа это уже зависит индивидуально от шопа, его загруженности.
Ну допустим, если ты поставишь заказ в пятницу, то скорее всего, если шоп не особо большой - то твой заказ вручную проверят в понедельник, а может даже во вторник.
Если шоп крупный, то проверка обычно в течении 1-4 часов.
Но тут опять же, нужно брать конкретный шоп, читать его условия работы.
У них у всех есть часы работы, даты отправки товара.
Некоторые пишут, что отправка в день заказа
Соответственно, и проверка тоже.
Некоторые пишут, что отправка в следующий рабочий день.
Насчет номера сразу расскажу.
При заказе товара в шопе обязательно требуют указать контактный номер - чтобы из шопа могли тебе позвонить, уточнить что-то и т.п.
Раньше брали номер владельца (идет к с материалом к карте, которую мы покупаем) и меняли пару цифр (типо ошибся). Шопы пробовали позвонить, не дозванивались и обычно пропускали заказ дальше.
Так работали года 4 назад, но сейчас это уже плохо прокатывает. Сейчас шопы частенько номера пробивают по базам, смотрят существует ли такой номер, действительно ли он располагается в США и т.п. Вполне нормальный вариант сейчас - это купить виртуальный номер в нужной тебе стране, например через Google Voice (сервис виртуальных номеров, где можно сделать номер любой страны, на который тебе могут звонить и слать смски).
Вариант для продвинутых шопов - купить настоящую симку в нужной тебе стране, есть такие сервисы, у которых ты можешь арендовать симку и на нее так же будут приходить смски и звонки. Но звонить ты уже с этого номера не сможешь, все равно нужно будет заказывать прозвонщика.
Насчет старой темы с ошибкой в номере, есть конечно шопы - которые считают это за ошибку и ничего с этим не делают (например, шоп вообще не звонит по телефону и не пробивает их).
Но обычно шопы могут:
1. Проверять и пробивать номер на соответствие региона.
2. Сверять соответствие номера и почты
3. Звонить на номер для подтверждения заказа (некоторые крупные шопы обязательно это делают, тот же оф. шоп apple). Если номер нерабочий или трубку не берут - то могут просто заказ отменить или пойти пробивать номер по базам. Таким образом, они найдут номер настоящего владельца и позвонят уже ему.
Потом стали указывать виртуальный номер. Это уже лучше, так как номер рабочий и если звонок проходит (пусть им и не отвечают сразу) - то шопам спокойнее. Они позвонили - ты увидел что звонили, передаешь заказ прозвонщику, он уже звонит в шоп, представляется владельцем и решает вопросы, зачем они звонили. Но шопы некоторые так же уже научились пробивать номер и если видят - что он виртуальный, тоже могут деклайн пихнуть или пойти пробивать номер настоящий.Л учший вариант - это аренда настоящего номера в нужной стране. Стоит дороже, да, но зато эффективнее.
Насчет переписки - если они тебе уже позвонили - то переписка в большинстве случаев бессмыслена. Если позвонили - надо им перезванивать, иначе текстом они твой вопрос решать не будут. Прозвонщики могут номер подменять на нужный, если это требуется. Шопы крупные некоторые вообще не звонят никогда, у них нет такого штата сотрудников, чтобы каждого обзванивать, все за них делает и проверяет АФ. Настроишься хорошо - пройдет без звонка.
Но если ставишь крупный ордер в шопе поменьше - то будь готов сидеть на трубке, а иногда полезно и самому первому еще позвонить, да не один раз. Многие вопросы хотят решать только по телефону. Но тут опять же, надо подготовиться, знать все про своего КХ, про свою карту, подобрать правильного прозвонщика - много факторов.
Поговорим про БИНы
BIN - Банковский идентификационный номер (определяет банк эмитент выпустивший карту)
Первые 6 цифр карты 420767 - это и есть Бин
Если БИН карты начинается с цифры
3 - American Express
4 - Visa
5 - MasterCard
6 - Discover
После первой цифры уже идут номера по уровням и принадлежностям к тому или иному банку
Что можно сказать по BIN' нашей карты 4207670181231450, это определенно visa
Для проверки БИН нам потребуются вот такие сервисы https://bincheck.org/ или http://bins.su/
Идем на https://bincodes.com
Зачем нам нужно вообще знать бин.
Самое простое - узнать уровень карты.
Так как есть карта голая, то есть просто информация по ней - баланс мы никак узнать не можем.
Узнав уровень, мы можем определить примерный баланс карты и уже исходя из этого выбрать товар под эту сумму.
по уровням карт, например, какие есть у Визы:
• Secured: Очень маленькие суммы, обычно до 300$
• Classic: Маленькие суммы, иногда до 1000$
• Gold: Средние суммы, обычно до 3000$
• Platinum: Большие суммы, обычно до 8000$
• Business: Очень больше суммы, обычно до 15000$ и больше
• Signature: Самые лучшие карты, мне попадались карты которые имели 80000$ кредитного лимита
Есть еще Prepaid, Electron. Это совсем днищевые уровни.
На самом деле все просто - если видишь незнакомый уровень, идешь в Гугл.
Там обычно есть описания уровней.
У всех брендов соответственно уровни называются по своему.
Ну условно, если ты найдешь карту препейд, чтобы ты не бежал довольный в шоп ставить заказ на 700 бачей и не тратил зря время.
Как можно узнать баланс карты.
1. Прозвоном в банк
2. Сделать Енролл (онлайн банкинг) карты, если это возможно
Другие способы опять же дают нам примерную информацию.
Ну например тот же уровень карты. Он конечно дает примерное представление, но все же.
К концу месяца на кредитной карте могут быть лимиты уже, если владелец ей пользуется.
На дебетовой вполне может лежать 10 баксов, например владелец что-то купил или перевел на банковский счет.
Поэтому в целом смотрим и дебетовые и кредитные карты (хотя все равно предпочтение отдаю больше кредитных) уровня Голд, Сигнатур и Платинум.
Это такие хорошие средне-высокие уровни. Мелкие не смотрим из-за совсем низкого баланса.
Крутые вроде World и им подобные - из-за дополнительных лимитов и ограничений. На них часто стоит подтверждение через звонок. То есть любая крупная транза например выше 300$ - звонок из банка. Либо вообще могут стоят ограничения по оплате в интернете. То что там лежит сотня тысяч баксов - нам это ничего не дает, такую сумму все равно не осилить.
Зачем мы вообще заморачиваемся с мерчами и бинами, будем искать их, пробивать.
Да потому что шопы на одинаковых мерчах похожи между собой.
Так и бины одного банка похожи между собой.
Захотел ты пробить определенный шоп. Как пробивается шоп? Тестами.
Ты берешь одну карту допустим Visa банка Chase.
Пихаешь ее в шоп - она не заходит.
Берешь карту Mastercard банка Capital One - она не заходит.
В третий раз пихаешь карту Visa какого-нибудь мелкого банка и она заходит.
Ты в свою табличку записываешь - шоп watches.com бин 426772
И в следующий раз, когда ты пойдешь в этот шоп, ты уже не будешь тратиться на тесты, а уже покупаешь именно этот бин в этот шоп и он будет заходить с бОльшей вероятностью
Идем дальше по примеру
Вбиваешь ты этот бин в этот шоп, вбиваешь, а потом в один момент, например, заходишь в свой шоп с CC, а бина этого нет - закончился.
Например, партия была маленькая, всего 1.000 карт и они все закончились.
Либо этот бин задрочили и он попал в блеклист к мерчу шопа и он больше его не принимает.
Что делать?
Найти другие бины этого же банка, но более свежие.
И они опять же с бОльшей вероятностью зайдут в этот же шоп.
Сейчас покажу как это делать.
Используем этот же сайт
www.bincodes.com
Тебе сайт выдаст список всех бинов этого банка.
Если присмотришься, то заметишь, что бины идут по возрастанию сверху вниз.
Иными словами, по свежести.
То есть 403194 - это самый свежий бин этого банка, а твой был допустим 401321
Ты берешь самый свежий бин и идешь уже его искать в шопе с CC, а потом и вбивать в свой шоп.
У нас действует правило свежести.
Чем новее шоп, чем новее CC - тем для нас лучше
Просто потому что шоп, допустим, еще не так жестко настроен по антифроду
С бином тоже самое.
Его еще нет ни в каких блеклистах, базах и т.д.
Лекция 3.
Теперь про 3ds поговорим
3DS - это дополнительная защита при вбиве в шоп
3DS это не совсем банковская защита - это защита непосредственно карточных сервисов Visa и Mastercard.
3DS защита может быть привязана как к шопу, так и к картам
VBV - Verified By Visa
MCSC - Master Card Secure Code
Это и есть 3ds.
3ds опять же бывает разных видов.
Первый и самый простой - второй код защитный, как cvv на карте.
То есть владелец при выпуске карты сам устанавливает его в банке и потом эту защиту запрашивают.
Такой тип карт у нас в США. В других странах его нет.
Раньше был способ этот код сбрасывать и устанавливать свой, если он не шел вместе с материалом, но года полтора назад эту фичу прикрыли и поэтому если на карте есть защита, а код с материалом не идет - то ничего уже не сделаешь.
Второй - смс-код
Такая защита в Европе, РФ и многих странах.
Обойти можно иногда только если есть доступ к почте и то не всегда.
Есть еще варианты с дубликатом симки, но это дорого, долго и для наших целей не подходит.
Третий - самый новый, это изменяющийся код на самой карте.
Их очень мало и в сеть данные их не попадают по сути.
Сейчас расскажу, куда смотреть и как, чтобы узнать, есть ли vbv защита.
В USA 90% шопов без 3DS, но с AVS. Обычно, есть ли она в шопе или нет мы можем узнать по значку 3ds или таким значкам
Если такие значки есть - защита 3ds будет
но и не факт, если значков не будет - то и 3ds тоже не будет
Частенько хитрые владельцы магазинов специально не ставят такие значки, чтобы обломать кардеров или наоборот, защиты нет, а они ставят значки, чтобы отогнать кардеров.
Поэтому перед вбивом проверяем шоп отработкой (картой, которую уже вбивали куда-то и она живая).
Так мы точно сможем узнать, если ли 3ds защита в шопе.
Если мы вбиваем карту с 3DS в шоп БЕЗ 3DS, то шоп спокойно съест эту карту и проверку у нас не запросят, это что касается USA
учитывая, что мы работаем в основном по юсе - то и шопы мы будем искать без 3ds.
и пихать туда любой материал, и с 3ds и без него - шоп скушает.
Если по USA шопы без 3DS, то в Европе наоборот, все шопы с 3DS, вопрос что делать?
Можно в них бить материал USA no vbv и ip под штат/город достаточно, так как в EU нет системы AVS
А если нет системы AVS, то берем IP под доставку т.е Shipping и вбиваем на посреда/ дропа/скупа.
Из Европы AVS есть только в Англии, Швеции, Ирландии, в остальной европе – нет AVS
Европу бить картами США приятно, так как у них очень часто есть отправка по всему миру и можно сразу высылать уже к себе на адреса.
Минусы в том, что в скупе Европе меньше, чем в США, потому как законы у них строже с этим делом и все боятся.
Ну и еще то, что шопы Европы обычно внимательнее относятся к картам сша, так как знают, что защиты на них нет и проверить по факту они никак не могут. Поэтому часто запрашивают дополнительные доки (нужно делать отрисовку), часто звонят в банки, звонят по номерам, которые привязаны к карте и т.п.
Если кратко сказать - хочешь выслать быстро товар к себе в РУ - бей Европу картами США
Если хочешь по скупу - то бей США
А так вообще все зависит от шопов. Так как шопы Европы крупнее, у них обычно защита лучше.
Но так как и заказов у них больше, то часто они любят пофилонить с проверкой и кардерские заказы проходят чаще.
Какие-то вещи определенные, например цветы на заказ по всему миру вообще проходили с впн и данных карт.
Никаких прозвонов, никакой мороки. Ставишь впн, берешь карту за 5-10 баксов и покупаешь цветы за 500$.
То есть тут опять же, нужно искать шопы, смотреть, тестировать их
Все зависит от конкретных шопов и конкретных бинов.
Есть так же карты nonVBV, чаще всего охотятся за картами Европы.
По сети гуляют всякие базы таких карт - но они все мертвые почти точно.
Свежие бины таких карт чаще всего продаются и за сумму немаленькую, да и в шопах их частенько разбирают за минуты после публикации.
Вообще, самое приятное сейчас это бить шопы Европы картами Европы (карты nonvbv).
Потом, как мне кажется на втором месте - это бить США картами США.
И на третьем месте - это бить Европу картами США.
Шопы в Европе как-то лучше относятся к заказам, не так часто отменяют, частенько пропускают какие-то моменты мимо ушей.
А тот же США в основной массе все крупные шопы подзадрочили уже, они гайки максимально у себя в шопе закрутили и сидят, чуть ли не над каждым заказом трясутся. Ну это я говорю про более-менее крупные ордеры.
Далее поиск шопов.
Найти хороший шоп это уже 50% успешного вбива для чистых CC, поэтому это основное чему нужно уделить время
Существует несколько способов поиска:
1) Первый способ поиска: самый простой и банальный - это Google
Синтаксис в Google следующий: хотим найти какой-то товар определённой фирмы
Вводим в Google: Watches+worldwide+shop
Можно писать всё что угодно, слово worldwide в данном случае будет означать доставка по всему миру
То есть будет искать преимущественно шопы с такой услугой
Оператор "+ " в синтаксисе Google означает, что оба эти слова будут учитываться при поиске
: inurl:.us - такой запрос будет искать домены только в зоне USA, тут можно менять на своё усмотрение, как угодно = com. fr. de . и тд
так же, есть оператор :site.us
Этот будет искать шопы именно по домену
Различных параметров множество, это основные для поиска.
Если интересно - вбиваешь синтаксис поиска и читаешь
habr.com
www.rookee.ru
Сразу когда переходим в шоп, обращаем внимание на его внешний вид.
Если шоп сделан дорого, значит и защита него соответственная, так же важным фактором защиты будет являться вид товара, думаю, это и так понятно.
Чтобы более менее понимать, куда мы попали, спускаемся в подвал сайта, то есть прокручиваем в самый низ.
1. Это платёжные системы которые принимает данный шоп. Просматривайте их предварительно перед вбивом, так как бывает часто что шоп не принимает карты Discover и Amex.
2. Описание политики шопа в отношении проверки ордеров, ограничения, и вообще много интересной и нужной нам информации.
3. Это инфа о доставке, обычно пишется shipping или delivery, В этом разделе описано куда шоп доставляет или не доставляет, т.е на посредов или абонентские ящики, или пишет что только на реальный адрес и тд
4. Это говорит о том что в шопе есть гифты
Это основные параметры которым мы уделяем максимальное внимание, от внимательного изучения подвала сайта в целом зависит успех вбива.
По всем правилам и условиям нужно будет ходить и внимательно их изучать.
Потому что бывали уже случаи, когда ученик ставил какой-то заказ в шоп на посреда.
Вроде платеж прошел, все хорошо, а потом через день заказ отменяют со словами - мы не высылаем на адреса, отличные от биллинга
и в шопе так и написано - ученик просто не заметил.
Есть разные фишки, которые приходят с наработками
Допустим, в дешевых тарифах мерча никогда не будет Гифтов
Если брать тот же мерч Шопифай - там 3 уровня - начальный, стандартный и продвинутый.
Гифты есть только на продвинутом.
Видим шоп на Шопифае без гифтов - это либо начальный, либо стандартный уровень и соответственно, чем ниже тариф у шопа - тем хуже антифрод защита.
Потому как с пакетами идет обычно всякие дополнительные настройки антифрода, плагины и т.п.
Для получения инфы о шопе заходим на этот сайт https://builtwith.com
Листаем ниже и в разделе eCommerce мы увидим сам мерч шопа.
Иногда бывает что мерч просто не отображается, такое бывает - его нужно будет выявить по признакам или на самом сайте будет какая-то инфа в том же подвале.
Иногда мерч будет писать как неопределенный
cart funcionality
Это значит, что мерч кастомный. То есть его собирали и делали вручную, а не покупали готовое решение.
Если нажмем на сам мерч - то увидим шопы на этом же мерче, а так же описание самого мерча, его популярность, в каких странах где и как он используется, ну и так же сам сайт мерча, где можно посмотреть его расценки, условия, с чем работают и что подключают
вообще, на builtwith много полезной инфы, в ней указывается почти все, что прикручено на сайте - какие плагины следят за действиями, какие методы оплаты прикручены и т.п.
Понятное дело, что напрямую тебе никто маркеры АФ писать не будет, но косвенно по популярности и стоимости тех или иных плагинов можно понять, насколько сильный шоп.
С этим сайтом в первую очередь нужно работать плотно
Если мерч кастомный - хорошо это или плохо? Тут уже нужно смотреть более подробно сам шоп и другие плагины.
Тут 50/50 на самом деле.
Иногда его делают самостоятельно, чтобы сэкономить.
Какие-то бесплатные открытые мерчи покупают какую-то защиту задешево и все, шоп кастомный готов.
А иногда специально делают вручную - чтобы настроить лучше, чем обычный мерч готовый нанимают специалиста, который вручную все под конкретную задачу настраивает и там могут быть такие маркеры - которые ты и в глаза не видел в стандартных шопах
Нужно смотреть все возможные моменты, сравнивать их и делать общий вывод, потому что шопы это дело такое, они все равно все индивидуальные.
Идем дальше по мерчу и сайту builtwith
Ты можешь нажать на ссылки снизу и почитать про него подробнее.
Где используемся мерч, в каких странах, какая популярность.
Так же будет ссылка на сам сайт мерча, где можно почитать о нем инфу, посмотреть цены и сделать общее представление о нем
По второй ссылке можно глянуть шопы на таком же мерче.
В целом на builtwith так же можно смотреть почти все плагины.
АФ, кто принимает платежи, обрабатывает.
Так же можно раскрывать подробнее все это и читать.
Там есть рейтинги плагинов. В скольких шопах стоят, платные они, бесплатные и в целом его защиту.
Сайт хороший, инфы много, его нужно изучать подробно.
Если покопаться хорошо - походить по оф. сайтам мерча, почитать форумы владельцев шопов на таких мерчах (часто пишут свои проблемы и ошибки), почитать про все плагины, сравнить с другими шопами на том же мерче - то можно получить много полезной инфы.
Идем дальше по поиску шопов.
2) Как раз поиск шопов с таким же мерчем через builtwith
Там на сайте есть кнопочка - шопы с этим же мерчем.
Заходим и видим небольшой список шопов.
Если хотим полный список - нужно оплатить.
Оплатить можно опять же отработкой - влазит хорошо
3) Еще заходим сюда http://www.resellerratings.com/store/category
Это рейтинг различных магазинов
Тут можно найти Богом забытые шопы. Ищем опять же по категориям и рейтингу. Не забываем vpn.т.к к шопам прикручен blocked region регион лок
4) Еще один способ это поиск через соц. сети как facebook / instagram / pinterest и прочее. Частенько шопы там делают группы по привлечению клиентов facebook / instagram / pinterest всегда есть группы которые организуют новые магазины и все время пытаются подписатся или иным способом привлечь клиента
Так же youtube, там тоже есть что поискать, на пример через всяких RU блогеров можно выйти на забугор шопы которые шлют в ру и тд
Вообще поиск шопов довольно творческое занятие, чем более необычные ваши запросы будут - тем выше шансы найти интересные шопы.
В целом, чтобы было понимание у тебя, почему шопы отличаются, что такое мерч, почему у них у всех разный АФ
как искать вообще шопы по каким-то запросам, как искать похожие, где смотреть инфу по отправке на разные адреса и т.п.
Например, у сайта эпл рейтинг 44
Чем ниже рейтинг - тем популярнее шоп.
Соответственно, по рангу можно оценить насколь популярен шоп в принципе, если у шопа рейтинг несколько миллионов - он не особо популярный и соответственно, защита в нем слабее cкорее всего, но опять же, как и говорил, целиком на параметр не опираемся, смотрим все в целом.
Потому как могут быть и такие варианты, что шоп вроде бы популярный, но защита в нем нулевая.
Ну банально, люди продают хороший товар по хорошей цене, занимаются рекламой активно, а сайт склепали кое-как.
Или обратная ситуация - шоп вроде бы непопулярный, но защита в нем может стоять очень хорошая. Владелец вложился на начальном этапе в хороший шоп и защиту, а вот про рекламу и продвижение забыл.
Ну, обычно, на самом деле - чем больше рейтинг у шопа, тем хуже у него защита процентов 70-80, что это будет так.
Поэтому на рейтинг можно в принципе ориентироваться.
А так нужно смотреть по внешнему виду: по его плагинам-мерчу, по его описанию и что они требуют.
Можно заходить на их страницы в фейсбуке-инсте смотреть, сколько там людей, какая активность, можно почитать отзывы о шопе и т.д.
То есть изучать шоп нужно всесторонне.
Вот тут на сайте при вводе нашего - будет еще полезная инфа
Вроде по каким запросам пользователи выходят на этот сайт или список шопов похожих на нас, часто на одном мерче.
Так же перед вбивом, смотрим разделы в магазине, а именно политику шопа
Она бывает в разделе Delivery, Shiping, Terms and conditions, Privacy policy, у каждого шопа по своему. Это все мы смотрим в подвале сайта
Там нам нужно найти информацию к тому как шоп относится к ордерам на различные бил шип
Так как бывает что так и пишут что мол: "мы не шлём на отличные от биллинга адреса
Все покупатели должны точно вводить свой Биллинг адрес, а так же Шиппинг адрес.
Мы отправляем товар только на Биллинг адрес владельца карты!
т.е с этими шопами понятно. Вбить можно ТОЛЬКО на Билинг адрес КХ, и потом уже делать перенаправление пака
Либо пишут, что могут потребовать дополнительную верификацию, если бил/шипу, к этому надо быть готовым, потребовать могут что угодно, обычно это ссн\доб, либо попросят миники, либо документы, либо еще что-то, к примеру как выглядит их транзакция у вас в выписке (Стейтмен-Это выписка расходов и остатков по БА или кредитной карте с указанными суммами списания, раз в месяц/неделю/каждый день зависит как настроил доставку на email КХ)
Далее, пишут что шлют на разные бил/шип.
Так же можно поговорить со службой поддержки в лайв чате, узнать опять же, шлют они на разные бил/шип или нет. Это называется уже прогрев.
Придумать какую-то причину, к примеру «Я сейчас из другого города сижу и мне посылку нужно сюда, не могли бы вы мне выслать по другому адресу».
Есть еще пробив шопа через прозвон и заказ по электронной почте
Т.е в шопе есть форма заказа по EMAIL, мы ее скачиваем, заполняем и отправляем в шоп, и ждем подтверждения заказа
Таких шопов мало конечно, но есть.
Вариант отличный, так как проверки АФ по сути нет никакой, оплата будет через терминал, как будто мы пришли и расплатились на кассе
Далее, вбив прозвоном
Это значит что мы с вами можем через звонок в шоп вбить нужный товар.
Как это выглядит:
Это прозвонщик звонить в шоп и диктует данные с СС, таким образом мы обходим антифрод шопа, и для Банка выглядит так как мы пришли в шоп и расплатилсь на кассе.
Что для этого нужно:
В первую очередь конечно сама СС с данными, как правило при прозвоне, менеджеры шопа могут запросить дополнительную инфу по КХ и мы должны быть к этому готовы, но, тут мы должны быть уверены что на карте действительно есть балланс, по этому такие вбивы лучше делать с роллки.
Конечно можно обойтись и без роллки, взять 2 хорошие карты и если одна не зайдёт, скажите оператору мол видимо не хватает средств, давайте я возьму другую, своей жены к примеру.
Но в таком случае карты должны быть с тем же зипом
Ну и пробитый DOB, SSN нам так же понадобиться в этом случае. У серьёзных шопов есть доступ к основным данным холдера, таким как SSN, DOB и даже цвет машины и марка
Такую информация можем пробить тут:
www.instantcheckmate.com
pipl.com
Некоторые из этих сайтов платные, поэтому вбиваем туда отработку.
Так же, можно пользоваться платными услугами пробивщиков. У них, как правило, качество инфы выше, чем на этих сайтах.
Вообще, даю совет - хороший прозвон многое может.
Как и заказ поставить, так и проверку пройти, все узнать, уговорить, рероут/пикап сделать.
Довольно много зависит от него при крупных заказах.
В 95% если заказ крупный - нужна будет грамотная работа прозвона.
Лекция 4.
Следующая тема - Посреды (посредники под товар).
Писал уже ранее, что в текущих реалиях слабо работает, но все равно знать нужно как и что делается.
Посред\перессыл - это официальная фирма, юридическое лицо,которое предоставляет обычным смертным свой физический адрес в USA, для того чтоб мы могли закупатся в USA шопах которые не шлют в СНГ.
Пример: meest.us, fishisfast.com, mainbox.com и т.д.В этой теме список: Посредники США
То есть мы просто регистрируемся тут, в качестве клиента и получаем автоматом физ адрес в USA
Имя и Фамилия для регистрации можно левые, но если у посреда будет подозрение на Fraud, они могут запросить документы, по этому регистрируя посреда - желательно иметь уже сканы доков на руках.
Услуги посреда оплачиваются из ваших личных денег,иначе даже если и вышлют,придёт чардж, потом развернут или остановят у транспортной компании до выяснения, то есть оплачивать из своего кармана.
Эти белые посред-сервисы располагаются в одних штатах часто.
Например в штате Delaware есть 5-6 посредов.
Так как этот штат не облагается налогом на подобную деятельность.
Соответственно, носок и CC найти в этом штате будет проблематично.
Так же, у них у этих посред-сервисов одни адреса на всех.
То есть, во многих шопах эти адреса стоят в блек-листах, либо в подозрительных.
И если шоп видит, что ты шлешь на посреда - то проверяет намного тщательнее
Шопы впринципе плохо относятся к тому, когда шлешь на адрес отличный от биллинга.
Если говорим про небольшие шопы США.
Но если еще шлешь на посред-сервис - то сам понимаешь - если хочешь слать - то нужно найти посред-сервис не такой крупный, чтобы у него адрес не был таким задроченным.
Насчет того, как в целом работают посреды:
Понятное дело, что ликвид на посредов не шлется.
Очень редко заходит и довольно опасно.
Почему редко заходит - потому что это паблик адрес, он фродовый изначально в шопах.
Поэтому шопы на него не дают, а если и дают, то увидев такой адрес затребуют кучу верифов и документов.
Почему опасно:
Посреды белые и они активно сотрудничают и с шопами и с полицией. То есть, если им позвонят из шопа, позвонит КХ, а тем более полиция, то они твой пак задержат и никуда по твоим требованиям высылать не будут, то есть пак твой пропадает.
А они еще выдадут всю информацию по твоему аккаунту - адреса привязанные, фио, айпи и т.п.
Поэтому мы регаемся на фио левых людей со сканов, а не на свои.
То есть способ простой и удобный с одной стороны, но много проблем и сегодня уже малоактуальный.
На посреда отсылают редко, а если отсылают - то пак могут задержать.
После приезда пака на белого посреда в США.
Далее ты можешь его выслать уже к себе в страну.
Есть 2 безопасных варианта:
Воспользоваться услугами приемщиков в РФ, то есть они дадут тебе адрес, пак доедет до их дропов в РФ и поможет обойти таможенный лимит.
Когда пак доедет до них - они уже перешлют его в нужное тебе место.
И второй вариант - получить пак самостоятельно.
Если такая услуга на почте РФ, которая позволяет тебе не пользоваться документами при получении пака - это официальная процедура.
Ты можешь сделать ее сам на сайте или в отделении.
Тебе нужно загрузить свои документы (паспорт) и дать свой номер телефона.
Тебя регают в системе и ты можешь получать посылку посредством смс на твой телефон.
То есть приходишь в отделение за паком, тебе приходит смс от оператора. Ты его называешь и тебе выдают пак.
Все, никаких документов нет. Можешь конечно и с скупа на себя так выслать
Как вбивать в шоп США на посреда:
В биллинге и шиппинге мы указываешь одно и то же имя, а именно посреда, всё остальное указываем в биллинге с СС, в шиппинге = посреда.
Так лучше для ручной проверки, но если сверять буду автоматом, то лучше имя писать с карты в биллинге.
Либо вообще регать одноразовый акк на посреде под каждого КХ.
Тогда имя-фамилия с карты будут совпадать и в биллинге и в шиппинге.
Варианты разные есть, все зависит от желания шопа.
Советую работать именно с дропами от скуп-сервисов.
Скуп-сервис за них отвечает, постоянно заменяет и обновляет.
Если твой пак пропадет по вине дропа или дроп его украдет - сервис выплатит тебе за пак.
С одиночными дропами понятное дело никаких гарантий нет.
По посредам в принципе все.
Насчет текущей ситуации - не все принимают, не все отсылают, могут пак и принять, а потом заблокировать счет. Не всегда можешь оплатить услуги посредов, так как карты не работают, пейпал не работает. Все равно нужны обходные пути, некоторые через Казахстан везут. Если хочешь высылать к себе - надо попробовать как твой товар будет идти напрямую сначала, а потом уже через посреда, если других вариантов нет.
Гифты
E-gift card – гифт, в электронном виде состоит из кода, который можно вписать в интернет магазине и сделать покупку на его номинал
Допустим, есть условный шоп, я хочу сделать подарок своему другу, подарок из ассортимента этого шопа, но не знаю, что лучше купить.
Поэтому могу воспользоваться возможностью покупки E-gift.
Покупаю E-gift, например на 200$, оплачиваю E-Gift который после оплаты оправляется на почту моего друга, а он уже сам выбирает себе товар и просто обналичивает доступный баланс.
В шопах электронный гифт обозначается, как E-Gift \ E-Gift Card \ Gift Voucher/Gift Certificates
По вбиву - по сути, это как обычный товар, только есть свои заморочки, так как это онлайн-баланс, которые быстро падает на почту
с ним есть определенные трудности
Обращай внимание на описание при покупке e-Gift, некоторые шопы так и пишут что потребуют от тебя кучу сканов, прозвон, и тд, такое конечно же не подходит
Гифты есть, нужно еще найти информацию по покупке и отправке
В идеале нам нужно такое описание - Gift cards will be e-mailed instantly and can be used immediately. Это означает что, e-Gift будет немедленно скинут на почту.
Потому что иногда гифты отправляют только по почте настоящей в письме в почтовый ящик.
Так же с нас могут потребовать дополнительные доки, а то и отменить ордер вообще. Так что если e-Gift сразу не упал нам на почту, то скорее всего будет ручная проверка.
Для вбива e-Gift нам потребуются 2 почты, первая почта сделана на имя(Sender Name) CardHolder, вторая на получателя. (Recipient Name).
Нужно использовать адекватные почтовые сервисы типа gmail yahoo outlook и тд. Ну смотря конечно чей мат мы вбиваем, если USA. то эти подойдут, если EU то лучше брать евро сервисы почтовые. Да и вообще рекомендую использовать только эти почтовые сервисы, при любых вбивах.
Имя отправителя(Sender Name) e-Gift пишем с СС, а вот имя получателя (Recipient Name) e-Gift можно писать любое, можно использовать в имени получателя фамилию с СС, таким образом имитировать подарок родственнику.
Обычно пишут Имя Получателя (Recipient Name) такое, чтоб совпадало как-то с Почтой Получателя Recipient's e-mail address.
Пример: сделали мы почту Ivan77@gmail.com - имя Получателя (Recipient Name) соответственно должно быть такое же.
Неплохой вариант ещё в именах отправителя, либо получателя, ставить двойные имена - Smith & Jessy, якобы от пары.
Либо вариант от всей семьи, к примеру пишем "From" - Gerrard's. Или Gerrard's family, импровизация в данном случае необходима.
Внизу под покупкой гифта, есть поле для сообщения с пожеланиями и т.д., сообщение к гифту пишем полноценное.
Тут лучше грамотно писать и без ошибок, и желательно не через Google переводчик, а с правильным построением предложений/словооборотов.
Полученный Гифт можем продать скупам, либо же самим закупится в шопе на этот гифт, если товар нас интересует.
Если мы сами будем отоваривать гифт в товар, то делаем(Recipient Name) и почту соответственно, на имя нашего дропа /посредника
Чарджбек в среднем идет 2 недели, если это не Американ Экспресс.
За 2 недели нужно с вбитым гифтом что-то сделать, чтобы не было проблем.
Что касается ликвидных гифтов типа амазона,таргет,айтюнс и тд
Перед вбивом заранее пробиваем к СС DOB и SSN, так как прозвон делать в данном случае по любому необходимо.
Напрямую, ликвидные гифты НЕ ВБИВАЕМ, т.е Amazon=e-Gift Amazon.
Вбиваем такие гифты через конторы - посредники, тогда гифт не заблочат
Номер телефона обязательно делаем свой, textnow./voice.google/skype и ждём звонка из шопа, как шоп прозвонил, перезваниваем с подменной номера, при том подменой номера реального холдера, если он есть, или предварительно пробить так же можно БГ на кх
У крупных продавцов гифтов стоит серьёзная антифрод система которая сравнивает даже по Номеру и Email которые привязаны к карте(см.пункт.Антифрод), а не только по биллингу, по этому их можно пробивать с роллки предварительно меняя там Email и телефон на наши.
Насчет гифтов - проверка может быть как серьезной, так и простой, все зависит от шопа.
Бывают шопы, где товары вбиваются тяжело, а попробовал вбить гифты - а он заходит хорошо, это нам на руку.
Плюс гифта еще в том, что если он электронный, то его чаще всего можно продать за хороший процент и получить выплату почти сразу же (опять же, если гифт валидный). Не надо ждать высылка товара, проблем с рероутом и т.п.
Но почти всегда - если гифт ликвидный, то он вбивается еще тяжелее товара на такую же сумму. Так же многие уходят вообще от продажи на электронную почту и хотят высылать бумажный гифт по почте. Ну по гифтам наверняка работал в Ебее, была там группа продавцов, которые одно время охотно высылали на почту, а потом все прикрылись и стали слать только по почте.
Следующая тема - пикап и рероут
Рероут - это изменение адреса доставки уже высланного пака через службу доставки.
Изменение адреса в самом шопе уже не работает давно, то есть, если ты поставил заказ на один адрес, тебе его одобрили, а потом ты пишешь - а вышлите-ка на другой, они просто отменят заказ и скажут ставьте новый. Поэтому было придумано изменять адрес именно через службу доставки.
В самом начале это было очень просто делать особенно через Fedex, можно было любому зайти прямо на оф. сайт, ввести трекномер, заполнить какие-то данные по заказу и изменить онлайн адрес доставки. Соответственно, кардеры этим очень активно пользовались и эту тему быстро отключили.
После этого стали звонить в службу доставки по телефону, представляться владельцем и просить изменить адрес. Это работало и работает и сейчас, но хуже и с несколькими нюансами.
Шопы так же поняли, что их обманывают на этапе доставки товара, поэтому уже довольно часто они стали клеить на сам лейбл запрет на изменение адреса. То есть, они упаковали товар и поставили наклейку "Доставить исключительно на указанный адрес". Поэтому, если шоп поставил такую пометку, то при звонке в курьерскую службу они в 95% случаев откажут изменять адрес, как ты им не объясняй. Просто скажут, что у нас есть запрет от шопа, ничего сделать не можем.
Теперь насчет на каких мерчах есть - на любых, это не зависит от мерча. Как искать шопы под рероут - к сожалению, только тестами. Иногда в самих шопах написано, что мол мы высылаем только на биллинг адрес, но в процессе доставки товара адрес все равно можно изменить через курьерку. А иногда шопы разрешают вроде слать куда угодно, но просто ставят запрет и ничего ты с этим не сделаешь.
Пикап/Pickup: - Дословно, самовывоз товара из магазина продавца.
1. Это относительно лёгкие вбивы
2. Быстрое получение денежных средств, без заморочек продать/переслать и т.д.
Пикап - это когда мы бьём бил=шип, на имя CardHolder, затем магазин отправляет поссылку на реальный адрес CardHolderа
Затем есть два варианта:
Либо мы сами прозваниваем на почту, и Холдим Пак, то есть говорим что мы сами заберем пак (осуществим Pickup), оставьте его в отделении, точнее не на почту, а в курьерскую службу, которая доставляет заказ, так правильнее будет сказать.
Либо просим прозвонщиков сделать это, за звонок они конечно же возьмут небольшую оплату.(10$ стоит Холд пака) (Холд-Остановить движение посылки.
Пикапим мы именно через службу доставки, а не через сам шоп (некоторые шопы предлагают самовывоз).
Так как при заборе товара из самого магазина - будут требовать предъявить карту или показать счет на оплату.
В курьерке же - просто документы (id)
Так вот, когда мы бьём под пикап, мы просто вбиваем все данные с карты, имя и адресс кх, всё подлинное как есть.Как будто реальный холдер и делает этот заказ.
Единственная сложность для нас в том,что нам необходимо по максимуму замаскироваться под холдера карты.
Первым делом Вам нужно найти подходящий дроп сервис, который занимается Пикапом по фейк id.
Именно по фейк Id, так как есть еще Пикап на имена и почту дропов.
Фейк айди - это поддельный паспорт, то есть, под данные владельца карты делают айди и с ним идет дроп в отделение забирать посылку.
Каждый дроп сервис имеет свой список товара и определённый процент выплат на каждую единицу.
Механизм следующий. Вбили товар на КХ(предварительно согласованный с Пикап сервисом)>Получили трек>Заказали прозвон(Холд пака в почтовом отделении)>Затем, дроп приходит на почту в отделение и забирает пак как CardHolder имея при этом левые документы.
Когда дроп получает поссылку,выплату вам осуществляют в основном на биток,максимум через день/два,в основном бывает и быстрее, всё зависит от самого сервиса
Пикап сервис обозначит Вам свою зону работы по фейк id.
Обычно минимальный ордер за который берется Пикап сервис по фейк id, от 1000$
Они запросят какие-то проценты обычно либо оплату при получении пака, то есть заберут пак, а потом уже оплатишь за его получение.
Из условий - нужный товар, нужная зона, нужная сумма по товару.
То есть они все свои услуги по получению, по пикапу включают в проценты.
А если ты захочешь например себе переслать, то они могут или сразу сказать, что мы так не делаем.
Либо запросить оплату пикапа.
Оплата пересыла и т.п.
Дроп может забрать пак двумя способами по фэйк ID и по своему ID.
Этот момент нужно уточнять у дроповода, есть сервисы предоставляющие возможность забирать паки по фэйк ID. Например вы вбиваете товар, указали адрес владельца карты, а имя нужно указать дропа, так как сервис не имеет возможности делать фэйк ID, а если сервис имеет такую услугу, вы с легкостью можете при вбиве заполнять все данные КХ.
Конечно же более проходим будет пикап на имя КХ, поэтому старайтесь работать с такими сервисами.
Пикап, это как один из вариантов работы дропов, но и пикап можно подразделить на 3 варианта работы.
1) Пикап со скупом стафа.
2) Пикап под пересыл пака.
3) Пикап 50 на 50.
По рероуту - прозвонщик звонит и просит перенаправить посылку на нужный адрес. Способ в данных реалиях уже полумертвый, так как курьерки не хотят изменять адрес, шопы запрещают изначально (ставят лейбл что рероут запрещен) и все такое. По моему ощущению проходимость рероута процентов 30-40 (раньше была 80-90).
Если все таки хочешь рероут, то когда посылку подготовили к отправке и есть трекномер (желательно, чтобы ее еще не выслали, а только собирались высылать) - даем данные прозвонщику, он звонит в службу доставки и пытается изменить адрес или захолдить на нужный адрес.
Следующая тема - Enroll
Enroll - это обычная СС, но уже с созданным онлайн доступом в банк
Аналог СберБанк онлайн, Приват24.
Внутри Enroll есть возможности, которые очень помогут в нашей работе.
Смена Billing адреса, онлайн.
Сделав Enroll - мы можем поменять этот адрес, на адрес нашего дропа.
И получится при вбиве, что метод вбива у нас Billing = Shipping на дропа.
Billing совпадает = система AVS дает зеленый свет. Шоп так же думает, что шлёт на CardHolder.
Но опять же, сменить адрес можно не во всех банках.
У разных банков разные возможности и правила по смене.
Некоторые дают менять адрес, некоторые только добавить еще один адрес.
Другие же вообще это не разрешают, а позволяют сменить номера телефона или почты.
Другие же банки вообще ничего не разрешают менять в Роллке.
Когда меняем Billing адрес, то адреса посредников не использовать, т.к. большинство в блэках у банков, для этих целей берем исключительно Дропов.
Делаем enroll карту сразу с ip штата нашего дропа, лучше брать карту где кх и дроп в одном штате.
почти все крупные банки не дают менять адрес либо если дают, то для регистрации Роллки будут требовать инфу о КХ, которую мы пробить не можем (например номера счетов, секретные вопросы и т.п.)
Как делать Enroll:
Используем туннель, или прокси с платной подпиской(долго живущие) обычные socks не берём, так как они живут недолго
В идеале нам нужен постоянный доступ с одного ip в роллку, но бывает такое что и туннель перестал работать через пару дней, ничего страшного берем туннель, НО строго того же штата/города/ZIP
Нужна СС, Кредитка, Gold / Platinum / Titanium / Signature / Centurion и тд в общем лучше статусные карты.
Итак, для того чтобы сделать Enroll карты нам понадобиться выбрать Банк и определённый BIN', как выбрать
Идём в шоп СС, смотрим что там продаётся.
Проверяем Банк смотрим что за BIN'ы (как это сделать мы уже знаем), далее заходим на официальный сайт этого банка
И нажимаем зароллить (создать акк онлайн).
После нажатия нас перекинет на форму создания акк, и покажет какие данные нужны для Enroll.
Не все Банки дают возможность Enrollа, по этому проверяем каждый, перед тем как делать Enroll, не пробуйте крупные Банки, они как правило не роллятся, ищите не популярные Банки.
Здесь можно посмотреть Банки по капитализации и по Штат/Город
www.branchspot.com/banks-credit-unions/top-100-banks
Нам нужны банки - которые потребуют от нас только dob и ssn как дополнительную инфу при создании Enrollа.
Есть банки, которые запрашивают к DOB SSN дополнительную информацию, по типу MMN (девичья фамилия матери) и разную дополнительную инфу.
Такие банки нам не подходят, подходят только если у вас будут эти данные или возможность пробить не дорого.
Банки которые запрашивают PIN код - не роллятся.
SSN и DOB мы можем пробить у частных пробивал:
sindikat@exploit.im
nice-probiv@exploit.im
как пример.
Допустим нашли мы Банк в магазине СС, Credit One Bank
Для поиска всех BIN'ов данного банка можем воспользоваться еще одним ресурсом http://bins.su/
Идем на этот сайт, вводим название Банка, в нашем случае это Credit One Bank
Мы уже знаем что нам нужны СС, CREDIT Gold/Platinum/ Titanium/ Signature/ Centurion итд
Здесь Банк от нас требует только SSN+ Данные с купленной нами СС, ничего сложного.
Почту регаем сами под CardHolder, все остальные у нас есть по умолчанию есть + пробили SSN
Если требует номер телефона CardHolder - обязательно пишем реальный его номер. Позже его можно сменить
Если не хочет роллится - пробуем вписать реальное мыло CardHolder
Его тоже можно будет сменить.
Если онлайн-банкинг к CC уже подключен - делаем Реролл
Реррол - https://www.creditonebank.com/account-reset
Рерол, т.е. сбрасываем старые данные и меняем их на новые.
На следующей странице будет спрашивать Keep Existing Username?*( Сохранить существующее имя пользователя?) ставим NO и вписываем свой Username любой.
После этого Реррол будет произведен.
Как в целом ищутся такие банки - ручками.
Либо покупаются данные у селлеров.
Но вообще их довольно просто искать, если знать что нам нужны небольшие мелкие банки, ищешь их названия -
Идешь на их сайт и просто смотришь, что они требуют для Енролла.
Если данные нам подходят - то ищешь карты этого банка в шопе и все.
Ну либо если не хочешь всем этим заниматься, то покупаешь готовые Роллки уже у селлеров, но стоят они порядочно, от 70 баксов и выше обычно за самые простые
Роллка - это не магическая штука для вбива всего и вся.
С ней так же нужно работать с АФ мерча, все правильно настраивать и т.п.
Роллка поможет это обойти.
Это в целом инфа по енроллу обычных CC, но мы так же можем и в логах встречать уже готовые Роллки
С ними тоже нужно работать.
От себя так же еще раз скажу, что проходимость Роллки не выше, чем обычной CC.
Ее плюс - это известный баланс и иногда возможность сменить какие-то данные или глянуть миники.
Из минусов - цена, стоит примерно 4-10 обычных карт, в зависимости от баланса.
Так же добавлю, что мелких банков - которых ты можешь зароллить имея лишь доб и ссн - минимальное количество.
Большинство из них требуют уже более серьезную инфу по счетам, либо каким-то персональным данным. Самостоятельно это достать практически невозможно, поэтому или надо пробивать платно задорого или сразу покупать готовые Роллки в шопе.
А так, Роллки хороши для больших заказов, когда хочешь быть уверенным в балансе.
Ну и опять же, там где я банк приводил для примера - уже устарел, задрочили его за пару недель.
Сейчас такие банки тяжеловато найти, чаще всего надо пробивать больше инфы либо откуда-то вытаскивать (с тех же логов).
Если работать - то советую покупать, это проще, есть гарантии на валидность и баланс, меньше проблем будет у тебя.
Начнем с базовой безопасности.
Рассказ веду про РУ и СНГ зону, информация тут похожая, может отличаться в мелочах.
Существует в принципе 2 важных правила для работы в нашей сфере:
1) Не распространяйтесь в оффлайне о своей деятельности
Тут, думаю понятно почему. Тише едешь - дальше будешь.
2) Еще более важное правило - никогда не работайте по СНГ зоне. Если живете в Европе или любой другой стране - не работайте в своей стране.
Тут правило еще проще - не сри, там где ешь.
Если описать второе правило более подробно - то никаких Ру шопов, никакого ру материала (за исключением сканов)
Сканы - это вспомогательный материал и он нужен нам будет просто для регистрации.
Никаких лишних действий с ними мы делать не будем.
Насчет работы по РУ.
В целом, по ней работают, были даже знакомые.
Но категорически не советую лезть в эту тему и иметь знакомств с подобными персонажами.
Да, тут у нас работать выгодней, проще и т.п.
Но - если тебе дорога свобода, про это направление забудь.
Этими делами занимается ФСБ.
Они тебя найдут и вычислят сами достаточно быстро.
Потому как им интересны люди, которые работают по своей стране.
И если тебя найдут или заложат - то ты получишь вполне реальный срок.
Именно поэтому мы работаем по США и дальним странам.
Например, с США у РФ нет никаких договоренностей по высылке преступников.
Максимум что они сделают, даже если у них будет в руках твой айпи - вышлют письмо в ФСБ со словами - "вот тут такой есть человек, делает нашей экономике плохо, просьба проверить и выслать к нам"
ФСБ получив такое письмо на руки:
1. Ничего не делает, просто будет следить за тобой внимательно
2. Придет на профилактическую беседу с целью сотрудничества
Понятное дело, если ты очень крупный кардер или держишь какой-то сервис, то тебя выдать могут, можешь почитать историю Димы Смелого.
Но мы в этом море на самом деле мелкие рыбы и нам такое не светит в принципе.
Кто еще интересует наших ФСБшников
Работа с ботнетом - заражение компов, рассылка вирусов
Добыча материала - CC, банки и т.д.
Работа с ДДОС
Мы материал не добываем, мы его покупаем.
Все инструменты мы тоже покупаем, ничего сами не поднимаем, ничего лишнего не делаем.
Пользуемся уже готовыми решениями.
И все, вуаля, мы нашим правоохранительным органам неинтересны.
США неинтересны до определенной суммы.
А если и сумму превысим - то мы грамотно замаскируем свой айпи и они нас не вычислят
Но даже, если вдруг будет какой-то прокол с нашей стороны условный и они получат наш настоящий айпи, то максимум что возможно - это письмо в ФСБ и беседа
Ну особенно в текущих политических условия - это 99% что закончится беседой и то, если очень сильно ты будешь им интересен.
Сейчас у них куча других проблем с хакерами и ддосом.
Насчет вбива с дальних стран, например со стороны США, то наша основная задача не дать себя определить как конкретного нарушителя
Как пример - в один шоп было за месяц сделано в сумме сто кардерских вбивов.
Если пойдет разбор полетов и увидят, что 70% от этой суммы шли на одного и того же посреда, на одно и тоже имя (на ру сканы), а потом уезжало на одно и тоже имя в ру (пусть даже на ру приемщика), то это дело их заинтересует, потому как видно, что бил один человек. а если еще и отпечатки будут совпадать по всем заказам - так точно им будет интересно раскрыть, кто это бил и наказать его.
Другой случай, эти же 70 вбивов сделал опять же один и тот же человек, но все заказы он грамотно распихал - часть уехало на дропов скуп сервисов (дропы часто менялись, каждый дроп более 1 пака не принимал), часть заказов уехало на посреда, а потом на разные адреса в ру (приемщики товара в ру), некоторая часть уехало по заказам в другие страны (выполнил чей-то заказ на вбив).
И человек занимался безопасностью, менял отпечатки своего компа, железа и в целом менял свое поведение, то этот случай скорее всего уже не заинтересует, потому как не будет точно известно, что это бил один и тот же человек
Потому как им очень не хочется, да и финансово невыгодно гоняться за 50 кардерами.
Это и есть базовая безопасность
Не нужно заниматься порнографией - криптовать и шифровать свои данные, сидеть в лесу без телефонов и т.п.
Важно изначально правильно строить процесс своей работы
По желанию можно конечно купить левый ноут, купить модем и левую симку и работать через нее
Левый ноут купленный с авито (для покупки опять же регаешь левый акк на авито на левую симку и левое имя), модем (тоже желательно с рук или в переходе) и левая симка с интернетом.
С этого ноута уже соответственно своими личными делами никогда не занимаешься, в ВК не сидишь и т.п., только работа, только вечно включенный впн.
Ну и не светим свою личность в онлайне, начиная от общения в мессенджерах, заканчивая получением товара на руки.
Все данные, вся активность, которую вы оставляете в работе, в диалогах с контактами в мессенджерах, на теневых ресурсах, абсолютно всё не должно быть связано с вашей реальной личностью.
Кратко про товар.
В целом всегда было 2 способа продавать товар:
1) продавать в той же стране скупам. Из плюсов - быстрее, из минусов - меньше профит.
2) привозить к себе и продавать на том же авито, либо в какие-то магазины толкать левак. Из плюсов - больше профита, из минусов - намного дольше процесс доставки, плюс прохождение таможни.
Сейчас же границы не то, чтобы закрыты, товары идут, но на таможне все входящее в РУ проверяется намного тщательнее. Были раньше сервисы, которые занимались приемкой товара в РУ через дропов, но сейчас им хуже стало. Поэтому лучше иметь своих дропов принимающих, либо слать как-то через Казахстан. А если слать в обходную, чтобы привлекать меньше внимания - это еще дольше по времени и еще дороже.
Из впн советую NordVPN, брут стоит копейки (рублей 20-50), безопасность хорошая, пользуюсь уже давно.
Как работает ВПН? Когда пользователь заходит в обычную сеть, его устройству присваивается уникальный IP-адрес и этот адрес виден третьим лицам (например, вашему интернет провайдеру) – они могут смотреть, какие сайты пользователь открывает, какую информацию ищет и т.д.
При активации ВПН же оригинальный IP-адрес становится не виден, вместо него отображается адрес виртуальной частной сети. Подключение к интернету будет зашифровано и даже, если данные получат третьи лица – то расшифровать данные они не смогут без ключей шифрования.
Однако, не все сервисы надежны и готовы хранить вашу анонимность. Во-первых, очень большую роль играет то, где расположена штаб-квартира ВПН-сервиса. Для примера, возьмем довольно популярный NordVPN (именно его я буду приводить в качестве хорошего сервиса) – его штаб-квартира находится в Панаме. В этой стране нет закона об обязательном сборе данных или программ массовой слежке. Это означает, что все конфиденциальные данные пользователей будут оставаться анонимными. Если у сервиса возникнут какие-либо юридические проблемы, то компания будет подчиняться только местным законам Панамы.
Так же, Панама не входит в состав альянса “5, 9 и 14 глаз” (международная разведывательная сеть, в которую входят США, Великобритания, Канада, Австралия и многие страны Европы).
Сервера работают через оперативную память (RAM-based) – это значит, что все данные, начиная от операционной системы, программного обеспечения и всех данных пользователя хранятся временно.
NordVPN никогда не хранит и не собирает данные о пользователях, чему я охотно верю, так как в 2019 году один из хакеров взломал один из серверов в Финляндии, но не получил никакие данные о пользователях (пароли, айпи-адреса, активность).
Так же, после этого случая сервис запустил программу тестирования и поиска багов на известном сервисе HackerOne (https://hackerone.com/nordsecurity?type=team)
А если мы возьмем для примера какой-нибудь русский бесплатный ВПН-сервис? Чаще всего, они хранят данные о всех пользователях и при малейшем запросе от спецслужб выдадут все эти данные, чтобы самим не сесть на бутылку. Безопасность и анонимность такие сервисы никакую не предоставляют. Так же, подобные сервисы имеют очень слабую защиту и их регулярно взламывают и сливают данные в открытый доступ (такие новости довольно частые, например https://www.kommersant.ru/doc/4424143)
Далее, NordVPN использует шифрование военного уровня (AES с ключами 256-bit) – это чрезвычайно сложный шифр, такой же стандарт шифрования используют правительства по всему миру. Для того, чтобы взломать брутфорсом такой шифр понадобится миллиарды лет.
Так же, у данного сервера есть множество дополнительных фишек по безопасности, если заинтересует данный вопрос, то можно будет почитать профильные статьи от обозревателей различных ВПН-сервисов, которые проверяют их на безопасность.
Купить данный ВПН можно или через официальный сайт, либо, что еще лучше, купить уже взломанный аккаунт одного из реальных покупателей (такие бесплатные раздачи довольно частое явление на разных форумах, либо можно купить в каком-нибудь шопе, например тут https://crazyshops.ru)
Так же скажу, что можно поднять и свой ВПН-сервис, полностью статью я заново писать не буду, просто поищите мануалы в Интернете.
Хочу сказать, что данный метод не гарантирует суперзащиту, поэтому, если вы полный новичок – лучше пользуйтесь NordVPN, там уже все предусмотрели и сделали за вас. Если же вы прожжённый мастер своего дела и знаете, как поднять самостоятельно идеальный по анонимности сервер – то велкам, пользуйтесь своими инструментами.
Также не забывайте выставлять в настройках VPN функцию Kill Switch (может называться как-либо иначе). Функция килл свитч полностью отключает вас от интернета, если вы потеряли соединение с сервером впн, тем самым не давая оголиться нашему траффику.
Общие моменты по безопасности мы обсудили, перейдем ближе к нашей теме.
Если прямо совсем просто рассказать как произвести вбив - то это 1. Купить карту, 2. Оплатить картой заказ.
Понятное дело, что это в очень обобщенных чертах и так просто все сейчас не работает, иначе каждый второй бы сидел и вбивал бы заказы.
Кардинг, по сути, зародился тогда, когда появились первые интернет-магазины, то есть еще в конце 20 века.
Тогда да, все было просто - можно было взять любую карту, вписать данные и заказ проходил без всяких проблем.
Очевидно, что и в то время были люди, которые пользовались этим, а банки и интернет-магазины были очень недовольны, потому что это по сути мошенничество и хищение чужих денежных средств.
Поэтому банки и магазины начали вводить ответные меры, которые могли бы помешать оплачивать чужими картами заказы в магазине. Логично, что сначала эти меры были простыми, но каждый год они развивались, развивались и становились все сложнее и сложнее. У этих мер, которые должны помешать кардерам есть свой термин Антифрод (Antifraud). Соответственно, Антифрод - это комплекс мер, которые помогают бороться с мошенниками.
В самом начале эти меры были очень простыми. Например, cvv-код (три цифры сзади карты). Это вот самая первая мера Антифрода.
Сейчас понятное дело это намного все обширнее. Если вспомнить, например, во многих странах есть 2FA защита (смс-код на телефон). Это уже такая довольно серьезная защита, но в США не все банки ей пользуются. Для нашей работы лучше всего в самом простом формате подходят карты, которые не имеют смс-защиту. Такие карты есть в США и Европе, называются они non-vbv.
Так вот, насчет Антифрода.
Свой комплекс мер имеет и сам банк, в котором выпущена карта. Например, лимиты по операциям, подтверждения через звонок и т.п.
Но нас больше интересует антифрод, который установлен в самом интернет-магазине, так как он намного более серьезный. Антифрод не установлен в сам интернет-магазин напрямую, он встроен в специальную систему, которая называется Мерч (merchant). У каждого шопа есть Мерч, это по сути его ядро.
Когда мы открываем сайт в интернете - мы видим картинки, надписи, различные кнопочки - но это лишь его визуальная внешняя часть. Основная работа сайта в интернете происходит именно в Мерче. Именно он обрабатывает все наши нажатия, следит за нашими кликами, собирает статистику и т.п. А когда мы говорим про интернет-магазин - в нем в Мерче встроен специальный раздел, который и занимается Антифродом.
Антифрод Мерча - это комплексое ПО, которая подключена к банковской сети и шопу одновременно, так же имеет платежную систему и является системой защиты транзакций и настраивает жесткость прохода транзакций самим шопом.
С того момента, как мы попадаем на сайт самого шопа, мерч уже начинаем присваивать нам фрод очки, основываясь на наших действиях на сайте.
Он анализирует по какой ссылке мы перешли, с какого сайта, вбили в браузере или с поисковика. Так же пристально наблюдает за нашим поведением - ходим ли мы по шопу, выбираем товар или тупо сразу вбиваем.
Поэтому, первое, на что стоит обратить внимание - это что нужно вести себя в шопе как реальный покупатель.
Сравнивать товары, добавлять, убирать из корзины, поля все заполнять только набирая текст вручную, а не копипастом данных с кредитки. Серьезные шопы вообще могут реагировать на переключение с окна браузера при вводе данных.
Немного терминов.
В США есть 2 типа адресов:
1. Shipping address - тут все довольно просто, это адрес доставки, куда едет товар
2. Billing address - это платежный адрес, у нас такого нет. Если объяснить по простому - это адрес, по которому зарегистрирован владелец и его карточка. То есть владелец пошел в банк, выпустил кредитную картку и в качестве своего адреса платежного указал свое текущее место проживание.
Эти 2 адреса могут как совпадать (владелец заказывает для себя), так и могу не совпадать (заказывает на свою другую квартиру, покупает подарок подруге и т.п.)
По биллинг адресу есть специальная проверка, называется AVS (Address Verification System).
Эта система встроена в мерч шопа и проверяет биллинг адрес, который мы ввели с тем, что хранится в банке.
Опять же, один из элементов Антифрод защиты.
https://chargebacks911.com/knowledge-base/what-is-address-verification-service/#1 - Здесь можно подробно ознакомиться с этой системой.
AVS сверяет опять же не все данные - она смотрит только zip (индекс по нашему), номер дома (+квартиры, если это квартира).
Имя-фамилию, номер карты и всякое такое она не смотрит.
Сам по себе AVS - довольно простая тема, но проблема в том, что с самим материалом может идти левый или старый адрес.
Потому как бывает что владелец часто переезжает и у него там 5 адресов.
А адрес в биллинге - например, это третий адрес. Он на этом адресе выпустил карту и ей пользуется.
Если адреса нет, то есть вариант попробовать пробить самому бесплатно по поиску через Гугл.
Иногда приходится обращаться к пробивщикам, но и те не всегда могут точно сказать, какой адрес в банке.
Поэтому с AVS проблемы могут быть все равно определенные, хоть защита и простая.
Лекция 2.
У стандартной системы антифрода шопа, например у Spotify (мерч) есть 3 уровня цвета и соответствующие риски.
Зеленый, Серый и Красный.
Разберем конкретные маркеры с этого конкретного шопа.
Зелёный - рисков нет, фрод снизит немного очки. Отображается когда значение атрибута совпадает с большинством "законных" заказов.
Серый - не прибавляет и не убавляет фрод очки. По сути, дополнительная информация о заказе. Всегда разная, зависит от того, какие у Вашего заказа зелёные атрибуты, а какие красные.
Красный - Extreme Risky (Экстремальный риск). Отображается когда значение атрибута совпадает с большинством мошеннических заказов.
Разберём атрибуты со скриншота:
/Красный/ - Характеристики заказа совпадают с другими мошенническими заказами.
/Зеленый/ - CVV корректен.
/Красный/ - Биллинг адрес не совпадает с зарегистрированным адресом cc.
/Красный/ - Билл ZIP или индекс не совпадает с зарегистрированным адресом cc.
/Красный/ - Было пять попыток оплаты.
/Зеленый/ - Попытки оплаты были с двух карт.
/Серый/ - IP адрес используется для размещения заказа в Бруклине.
/Зеленый/ - Адрес доставки находиться в 24 км от адреса IP.
/Зеленый/ - Билл страна соответствует стране, из которой был сделан заказ.
/Зеленый/ - IP адрес не высокого риска, не находиться в blacklist'е.
Это пример работы антифрода достаточно слабого шопа на Shopify
Чтобы ты примерно понимал, какие стандартные маркеры есть
На деле, даже в самом обычном шопе их тысячи
Они есть как встроенные изначально, которые идут вместе с привязкой шопа к Мерчу, так и любые другие, которые может добавить сам владелец шопа
То есть он может к любому мерчу прикрутить любые маркеры, проверяющие фродовость
Чем дороже и более востребован товар, тем жестче настроен фильтр антифрода!
ПРИМЕР:
Дополнительные настройки защиты от Fraud транзакций при вбиве допустим Iphone
- Отпечаток устройства. WebGL, Canvas Fingerprinting, и т.д.
- IP/Billing/Shipping дистанция между ними.
- Проверка на прокси/VPN.
- Тайминг - определение скорости транзакции.
- Поведение клиента в шопе.
- Проверяет наличие аккаунтов по E-Mail в соц. сетях.
- Проверяет информацию о CC в банках.
- Использует, как глобальные blacklist'ы, так и мерчевские.
- Проверка BIN'ов банка.
- Проверка по ASN
- Создает и использует свою базу значений мошеннических атрибутов и "законных" заказов на основе статистики.
Сверху это еще одни маркеры антифрода, по которым он проверяет наши заказы
Так же в процессе оплаты участвует Процессинговый центр (Payment Processor) у которого задача взаимодействовать с Visa/MasterCard и другими платежными системами, с Банком выпустившим СС КХ CardHolderа, с системой AVS соответственно, и на основании полученной/обработанной информации сообщает/рекомендует дальнейшие действия.
Так же еще добавлю, что в целом система АФ имеет не только разные цвета рисков, но и шкалу их влияния.
Допустим, в шоп ты пришел со значением 1 балл (стандарт)
Если ты наберешь больше 2х баллов - твой заказ не пропустят.
Если у тебя будет от 1 до 2х баллов - то система пропустит твой заказ, но отправит на ручную проверку.
Будет меньше 1 балла - то система пропустит твой заказ автоматически, без всяких проверок.
Бин - это идентификационный номер карты
ANS - что-то вроде вычисления твоей сети через айпи, тоже как отпечаток системы
Тайминг - это время, которое прошло с того момента, как ты нажал кнопку Оплатить и до того момента, как тебе сайт выдал результат.
Если у тебя слабый интернет (а это бывает довольно часто на прокси) - то у тебя это долго будет грузиться и обрабатываться. Если шоп видит, что времени прошло много - скорее всего ты сидишь через какой-то впн или прокси.
Насчет деклайна поговорим
Деклайн - это отмена транзакции при попытке оплаты
То есть ты заполнил все поля и тебе выдает Деклайн, что платежное средство не принято.
Всего их 2 вида:
Первый - это автоматический, как раз когда ты нажал кнопку оплаты и тебе выдало автоматическое сообщение.
Самые частые проблемы это:
1. Невалидная карта (заблокированная или с истекшим сроком действия) или неверные данные по карте (ты неправильно ввел или изначально в логе была инфа неправильная), если говорим про оплату с цц
2. Отсутствие баланса на платежном средстве (палка, любое другое подвязанное средство или просто истекшее по сроку действия)
3. Ошибки в самых базовых маркерах АФ (айпи адрес другой страны, утечка твоего адреса и т.п.)
То есть самые такие базовые проверки.
Но если тебе дали деклайн на первом уровне, то в 90% это что-то с данными
Второй вид деклайна - это уже при ручной проверке.
То есть твой заказ проходит первый автоматический этап и заказ ставится на обработку, и твой заказ вручную потом смотрит Служба Безопасности шопа (в случае с небольшими шопами. если шоп крупный, то в случае подозрений отправит на дополнительную автоматическую проверку по тем же базам)
Примерно вот такая табличка у них по каждому заказу где есть различные фильтры и маркеры настроенные и по ним они смотрят, что не так с твоим заказом или все в порядке.
Если все отлично - то они пропускают его и дают добро на высылку товара
Если есть какие-то сомнения - начинают свои проверки по своим базам или доп. маркерам или звонят тебе на указанный телефон и просят подтвердить оплату.
Например сообщить им свои данные или что-то по карте.
И последний вариант - если так все плохо, то они просто отменят заказ и все.
Насчет начала второго этапа это уже зависит индивидуально от шопа, его загруженности.
Ну допустим, если ты поставишь заказ в пятницу, то скорее всего, если шоп не особо большой - то твой заказ вручную проверят в понедельник, а может даже во вторник.
Если шоп крупный, то проверка обычно в течении 1-4 часов.
Но тут опять же, нужно брать конкретный шоп, читать его условия работы.
У них у всех есть часы работы, даты отправки товара.
Некоторые пишут, что отправка в день заказа
Соответственно, и проверка тоже.
Некоторые пишут, что отправка в следующий рабочий день.
Насчет номера сразу расскажу.
При заказе товара в шопе обязательно требуют указать контактный номер - чтобы из шопа могли тебе позвонить, уточнить что-то и т.п.
Раньше брали номер владельца (идет к с материалом к карте, которую мы покупаем) и меняли пару цифр (типо ошибся). Шопы пробовали позвонить, не дозванивались и обычно пропускали заказ дальше.
Так работали года 4 назад, но сейчас это уже плохо прокатывает. Сейчас шопы частенько номера пробивают по базам, смотрят существует ли такой номер, действительно ли он располагается в США и т.п. Вполне нормальный вариант сейчас - это купить виртуальный номер в нужной тебе стране, например через Google Voice (сервис виртуальных номеров, где можно сделать номер любой страны, на который тебе могут звонить и слать смски).
Вариант для продвинутых шопов - купить настоящую симку в нужной тебе стране, есть такие сервисы, у которых ты можешь арендовать симку и на нее так же будут приходить смски и звонки. Но звонить ты уже с этого номера не сможешь, все равно нужно будет заказывать прозвонщика.
Насчет старой темы с ошибкой в номере, есть конечно шопы - которые считают это за ошибку и ничего с этим не делают (например, шоп вообще не звонит по телефону и не пробивает их).
Но обычно шопы могут:
1. Проверять и пробивать номер на соответствие региона.
2. Сверять соответствие номера и почты
3. Звонить на номер для подтверждения заказа (некоторые крупные шопы обязательно это делают, тот же оф. шоп apple). Если номер нерабочий или трубку не берут - то могут просто заказ отменить или пойти пробивать номер по базам. Таким образом, они найдут номер настоящего владельца и позвонят уже ему.
Потом стали указывать виртуальный номер. Это уже лучше, так как номер рабочий и если звонок проходит (пусть им и не отвечают сразу) - то шопам спокойнее. Они позвонили - ты увидел что звонили, передаешь заказ прозвонщику, он уже звонит в шоп, представляется владельцем и решает вопросы, зачем они звонили. Но шопы некоторые так же уже научились пробивать номер и если видят - что он виртуальный, тоже могут деклайн пихнуть или пойти пробивать номер настоящий.Л учший вариант - это аренда настоящего номера в нужной стране. Стоит дороже, да, но зато эффективнее.
Насчет переписки - если они тебе уже позвонили - то переписка в большинстве случаев бессмыслена. Если позвонили - надо им перезванивать, иначе текстом они твой вопрос решать не будут. Прозвонщики могут номер подменять на нужный, если это требуется. Шопы крупные некоторые вообще не звонят никогда, у них нет такого штата сотрудников, чтобы каждого обзванивать, все за них делает и проверяет АФ. Настроишься хорошо - пройдет без звонка.
Но если ставишь крупный ордер в шопе поменьше - то будь готов сидеть на трубке, а иногда полезно и самому первому еще позвонить, да не один раз. Многие вопросы хотят решать только по телефону. Но тут опять же, надо подготовиться, знать все про своего КХ, про свою карту, подобрать правильного прозвонщика - много факторов.
Поговорим про БИНы
BIN - Банковский идентификационный номер (определяет банк эмитент выпустивший карту)
Первые 6 цифр карты 420767 - это и есть Бин
Если БИН карты начинается с цифры
3 - American Express
4 - Visa
5 - MasterCard
6 - Discover
После первой цифры уже идут номера по уровням и принадлежностям к тому или иному банку
Что можно сказать по BIN' нашей карты 4207670181231450, это определенно visa
Для проверки БИН нам потребуются вот такие сервисы https://bincheck.org/ или http://bins.su/
Идем на https://bincodes.com
Зачем нам нужно вообще знать бин.
Самое простое - узнать уровень карты.
Так как есть карта голая, то есть просто информация по ней - баланс мы никак узнать не можем.
Узнав уровень, мы можем определить примерный баланс карты и уже исходя из этого выбрать товар под эту сумму.
по уровням карт, например, какие есть у Визы:
• Secured: Очень маленькие суммы, обычно до 300$
• Classic: Маленькие суммы, иногда до 1000$
• Gold: Средние суммы, обычно до 3000$
• Platinum: Большие суммы, обычно до 8000$
• Business: Очень больше суммы, обычно до 15000$ и больше
• Signature: Самые лучшие карты, мне попадались карты которые имели 80000$ кредитного лимита
Есть еще Prepaid, Electron. Это совсем днищевые уровни.
На самом деле все просто - если видишь незнакомый уровень, идешь в Гугл.
Там обычно есть описания уровней.
У всех брендов соответственно уровни называются по своему.
Ну условно, если ты найдешь карту препейд, чтобы ты не бежал довольный в шоп ставить заказ на 700 бачей и не тратил зря время.
Как можно узнать баланс карты.
1. Прозвоном в банк
2. Сделать Енролл (онлайн банкинг) карты, если это возможно
Другие способы опять же дают нам примерную информацию.
Ну например тот же уровень карты. Он конечно дает примерное представление, но все же.
К концу месяца на кредитной карте могут быть лимиты уже, если владелец ей пользуется.
На дебетовой вполне может лежать 10 баксов, например владелец что-то купил или перевел на банковский счет.
Поэтому в целом смотрим и дебетовые и кредитные карты (хотя все равно предпочтение отдаю больше кредитных) уровня Голд, Сигнатур и Платинум.
Это такие хорошие средне-высокие уровни. Мелкие не смотрим из-за совсем низкого баланса.
Крутые вроде World и им подобные - из-за дополнительных лимитов и ограничений. На них часто стоит подтверждение через звонок. То есть любая крупная транза например выше 300$ - звонок из банка. Либо вообще могут стоят ограничения по оплате в интернете. То что там лежит сотня тысяч баксов - нам это ничего не дает, такую сумму все равно не осилить.
Зачем мы вообще заморачиваемся с мерчами и бинами, будем искать их, пробивать.
Да потому что шопы на одинаковых мерчах похожи между собой.
Так и бины одного банка похожи между собой.
Захотел ты пробить определенный шоп. Как пробивается шоп? Тестами.
Ты берешь одну карту допустим Visa банка Chase.
Пихаешь ее в шоп - она не заходит.
Берешь карту Mastercard банка Capital One - она не заходит.
В третий раз пихаешь карту Visa какого-нибудь мелкого банка и она заходит.
Ты в свою табличку записываешь - шоп watches.com бин 426772
И в следующий раз, когда ты пойдешь в этот шоп, ты уже не будешь тратиться на тесты, а уже покупаешь именно этот бин в этот шоп и он будет заходить с бОльшей вероятностью
Идем дальше по примеру
Вбиваешь ты этот бин в этот шоп, вбиваешь, а потом в один момент, например, заходишь в свой шоп с CC, а бина этого нет - закончился.
Например, партия была маленькая, всего 1.000 карт и они все закончились.
Либо этот бин задрочили и он попал в блеклист к мерчу шопа и он больше его не принимает.
Что делать?
Найти другие бины этого же банка, но более свежие.
И они опять же с бОльшей вероятностью зайдут в этот же шоп.
Сейчас покажу как это делать.
Используем этот же сайт
BIN - Validate, Verify, Check, Calculate & Generate
Free online tools to check, validate, calculate & generate BIN - Bank Identification Number
www.bincodes.com
Тебе сайт выдаст список всех бинов этого банка.
Если присмотришься, то заметишь, что бины идут по возрастанию сверху вниз.
Иными словами, по свежести.
То есть 403194 - это самый свежий бин этого банка, а твой был допустим 401321
Ты берешь самый свежий бин и идешь уже его искать в шопе с CC, а потом и вбивать в свой шоп.
У нас действует правило свежести.
Чем новее шоп, чем новее CC - тем для нас лучше
Просто потому что шоп, допустим, еще не так жестко настроен по антифроду
С бином тоже самое.
Его еще нет ни в каких блеклистах, базах и т.д.
Лекция 3.
Теперь про 3ds поговорим
3DS - это дополнительная защита при вбиве в шоп
3DS это не совсем банковская защита - это защита непосредственно карточных сервисов Visa и Mastercard.
3DS защита может быть привязана как к шопу, так и к картам
VBV - Verified By Visa
MCSC - Master Card Secure Code
Это и есть 3ds.
3ds опять же бывает разных видов.
Первый и самый простой - второй код защитный, как cvv на карте.
То есть владелец при выпуске карты сам устанавливает его в банке и потом эту защиту запрашивают.
Такой тип карт у нас в США. В других странах его нет.
Раньше был способ этот код сбрасывать и устанавливать свой, если он не шел вместе с материалом, но года полтора назад эту фичу прикрыли и поэтому если на карте есть защита, а код с материалом не идет - то ничего уже не сделаешь.
Второй - смс-код
Такая защита в Европе, РФ и многих странах.
Обойти можно иногда только если есть доступ к почте и то не всегда.
Есть еще варианты с дубликатом симки, но это дорого, долго и для наших целей не подходит.
Третий - самый новый, это изменяющийся код на самой карте.
Их очень мало и в сеть данные их не попадают по сути.
Сейчас расскажу, куда смотреть и как, чтобы узнать, есть ли vbv защита.
В USA 90% шопов без 3DS, но с AVS. Обычно, есть ли она в шопе или нет мы можем узнать по значку 3ds или таким значкам
Если такие значки есть - защита 3ds будет
но и не факт, если значков не будет - то и 3ds тоже не будет
Частенько хитрые владельцы магазинов специально не ставят такие значки, чтобы обломать кардеров или наоборот, защиты нет, а они ставят значки, чтобы отогнать кардеров.
Поэтому перед вбивом проверяем шоп отработкой (картой, которую уже вбивали куда-то и она живая).
Так мы точно сможем узнать, если ли 3ds защита в шопе.
Если мы вбиваем карту с 3DS в шоп БЕЗ 3DS, то шоп спокойно съест эту карту и проверку у нас не запросят, это что касается USA
учитывая, что мы работаем в основном по юсе - то и шопы мы будем искать без 3ds.
и пихать туда любой материал, и с 3ds и без него - шоп скушает.
Если по USA шопы без 3DS, то в Европе наоборот, все шопы с 3DS, вопрос что делать?
Можно в них бить материал USA no vbv и ip под штат/город достаточно, так как в EU нет системы AVS
А если нет системы AVS, то берем IP под доставку т.е Shipping и вбиваем на посреда/ дропа/скупа.
Из Европы AVS есть только в Англии, Швеции, Ирландии, в остальной европе – нет AVS
Европу бить картами США приятно, так как у них очень часто есть отправка по всему миру и можно сразу высылать уже к себе на адреса.
Минусы в том, что в скупе Европе меньше, чем в США, потому как законы у них строже с этим делом и все боятся.
Ну и еще то, что шопы Европы обычно внимательнее относятся к картам сша, так как знают, что защиты на них нет и проверить по факту они никак не могут. Поэтому часто запрашивают дополнительные доки (нужно делать отрисовку), часто звонят в банки, звонят по номерам, которые привязаны к карте и т.п.
Если кратко сказать - хочешь выслать быстро товар к себе в РУ - бей Европу картами США
Если хочешь по скупу - то бей США
А так вообще все зависит от шопов. Так как шопы Европы крупнее, у них обычно защита лучше.
Но так как и заказов у них больше, то часто они любят пофилонить с проверкой и кардерские заказы проходят чаще.
Какие-то вещи определенные, например цветы на заказ по всему миру вообще проходили с впн и данных карт.
Никаких прозвонов, никакой мороки. Ставишь впн, берешь карту за 5-10 баксов и покупаешь цветы за 500$.
То есть тут опять же, нужно искать шопы, смотреть, тестировать их
Все зависит от конкретных шопов и конкретных бинов.
Есть так же карты nonVBV, чаще всего охотятся за картами Европы.
По сети гуляют всякие базы таких карт - но они все мертвые почти точно.
Свежие бины таких карт чаще всего продаются и за сумму немаленькую, да и в шопах их частенько разбирают за минуты после публикации.
Вообще, самое приятное сейчас это бить шопы Европы картами Европы (карты nonvbv).
Потом, как мне кажется на втором месте - это бить США картами США.
И на третьем месте - это бить Европу картами США.
Шопы в Европе как-то лучше относятся к заказам, не так часто отменяют, частенько пропускают какие-то моменты мимо ушей.
А тот же США в основной массе все крупные шопы подзадрочили уже, они гайки максимально у себя в шопе закрутили и сидят, чуть ли не над каждым заказом трясутся. Ну это я говорю про более-менее крупные ордеры.
Далее поиск шопов.
Найти хороший шоп это уже 50% успешного вбива для чистых CC, поэтому это основное чему нужно уделить время
Существует несколько способов поиска:
1) Первый способ поиска: самый простой и банальный - это Google
Синтаксис в Google следующий: хотим найти какой-то товар определённой фирмы
Вводим в Google: Watches+worldwide+shop
Можно писать всё что угодно, слово worldwide в данном случае будет означать доставка по всему миру
То есть будет искать преимущественно шопы с такой услугой
Оператор "+ " в синтаксисе Google означает, что оба эти слова будут учитываться при поиске
: inurl:.us - такой запрос будет искать домены только в зоне USA, тут можно менять на своё усмотрение, как угодно = com. fr. de . и тд
так же, есть оператор :site.us
Этот будет искать шопы именно по домену
Различных параметров множество, это основные для поиска.
Если интересно - вбиваешь синтаксис поиска и читаешь
42 оператора расширенного поиска Google (полный список)
Те, кто давно занимается поисковой оптимизацией, хорошо знают об операторах расширенного поиска Google. Например, почти все знают об операторе site: , который ограничивает поисковую выдачу одним...
habr.com
Язык поисковых запросов Google, операторы, синтаксис: как правильно искать
Возможности языка запросов Google. Разбираемся, как при помощи тех или иных операторов найти в поисковой выдаче то, что вам нужно. Синтаксис поисковых запросов Яндекс и Google.
Сразу когда переходим в шоп, обращаем внимание на его внешний вид.
Если шоп сделан дорого, значит и защита него соответственная, так же важным фактором защиты будет являться вид товара, думаю, это и так понятно.
Чтобы более менее понимать, куда мы попали, спускаемся в подвал сайта, то есть прокручиваем в самый низ.
1. Это платёжные системы которые принимает данный шоп. Просматривайте их предварительно перед вбивом, так как бывает часто что шоп не принимает карты Discover и Amex.
2. Описание политики шопа в отношении проверки ордеров, ограничения, и вообще много интересной и нужной нам информации.
3. Это инфа о доставке, обычно пишется shipping или delivery, В этом разделе описано куда шоп доставляет или не доставляет, т.е на посредов или абонентские ящики, или пишет что только на реальный адрес и тд
4. Это говорит о том что в шопе есть гифты
Это основные параметры которым мы уделяем максимальное внимание, от внимательного изучения подвала сайта в целом зависит успех вбива.
По всем правилам и условиям нужно будет ходить и внимательно их изучать.
Потому что бывали уже случаи, когда ученик ставил какой-то заказ в шоп на посреда.
Вроде платеж прошел, все хорошо, а потом через день заказ отменяют со словами - мы не высылаем на адреса, отличные от биллинга
и в шопе так и написано - ученик просто не заметил.
Есть разные фишки, которые приходят с наработками
Допустим, в дешевых тарифах мерча никогда не будет Гифтов
Если брать тот же мерч Шопифай - там 3 уровня - начальный, стандартный и продвинутый.
Гифты есть только на продвинутом.
Видим шоп на Шопифае без гифтов - это либо начальный, либо стандартный уровень и соответственно, чем ниже тариф у шопа - тем хуже антифрод защита.
Потому как с пакетами идет обычно всякие дополнительные настройки антифрода, плагины и т.п.
Для получения инфы о шопе заходим на этот сайт https://builtwith.com
Листаем ниже и в разделе eCommerce мы увидим сам мерч шопа.
Иногда бывает что мерч просто не отображается, такое бывает - его нужно будет выявить по признакам или на самом сайте будет какая-то инфа в том же подвале.
Иногда мерч будет писать как неопределенный
cart funcionality
Это значит, что мерч кастомный. То есть его собирали и делали вручную, а не покупали готовое решение.
Если нажмем на сам мерч - то увидим шопы на этом же мерче, а так же описание самого мерча, его популярность, в каких странах где и как он используется, ну и так же сам сайт мерча, где можно посмотреть его расценки, условия, с чем работают и что подключают
вообще, на builtwith много полезной инфы, в ней указывается почти все, что прикручено на сайте - какие плагины следят за действиями, какие методы оплаты прикручены и т.п.
Понятное дело, что напрямую тебе никто маркеры АФ писать не будет, но косвенно по популярности и стоимости тех или иных плагинов можно понять, насколько сильный шоп.
С этим сайтом в первую очередь нужно работать плотно
Если мерч кастомный - хорошо это или плохо? Тут уже нужно смотреть более подробно сам шоп и другие плагины.
Тут 50/50 на самом деле.
Иногда его делают самостоятельно, чтобы сэкономить.
Какие-то бесплатные открытые мерчи покупают какую-то защиту задешево и все, шоп кастомный готов.
А иногда специально делают вручную - чтобы настроить лучше, чем обычный мерч готовый нанимают специалиста, который вручную все под конкретную задачу настраивает и там могут быть такие маркеры - которые ты и в глаза не видел в стандартных шопах
Нужно смотреть все возможные моменты, сравнивать их и делать общий вывод, потому что шопы это дело такое, они все равно все индивидуальные.
Идем дальше по мерчу и сайту builtwith
Ты можешь нажать на ссылки снизу и почитать про него подробнее.
Где используемся мерч, в каких странах, какая популярность.
Так же будет ссылка на сам сайт мерча, где можно почитать о нем инфу, посмотреть цены и сделать общее представление о нем
По второй ссылке можно глянуть шопы на таком же мерче.
В целом на builtwith так же можно смотреть почти все плагины.
АФ, кто принимает платежи, обрабатывает.
Так же можно раскрывать подробнее все это и читать.
Там есть рейтинги плагинов. В скольких шопах стоят, платные они, бесплатные и в целом его защиту.
Сайт хороший, инфы много, его нужно изучать подробно.
Если покопаться хорошо - походить по оф. сайтам мерча, почитать форумы владельцев шопов на таких мерчах (часто пишут свои проблемы и ошибки), почитать про все плагины, сравнить с другими шопами на том же мерче - то можно получить много полезной инфы.
Идем дальше по поиску шопов.
2) Как раз поиск шопов с таким же мерчем через builtwith
Там на сайте есть кнопочка - шопы с этим же мерчем.
Заходим и видим небольшой список шопов.
Если хотим полный список - нужно оплатить.
Оплатить можно опять же отработкой - влазит хорошо
3) Еще заходим сюда http://www.resellerratings.com/store/category
Это рейтинг различных магазинов
Тут можно найти Богом забытые шопы. Ищем опять же по категориям и рейтингу. Не забываем vpn.т.к к шопам прикручен blocked region регион лок
4) Еще один способ это поиск через соц. сети как facebook / instagram / pinterest и прочее. Частенько шопы там делают группы по привлечению клиентов facebook / instagram / pinterest всегда есть группы которые организуют новые магазины и все время пытаются подписатся или иным способом привлечь клиента
Так же youtube, там тоже есть что поискать, на пример через всяких RU блогеров можно выйти на забугор шопы которые шлют в ру и тд
Вообще поиск шопов довольно творческое занятие, чем более необычные ваши запросы будут - тем выше шансы найти интересные шопы.
В целом, чтобы было понимание у тебя, почему шопы отличаются, что такое мерч, почему у них у всех разный АФ
как искать вообще шопы по каким-то запросам, как искать похожие, где смотреть инфу по отправке на разные адреса и т.п.
Например, у сайта эпл рейтинг 44
Чем ниже рейтинг - тем популярнее шоп.
Соответственно, по рангу можно оценить насколь популярен шоп в принципе, если у шопа рейтинг несколько миллионов - он не особо популярный и соответственно, защита в нем слабее cкорее всего, но опять же, как и говорил, целиком на параметр не опираемся, смотрим все в целом.
Потому как могут быть и такие варианты, что шоп вроде бы популярный, но защита в нем нулевая.
Ну банально, люди продают хороший товар по хорошей цене, занимаются рекламой активно, а сайт склепали кое-как.
Или обратная ситуация - шоп вроде бы непопулярный, но защита в нем может стоять очень хорошая. Владелец вложился на начальном этапе в хороший шоп и защиту, а вот про рекламу и продвижение забыл.
Ну, обычно, на самом деле - чем больше рейтинг у шопа, тем хуже у него защита процентов 70-80, что это будет так.
Поэтому на рейтинг можно в принципе ориентироваться.
А так нужно смотреть по внешнему виду: по его плагинам-мерчу, по его описанию и что они требуют.
Можно заходить на их страницы в фейсбуке-инсте смотреть, сколько там людей, какая активность, можно почитать отзывы о шопе и т.д.
То есть изучать шоп нужно всесторонне.
Вот тут на сайте при вводе нашего - будет еще полезная инфа
Вроде по каким запросам пользователи выходят на этот сайт или список шопов похожих на нас, часто на одном мерче.
Так же перед вбивом, смотрим разделы в магазине, а именно политику шопа
Она бывает в разделе Delivery, Shiping, Terms and conditions, Privacy policy, у каждого шопа по своему. Это все мы смотрим в подвале сайта
Там нам нужно найти информацию к тому как шоп относится к ордерам на различные бил шип
Так как бывает что так и пишут что мол: "мы не шлём на отличные от биллинга адреса
Все покупатели должны точно вводить свой Биллинг адрес, а так же Шиппинг адрес.
Мы отправляем товар только на Биллинг адрес владельца карты!
т.е с этими шопами понятно. Вбить можно ТОЛЬКО на Билинг адрес КХ, и потом уже делать перенаправление пака
Либо пишут, что могут потребовать дополнительную верификацию, если бил/шипу, к этому надо быть готовым, потребовать могут что угодно, обычно это ссн\доб, либо попросят миники, либо документы, либо еще что-то, к примеру как выглядит их транзакция у вас в выписке (Стейтмен-Это выписка расходов и остатков по БА или кредитной карте с указанными суммами списания, раз в месяц/неделю/каждый день зависит как настроил доставку на email КХ)
Далее, пишут что шлют на разные бил/шип.
Так же можно поговорить со службой поддержки в лайв чате, узнать опять же, шлют они на разные бил/шип или нет. Это называется уже прогрев.
Придумать какую-то причину, к примеру «Я сейчас из другого города сижу и мне посылку нужно сюда, не могли бы вы мне выслать по другому адресу».
Есть еще пробив шопа через прозвон и заказ по электронной почте
Т.е в шопе есть форма заказа по EMAIL, мы ее скачиваем, заполняем и отправляем в шоп, и ждем подтверждения заказа
Таких шопов мало конечно, но есть.
Вариант отличный, так как проверки АФ по сути нет никакой, оплата будет через терминал, как будто мы пришли и расплатились на кассе
Далее, вбив прозвоном
Это значит что мы с вами можем через звонок в шоп вбить нужный товар.
Как это выглядит:
Это прозвонщик звонить в шоп и диктует данные с СС, таким образом мы обходим антифрод шопа, и для Банка выглядит так как мы пришли в шоп и расплатилсь на кассе.
Что для этого нужно:
В первую очередь конечно сама СС с данными, как правило при прозвоне, менеджеры шопа могут запросить дополнительную инфу по КХ и мы должны быть к этому готовы, но, тут мы должны быть уверены что на карте действительно есть балланс, по этому такие вбивы лучше делать с роллки.
Конечно можно обойтись и без роллки, взять 2 хорошие карты и если одна не зайдёт, скажите оператору мол видимо не хватает средств, давайте я возьму другую, своей жены к примеру.
Но в таком случае карты должны быть с тем же зипом
Ну и пробитый DOB, SSN нам так же понадобиться в этом случае. У серьёзных шопов есть доступ к основным данным холдера, таким как SSN, DOB и даже цвет машины и марка
Такую информация можем пробить тут:
Instant Checkmate - People Search & Reverse Phone Lookup
Official Instant Checkmate website. Try our People Search & Reverse Phone Lookup today to search anyone online. Enter a name or phone number to begin a search.
www.instantcheckmate.com
The #1 source for identity & trust | Pipl
Pipl is a provider of identity solutions. We aim to provide the best identity information to organizations in order to ensure that trustworthy people can be trusted.
pipl.com
Так же, можно пользоваться платными услугами пробивщиков. У них, как правило, качество инфы выше, чем на этих сайтах.
Вообще, даю совет - хороший прозвон многое может.
Как и заказ поставить, так и проверку пройти, все узнать, уговорить, рероут/пикап сделать.
Довольно много зависит от него при крупных заказах.
В 95% если заказ крупный - нужна будет грамотная работа прозвона.
Лекция 4.
Следующая тема - Посреды (посредники под товар).
Писал уже ранее, что в текущих реалиях слабо работает, но все равно знать нужно как и что делается.
Посред\перессыл - это официальная фирма, юридическое лицо,которое предоставляет обычным смертным свой физический адрес в USA, для того чтоб мы могли закупатся в USA шопах которые не шлют в СНГ.
Пример: meest.us, fishisfast.com, mainbox.com и т.д.В этой теме список: Посредники США
То есть мы просто регистрируемся тут, в качестве клиента и получаем автоматом физ адрес в USA
Имя и Фамилия для регистрации можно левые, но если у посреда будет подозрение на Fraud, они могут запросить документы, по этому регистрируя посреда - желательно иметь уже сканы доков на руках.
Услуги посреда оплачиваются из ваших личных денег,иначе даже если и вышлют,придёт чардж, потом развернут или остановят у транспортной компании до выяснения, то есть оплачивать из своего кармана.
Эти белые посред-сервисы располагаются в одних штатах часто.
Например в штате Delaware есть 5-6 посредов.
Так как этот штат не облагается налогом на подобную деятельность.
Соответственно, носок и CC найти в этом штате будет проблематично.
Так же, у них у этих посред-сервисов одни адреса на всех.
То есть, во многих шопах эти адреса стоят в блек-листах, либо в подозрительных.
И если шоп видит, что ты шлешь на посреда - то проверяет намного тщательнее
Шопы впринципе плохо относятся к тому, когда шлешь на адрес отличный от биллинга.
Если говорим про небольшие шопы США.
Но если еще шлешь на посред-сервис - то сам понимаешь - если хочешь слать - то нужно найти посред-сервис не такой крупный, чтобы у него адрес не был таким задроченным.
Насчет того, как в целом работают посреды:
Понятное дело, что ликвид на посредов не шлется.
Очень редко заходит и довольно опасно.
Почему редко заходит - потому что это паблик адрес, он фродовый изначально в шопах.
Поэтому шопы на него не дают, а если и дают, то увидев такой адрес затребуют кучу верифов и документов.
Почему опасно:
Посреды белые и они активно сотрудничают и с шопами и с полицией. То есть, если им позвонят из шопа, позвонит КХ, а тем более полиция, то они твой пак задержат и никуда по твоим требованиям высылать не будут, то есть пак твой пропадает.
А они еще выдадут всю информацию по твоему аккаунту - адреса привязанные, фио, айпи и т.п.
Поэтому мы регаемся на фио левых людей со сканов, а не на свои.
То есть способ простой и удобный с одной стороны, но много проблем и сегодня уже малоактуальный.
На посреда отсылают редко, а если отсылают - то пак могут задержать.
После приезда пака на белого посреда в США.
Далее ты можешь его выслать уже к себе в страну.
Есть 2 безопасных варианта:
Воспользоваться услугами приемщиков в РФ, то есть они дадут тебе адрес, пак доедет до их дропов в РФ и поможет обойти таможенный лимит.
Когда пак доедет до них - они уже перешлют его в нужное тебе место.
И второй вариант - получить пак самостоятельно.
Если такая услуга на почте РФ, которая позволяет тебе не пользоваться документами при получении пака - это официальная процедура.
Ты можешь сделать ее сам на сайте или в отделении.
Тебе нужно загрузить свои документы (паспорт) и дать свой номер телефона.
Тебя регают в системе и ты можешь получать посылку посредством смс на твой телефон.
То есть приходишь в отделение за паком, тебе приходит смс от оператора. Ты его называешь и тебе выдают пак.
Все, никаких документов нет. Можешь конечно и с скупа на себя так выслать
Как вбивать в шоп США на посреда:
В биллинге и шиппинге мы указываешь одно и то же имя, а именно посреда, всё остальное указываем в биллинге с СС, в шиппинге = посреда.
Так лучше для ручной проверки, но если сверять буду автоматом, то лучше имя писать с карты в биллинге.
Либо вообще регать одноразовый акк на посреде под каждого КХ.
Тогда имя-фамилия с карты будут совпадать и в биллинге и в шиппинге.
Варианты разные есть, все зависит от желания шопа.
Советую работать именно с дропами от скуп-сервисов.
Скуп-сервис за них отвечает, постоянно заменяет и обновляет.
Если твой пак пропадет по вине дропа или дроп его украдет - сервис выплатит тебе за пак.
С одиночными дропами понятное дело никаких гарантий нет.
По посредам в принципе все.
Насчет текущей ситуации - не все принимают, не все отсылают, могут пак и принять, а потом заблокировать счет. Не всегда можешь оплатить услуги посредов, так как карты не работают, пейпал не работает. Все равно нужны обходные пути, некоторые через Казахстан везут. Если хочешь высылать к себе - надо попробовать как твой товар будет идти напрямую сначала, а потом уже через посреда, если других вариантов нет.
Гифты
E-gift card – гифт, в электронном виде состоит из кода, который можно вписать в интернет магазине и сделать покупку на его номинал
Допустим, есть условный шоп, я хочу сделать подарок своему другу, подарок из ассортимента этого шопа, но не знаю, что лучше купить.
Поэтому могу воспользоваться возможностью покупки E-gift.
Покупаю E-gift, например на 200$, оплачиваю E-Gift который после оплаты оправляется на почту моего друга, а он уже сам выбирает себе товар и просто обналичивает доступный баланс.
В шопах электронный гифт обозначается, как E-Gift \ E-Gift Card \ Gift Voucher/Gift Certificates
По вбиву - по сути, это как обычный товар, только есть свои заморочки, так как это онлайн-баланс, которые быстро падает на почту
с ним есть определенные трудности
Обращай внимание на описание при покупке e-Gift, некоторые шопы так и пишут что потребуют от тебя кучу сканов, прозвон, и тд, такое конечно же не подходит
Гифты есть, нужно еще найти информацию по покупке и отправке
В идеале нам нужно такое описание - Gift cards will be e-mailed instantly and can be used immediately. Это означает что, e-Gift будет немедленно скинут на почту.
Потому что иногда гифты отправляют только по почте настоящей в письме в почтовый ящик.
Так же с нас могут потребовать дополнительные доки, а то и отменить ордер вообще. Так что если e-Gift сразу не упал нам на почту, то скорее всего будет ручная проверка.
Для вбива e-Gift нам потребуются 2 почты, первая почта сделана на имя(Sender Name) CardHolder, вторая на получателя. (Recipient Name).
Нужно использовать адекватные почтовые сервисы типа gmail yahoo outlook и тд. Ну смотря конечно чей мат мы вбиваем, если USA. то эти подойдут, если EU то лучше брать евро сервисы почтовые. Да и вообще рекомендую использовать только эти почтовые сервисы, при любых вбивах.
Имя отправителя(Sender Name) e-Gift пишем с СС, а вот имя получателя (Recipient Name) e-Gift можно писать любое, можно использовать в имени получателя фамилию с СС, таким образом имитировать подарок родственнику.
Обычно пишут Имя Получателя (Recipient Name) такое, чтоб совпадало как-то с Почтой Получателя Recipient's e-mail address.
Пример: сделали мы почту Ivan77@gmail.com - имя Получателя (Recipient Name) соответственно должно быть такое же.
Неплохой вариант ещё в именах отправителя, либо получателя, ставить двойные имена - Smith & Jessy, якобы от пары.
Либо вариант от всей семьи, к примеру пишем "From" - Gerrard's. Или Gerrard's family, импровизация в данном случае необходима.
Внизу под покупкой гифта, есть поле для сообщения с пожеланиями и т.д., сообщение к гифту пишем полноценное.
Тут лучше грамотно писать и без ошибок, и желательно не через Google переводчик, а с правильным построением предложений/словооборотов.
Полученный Гифт можем продать скупам, либо же самим закупится в шопе на этот гифт, если товар нас интересует.
Если мы сами будем отоваривать гифт в товар, то делаем(Recipient Name) и почту соответственно, на имя нашего дропа /посредника
Чарджбек в среднем идет 2 недели, если это не Американ Экспресс.
За 2 недели нужно с вбитым гифтом что-то сделать, чтобы не было проблем.
Что касается ликвидных гифтов типа амазона,таргет,айтюнс и тд
Перед вбивом заранее пробиваем к СС DOB и SSN, так как прозвон делать в данном случае по любому необходимо.
Напрямую, ликвидные гифты НЕ ВБИВАЕМ, т.е Amazon=e-Gift Amazon.
Вбиваем такие гифты через конторы - посредники, тогда гифт не заблочат
Номер телефона обязательно делаем свой, textnow./voice.google/skype и ждём звонка из шопа, как шоп прозвонил, перезваниваем с подменной номера, при том подменой номера реального холдера, если он есть, или предварительно пробить так же можно БГ на кх
У крупных продавцов гифтов стоит серьёзная антифрод система которая сравнивает даже по Номеру и Email которые привязаны к карте(см.пункт.Антифрод), а не только по биллингу, по этому их можно пробивать с роллки предварительно меняя там Email и телефон на наши.
Насчет гифтов - проверка может быть как серьезной, так и простой, все зависит от шопа.
Бывают шопы, где товары вбиваются тяжело, а попробовал вбить гифты - а он заходит хорошо, это нам на руку.
Плюс гифта еще в том, что если он электронный, то его чаще всего можно продать за хороший процент и получить выплату почти сразу же (опять же, если гифт валидный). Не надо ждать высылка товара, проблем с рероутом и т.п.
Но почти всегда - если гифт ликвидный, то он вбивается еще тяжелее товара на такую же сумму. Так же многие уходят вообще от продажи на электронную почту и хотят высылать бумажный гифт по почте. Ну по гифтам наверняка работал в Ебее, была там группа продавцов, которые одно время охотно высылали на почту, а потом все прикрылись и стали слать только по почте.
Следующая тема - пикап и рероут
Рероут - это изменение адреса доставки уже высланного пака через службу доставки.
Изменение адреса в самом шопе уже не работает давно, то есть, если ты поставил заказ на один адрес, тебе его одобрили, а потом ты пишешь - а вышлите-ка на другой, они просто отменят заказ и скажут ставьте новый. Поэтому было придумано изменять адрес именно через службу доставки.
В самом начале это было очень просто делать особенно через Fedex, можно было любому зайти прямо на оф. сайт, ввести трекномер, заполнить какие-то данные по заказу и изменить онлайн адрес доставки. Соответственно, кардеры этим очень активно пользовались и эту тему быстро отключили.
После этого стали звонить в службу доставки по телефону, представляться владельцем и просить изменить адрес. Это работало и работает и сейчас, но хуже и с несколькими нюансами.
Шопы так же поняли, что их обманывают на этапе доставки товара, поэтому уже довольно часто они стали клеить на сам лейбл запрет на изменение адреса. То есть, они упаковали товар и поставили наклейку "Доставить исключительно на указанный адрес". Поэтому, если шоп поставил такую пометку, то при звонке в курьерскую службу они в 95% случаев откажут изменять адрес, как ты им не объясняй. Просто скажут, что у нас есть запрет от шопа, ничего сделать не можем.
Теперь насчет на каких мерчах есть - на любых, это не зависит от мерча. Как искать шопы под рероут - к сожалению, только тестами. Иногда в самих шопах написано, что мол мы высылаем только на биллинг адрес, но в процессе доставки товара адрес все равно можно изменить через курьерку. А иногда шопы разрешают вроде слать куда угодно, но просто ставят запрет и ничего ты с этим не сделаешь.
Пикап/Pickup: - Дословно, самовывоз товара из магазина продавца.
1. Это относительно лёгкие вбивы
2. Быстрое получение денежных средств, без заморочек продать/переслать и т.д.
Пикап - это когда мы бьём бил=шип, на имя CardHolder, затем магазин отправляет поссылку на реальный адрес CardHolderа
Затем есть два варианта:
Либо мы сами прозваниваем на почту, и Холдим Пак, то есть говорим что мы сами заберем пак (осуществим Pickup), оставьте его в отделении, точнее не на почту, а в курьерскую службу, которая доставляет заказ, так правильнее будет сказать.
Либо просим прозвонщиков сделать это, за звонок они конечно же возьмут небольшую оплату.(10$ стоит Холд пака) (Холд-Остановить движение посылки.
Пикапим мы именно через службу доставки, а не через сам шоп (некоторые шопы предлагают самовывоз).
Так как при заборе товара из самого магазина - будут требовать предъявить карту или показать счет на оплату.
В курьерке же - просто документы (id)
Так вот, когда мы бьём под пикап, мы просто вбиваем все данные с карты, имя и адресс кх, всё подлинное как есть.Как будто реальный холдер и делает этот заказ.
Единственная сложность для нас в том,что нам необходимо по максимуму замаскироваться под холдера карты.
Первым делом Вам нужно найти подходящий дроп сервис, который занимается Пикапом по фейк id.
Именно по фейк Id, так как есть еще Пикап на имена и почту дропов.
Фейк айди - это поддельный паспорт, то есть, под данные владельца карты делают айди и с ним идет дроп в отделение забирать посылку.
Каждый дроп сервис имеет свой список товара и определённый процент выплат на каждую единицу.
Механизм следующий. Вбили товар на КХ(предварительно согласованный с Пикап сервисом)>Получили трек>Заказали прозвон(Холд пака в почтовом отделении)>Затем, дроп приходит на почту в отделение и забирает пак как CardHolder имея при этом левые документы.
Когда дроп получает поссылку,выплату вам осуществляют в основном на биток,максимум через день/два,в основном бывает и быстрее, всё зависит от самого сервиса
Пикап сервис обозначит Вам свою зону работы по фейк id.
Обычно минимальный ордер за который берется Пикап сервис по фейк id, от 1000$
Они запросят какие-то проценты обычно либо оплату при получении пака, то есть заберут пак, а потом уже оплатишь за его получение.
Из условий - нужный товар, нужная зона, нужная сумма по товару.
То есть они все свои услуги по получению, по пикапу включают в проценты.
А если ты захочешь например себе переслать, то они могут или сразу сказать, что мы так не делаем.
Либо запросить оплату пикапа.
Оплата пересыла и т.п.
Дроп может забрать пак двумя способами по фэйк ID и по своему ID.
Этот момент нужно уточнять у дроповода, есть сервисы предоставляющие возможность забирать паки по фэйк ID. Например вы вбиваете товар, указали адрес владельца карты, а имя нужно указать дропа, так как сервис не имеет возможности делать фэйк ID, а если сервис имеет такую услугу, вы с легкостью можете при вбиве заполнять все данные КХ.
Конечно же более проходим будет пикап на имя КХ, поэтому старайтесь работать с такими сервисами.
Пикап, это как один из вариантов работы дропов, но и пикап можно подразделить на 3 варианта работы.
1) Пикап со скупом стафа.
2) Пикап под пересыл пака.
3) Пикап 50 на 50.
По рероуту - прозвонщик звонит и просит перенаправить посылку на нужный адрес. Способ в данных реалиях уже полумертвый, так как курьерки не хотят изменять адрес, шопы запрещают изначально (ставят лейбл что рероут запрещен) и все такое. По моему ощущению проходимость рероута процентов 30-40 (раньше была 80-90).
Если все таки хочешь рероут, то когда посылку подготовили к отправке и есть трекномер (желательно, чтобы ее еще не выслали, а только собирались высылать) - даем данные прозвонщику, он звонит в службу доставки и пытается изменить адрес или захолдить на нужный адрес.
Следующая тема - Enroll
Enroll - это обычная СС, но уже с созданным онлайн доступом в банк
Аналог СберБанк онлайн, Приват24.
Внутри Enroll есть возможности, которые очень помогут в нашей работе.
Смена Billing адреса, онлайн.
Сделав Enroll - мы можем поменять этот адрес, на адрес нашего дропа.
И получится при вбиве, что метод вбива у нас Billing = Shipping на дропа.
Billing совпадает = система AVS дает зеленый свет. Шоп так же думает, что шлёт на CardHolder.
Но опять же, сменить адрес можно не во всех банках.
У разных банков разные возможности и правила по смене.
Некоторые дают менять адрес, некоторые только добавить еще один адрес.
Другие же вообще это не разрешают, а позволяют сменить номера телефона или почты.
Другие же банки вообще ничего не разрешают менять в Роллке.
Когда меняем Billing адрес, то адреса посредников не использовать, т.к. большинство в блэках у банков, для этих целей берем исключительно Дропов.
Делаем enroll карту сразу с ip штата нашего дропа, лучше брать карту где кх и дроп в одном штате.
почти все крупные банки не дают менять адрес либо если дают, то для регистрации Роллки будут требовать инфу о КХ, которую мы пробить не можем (например номера счетов, секретные вопросы и т.п.)
Как делать Enroll:
Используем туннель, или прокси с платной подпиской(долго живущие) обычные socks не берём, так как они живут недолго
В идеале нам нужен постоянный доступ с одного ip в роллку, но бывает такое что и туннель перестал работать через пару дней, ничего страшного берем туннель, НО строго того же штата/города/ZIP
Нужна СС, Кредитка, Gold / Platinum / Titanium / Signature / Centurion и тд в общем лучше статусные карты.
Итак, для того чтобы сделать Enroll карты нам понадобиться выбрать Банк и определённый BIN', как выбрать
Идём в шоп СС, смотрим что там продаётся.
Проверяем Банк смотрим что за BIN'ы (как это сделать мы уже знаем), далее заходим на официальный сайт этого банка
И нажимаем зароллить (создать акк онлайн).
После нажатия нас перекинет на форму создания акк, и покажет какие данные нужны для Enroll.
Не все Банки дают возможность Enrollа, по этому проверяем каждый, перед тем как делать Enroll, не пробуйте крупные Банки, они как правило не роллятся, ищите не популярные Банки.
Здесь можно посмотреть Банки по капитализации и по Штат/Город
www.branchspot.com/banks-credit-unions/top-100-banks
Нам нужны банки - которые потребуют от нас только dob и ssn как дополнительную инфу при создании Enrollа.
Есть банки, которые запрашивают к DOB SSN дополнительную информацию, по типу MMN (девичья фамилия матери) и разную дополнительную инфу.
Такие банки нам не подходят, подходят только если у вас будут эти данные или возможность пробить не дорого.
Банки которые запрашивают PIN код - не роллятся.
SSN и DOB мы можем пробить у частных пробивал:
sindikat@exploit.im
nice-probiv@exploit.im
как пример.
Допустим нашли мы Банк в магазине СС, Credit One Bank
Для поиска всех BIN'ов данного банка можем воспользоваться еще одним ресурсом http://bins.su/
Идем на этот сайт, вводим название Банка, в нашем случае это Credit One Bank
Мы уже знаем что нам нужны СС, CREDIT Gold/Platinum/ Titanium/ Signature/ Centurion итд
Здесь Банк от нас требует только SSN+ Данные с купленной нами СС, ничего сложного.
Почту регаем сами под CardHolder, все остальные у нас есть по умолчанию есть + пробили SSN
Если требует номер телефона CardHolder - обязательно пишем реальный его номер. Позже его можно сменить
Если не хочет роллится - пробуем вписать реальное мыло CardHolder
Его тоже можно будет сменить.
Если онлайн-банкинг к CC уже подключен - делаем Реролл
Реррол - https://www.creditonebank.com/account-reset
Рерол, т.е. сбрасываем старые данные и меняем их на новые.
На следующей странице будет спрашивать Keep Existing Username?*( Сохранить существующее имя пользователя?) ставим NO и вписываем свой Username любой.
После этого Реррол будет произведен.
Как в целом ищутся такие банки - ручками.
Либо покупаются данные у селлеров.
Но вообще их довольно просто искать, если знать что нам нужны небольшие мелкие банки, ищешь их названия -
Идешь на их сайт и просто смотришь, что они требуют для Енролла.
Если данные нам подходят - то ищешь карты этого банка в шопе и все.
Ну либо если не хочешь всем этим заниматься, то покупаешь готовые Роллки уже у селлеров, но стоят они порядочно, от 70 баксов и выше обычно за самые простые
Роллка - это не магическая штука для вбива всего и вся.
С ней так же нужно работать с АФ мерча, все правильно настраивать и т.п.
Роллка поможет это обойти.
Это в целом инфа по енроллу обычных CC, но мы так же можем и в логах встречать уже готовые Роллки
С ними тоже нужно работать.
От себя так же еще раз скажу, что проходимость Роллки не выше, чем обычной CC.
Ее плюс - это известный баланс и иногда возможность сменить какие-то данные или глянуть миники.
Из минусов - цена, стоит примерно 4-10 обычных карт, в зависимости от баланса.
Так же добавлю, что мелких банков - которых ты можешь зароллить имея лишь доб и ссн - минимальное количество.
Большинство из них требуют уже более серьезную инфу по счетам, либо каким-то персональным данным. Самостоятельно это достать практически невозможно, поэтому или надо пробивать платно задорого или сразу покупать готовые Роллки в шопе.
А так, Роллки хороши для больших заказов, когда хочешь быть уверенным в балансе.
Ну и опять же, там где я банк приводил для примера - уже устарел, задрочили его за пару недель.
Сейчас такие банки тяжеловато найти, чаще всего надо пробивать больше инфы либо откуда-то вытаскивать (с тех же логов).
Если работать - то советую покупать, это проще, есть гарантии на валидность и баланс, меньше проблем будет у тебя.
Last edited by a moderator:
