Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,308
- Points
- 113
Лектор: Pustota
(19:19:30) Pustota: Сегодня мы поговорим немного о банковских картах, базовых принципах их работы (и работы с ними) и нюансах их покупки, а также затронем такие вопросы, как чек карт, AVS, 3DS/VBV и почему мы даже на “хороших” картах можем получить деклайн (неуспешный результат выполнения транзакции)
(19:20:12) Pustota: Каждый из вас так или иначе сталкивался в своей жизни с банковскими картами, но мало, кто задумывался, как работает процесс оплаты картой и какую информацию несет в себе сам пластик и информация, напечатанная (либо эмбоссированная) на нем
(19:20:20) Pustota: Первое, что начинающий кардер должен изучить, – базовую информацию о банковских картах в контексте нашей теневой деятельности.
(19:20:52) Pustota: Перед этим подчеркну, что любую информацию которую вы получаете в ходе работы будь то успешный или не успешный ордер - нужно записывать. Дабы в будущем сверяться с данными и не делать ошибок. Или банально что-то не забыть. Пример: (19:20:59) Pustota: Продолжим.
(19:21:52) Pustota: В нашем контексте CC (Credit Card, кредитная карта, картон и т.д.) – заботливо угнанные данные реально существующей (либо виртуальной) карты холдера (владельца карты, КХ), не проживающего в странах СНГ
(19:22:27) Pustota: Где же нам достать картон? 3 основных варианта – купить в шопах, у приватных (или не очень) селлеров, либо добыть самому (с фейкового сайта, со снифера на реально существующем сайте, с ботнета, какой-либо взломанной БД либо с любого другого места, куда хватит вашей фантазии). О самостоятельной добыче речь сегодня не пойдет, это тема "со звездочкой" для самостоятельного освоения
(19:23:48) Pustota: Рассмотрим самый популярный и очевидный вариант с покупкой карты
(19:23:56) Pustota: При покупке вы получите картон примерно в таком формате:
4147400219040084 | 12/21 | 826 | Richard Lang | 56 Groveview Cir #302 | Rochester | 14612 | NY | USA | 661-298-0881 | richielang@aol.com
Формат у каждого шопа/селлера отличается, где-то его можно кастомизировать, но основные моменты идентичны
В нашем примере 4147400219040084 – номер кредитной карты;
12/21 (12 месяц / 21 год) - дата окончания действия карты (Expiry/Expiration Date);
826 – защитный код карты CVV/CVV2/CVC;
Richard Lang – First и Last Name (имя, фамилия);
56 Groveview Cir – Address Line 1 (первая строка адреса);
#302 - Address Line 2 (вторая строка адреса). Обратите внимание, что название улицы и номер дома - это всегда Line 1, а номер квартиры/пристройки/офиса - это Line 2. Если дом частный, то Address Line 2 будет отсутствовать;
Rochester – город;
14612 – Zip code (зип, аналог нашего почтового индекса);
NY (New York) – штат;
USA – страна;
661-298-0881 – телефон;
richielang@aol.com – email-адрес холдера.
(19:24:54) Pustota: Минимально необходимая информация для работы по большинству направлений - номер СС, Expiration Date, CVV, First/Last name, Address line 1, Zip code
(19:25:25) Pustota: Остановимся детальнее на номере карты, он содержит в себе важную информацию для работы
(19:26:02) Pustota: BIN (Bank Identification Number) – первые 6 цифр номера кредитной карты
(19:26:23) Pustota: Каждая банковская организация имеет пул уникальных номеров, которые присваиваются выданным ими картам
(19:27:00) Pustota: В этих номерах содержится информация о платежной системе (Visa/MC/AmEx/Discover и.т.д.), банке-эмитенте, уровне карты (Classic/Gold/Platinum и.т.д.), типе карты (Credit/Debit/Prepaid)
(19:27:35) Pustota: Первая цифра BIN определяет Major Industry Identifier (MII) - глобальную платежную систему, под управлением которой данная карта работает
(19:28:15) Pustota: Основные платежные системы, с которыми вам предстоит столкнуться, – AmEx (первая цифра карты начинается на 3), Visa (4), MasterCard (5), Discover (6)
(19:29:13) Pustota: Подробную информацию о бинах можно найти на сервисах вроде binlist.net, binov.net (последний очень удобен для масс поиска бинов и реверсивного поиска бинов по банкам, хотя базы несколько устарели на данный момент), также базы бинов встроены в большинство шопов CC. В популярные так точно.
(19:30:44) Pustota: Если мы пробьем BIN карты из примера выше (414740), увидим следующую информацию:
TYPE: VISA;
BANK: CHASE BANK USA, N.A.;
RANK: CREDIT;
TYPE: SIGNATURE;
COUNTRY: USA
(19:31:41) Pustota: RANK и TYPE мы разберем дальше по ходу лекции (тип и уровень карты), остальные данные очевидны исходя из названия
(19:33:17) Pustota: Остальные цифры карты, кроме последней, идентифицируют аккаунт холдера в банке, а последняя цифра - контрольная, предназначенная для валидации номера банковской карты по алгоритму Луна (Luhn Algorithm) - для нас эта информация имеет пользу только в том контексте, что рандомный набор цифр не может быть валидным номером карты, а опечатавшись на 1 цифру при вводе, мы 100% введем несуществующий номер карты. Также алгоритм Луна используется сервисами генерации псевдонастоящих данных (fake data / fake cc generators) и при валидации ввода (наверное, вы встречались со случаем, когда поле ввода номера карты "краснеет" и говорит о неправильном номере карты еще на этапе, когда вы печатаете номер)
(19:33:57) Pustota: Теперь что касается непосредственно покупки карт в шопах. При покупке карт в большинстве шопов мы увидим такой параметр, как валидность базы, в которой карта поступила в шоп
(19:34:48) Pustota: Шопом/селлером она определяется так: берется рандомно некоторое количество карт и валидируется чекером. Допустим, из 10 карт вышло 7 валидных – *заявленная* валидность такой базы около 70%. Отмечу, что реальная валидность может сильно отличаться в зависимости от честности селлера/шопа, используемого чекера, метода добычи карт и того, насколько давно база была добыта и прочекана на валид
(19:36:08) Pustota: Чекер карт – сервис, который прогоняет карты через свои мерчи. Чекеры могут работать по-разному: с карты может преавторизоваться небольшая сумма ($1-2) через мерч чекера и возвращаться обратно через небольшой промежуток времени. Такой метод плох тем, что у холдера могут быть настроены нотификации на транзы и подозрительная транзакция может вынудить его заблокировать карту. Ну или он просто не вовремя может чекнуть bank statement (банковскую выписку, бывает доступна в бумажном виде, по звонку в банк, либо в онлайн-банкинге)
(19:37:17) Pustota: Более продвинутые чекеры используют бесчарджевую валидацию ($0 authorization), которая чаще всего проходит незаметно для холдера и дает ответ от платежной системы о валидности карты
(19:38:35) Pustota: Альтернативным способом прочекать карту на валидность является ее привязка к каким-либо сервисам (как пример - к гуглу, либо в любой другой сервис, куда карта вяжется в личный кабинет)
(19:39:44) Pustota: Это достаточно безопасный метод чека, который сводит риск смерти карты к минимуму при условии, что он тоже использует принцип бесчарджевой валидации
(19:41:11) Pustota: В нормальных шопах за невалидные карты предусмотрен рефанд – обычно на чек дается 5-15 минут. Чтобы минимизировать временные и финансовые потери, я рекомендую чекать карты после покупки и пытаться получить рефанд, если карта мертвая. Если вы не доверяете вашему методу чека карт (допустим, считаете, что он может убивать карты), можно чекать карту после вбива, чтобы свести к минимуму вероятность ее смерти от чека
(19:42:48) Pustota: Также стоит помнить, что встроенные в шопы чекеры зачастую портят карты значительно сильнее, чем ваши собственные методы чека, потому пользуйтесь ими только в том случае, если уверены, что карта невалид (алгоритм чаще всего такой: вы чекаете карту чекером шопа, если чекер шопа сообщает о преждевременной кончине карты, вы получаете рефанд; если же чекер говорит, что карта жива - то нет)
(19:43:49) Pustota: Также, хочу отметить, что однозначно самый безопасный метод чека карты - попытка ее заролить либо прозвонить на баланс (заролить - производное от Enroll (энролл)). Это понятие будет детально освещено в дальнейших лекциях, подразумевает получение доступа к онлайн-банкингу карты), либо прозвон в банк. В этом случае иногда может понадобиться пробить доп. инфу по карте (SSN (номер соц. страхования)/DoB (дату рождения холдера) или еще что-либо)
(19:44:41) Pustota: Пару слов о видах CC. Как я уже говорил выше, чаще всего в работе вам будут встречаться карты Visa, MasterCard, American Express, Discover
(19:46:07) Pustota: Из моего опыта, проще всего найти хорошие бины Visa и MC, однако в практике мне встречались и жирные бины амекса (однако, с последним есть своя специфика - быстрее идет чарджбек, что зачастую бывает губительно для вбивов. Нужно понимать, где такое пройдет, а где будет руинить вашу работу). Карты Discover, скорее, относятся к экзотике - но в некоторых направлениях их тоже используют
(19:47:17) Pustota: Карты Visa, MasterCard и Discover имеют по 16 цифр в номере карты и 3-х значные CVV-коды. У амекса же в номере карты 15 цифр и CVV 4-х значный
(19:48:43) Pustota: У карт некоторых стран (конкретно - USA, Canada, Australia, New Zealand и United Kingdom) предусмотрен механизм защиты AVS (Address Verification System), который сверяет адрес, использованный при совершении транзакции с таковым в банке-эмитенте. В том случае, если данные не совпадают (сверяются цифры в адресе и ZIP-коде), от банка приходит ответ AVS Mismatch и такая транзакция будет отклонена. Отсюда в дальнейшем вы столкнетесь с такими понятиями, как billing и shipping address, они будут затронуты в дальнейших лекциях
(19:49:23) Pustota: Более подробно об AVS системе можете почитать на форуме
(19:49:28) Pustota: Но распишу вам для общего понятия:
(19:50:52) Pustota: AVS - Address Verification System должны были изучать, суть в том что если делаете транзакцию внутри страны (то есть банк эмитент карты той же страны что и магазин) у вас могут сверить цифровую часть адреса, и если он не совпадает будет decline, список стран у которых есть эта система запомните. То есть этой системы нет в РФ/EУ (прим. на корпоративных картах Англии нет AVS, так же не все карты в usa/ca/au могут иметь такую защиту, в usa и ca почти все, в au реальнее найти без сверки)
(19:51:04) Pustota: При работе с картами рано или поздно вы столкнетесь с защитными механизмами 3D Secure
(19:51:25) Pustota: У карт Visa он называется Visa Secure / Verified by Visa (VBV); у MC - MasterCard Secure Code (MCSC), а у Amex - SafeKey. Соответственно у многих шлюзов есть свои аналоги.
(19:52:45) Pustota: 3Dsecure - Кажется обычно ее называют 3ий слой защиты, суть в том что вы вводите интернет пароль для покупок, я думаю вы уже с этим сталкивались при покупке с ваших карт, когда для подтверждения транзакции банк присылал вам sms код.
(19:53:46) Pustota: Что очень важно отметить, если вы сделали покупку с 3дс кодом, чарджбек ложиться полностью на плечи кардхолдера или банка, магазин ответственности не несет за эту операцию, то есть даже если кардхолдер спалит транзакцию маловероятно что на шоп это повлияет и он не отправит вам товар, но тут есть исключение (шоп который дорожит своей репутацией отменит).
(19:54:44) Pustota: То есть транзакции с 3дс кодом обладают высоким трастом (исключение USA ввиду того что там интернет пароль зачастую статичный, то есть к примеру как пароль от email, и его можно сбросить). Чуть проясню это окно ввода 3дс кода у USA банка, но вместо смс вас просит банк ввести информацию по карте+зип код.
(19:57:08) Pustota: В общем то 3ds самый распространенный тип защиты, в большинстве стран у мерчантов в шопах подключен он у карт. То есть если у мерчанта не подключена эта защита, а на карте она стоит то транзакция пройдет без 3дс, так как это не было инициировано шопом.
(19:57:19) Pustota: Разберем момент 3Ds более подробно:
(19:58:17) Pustota: Данные механизмы призваны значительно сократить процент неавторизованных/мошеннических операций с картами путем добавления дополнительного метода подтверждения транзакции, не связанного с самой картой. В случае вбива в мерч с активированной системой 3DS, при проведении транзакции вы будете перенаправлены на страницу ввода статичного кода, который должен быть известен холдеру, либо одноразового кода, отправляемого холдеру по SMS/e-mail
(20:00:45) Pustota: Статичные коды будут неизвестны вам при покупке карты, однако, для некоторых бинов их можно сбросить. Бины, где такое можно провернуть, называются бинами со сбросом VBV
(20:01:51) Pustota: Также, встречаются бины, которые проходят VBV автоматически. Выглядит это так: во время проведения транзакции, вы попадаете на страницу VBV, аналогичную таковой для вышеперечисленных бинов, но сам код VBV у вас не запрашивает. В это время банк-эмитент оценивает вашу транзакцию по своим антифрод-критериям и дает ответ мерчу, прошли вы проверку VBV, либо нет. Такие бины называются автовбв. Также, иногда автовбв карты встречаются у банков, которые просто еще не имплементировали защиту с помощью 3DS, в таких банках процент успешного прохождения VBV будет выше. Обычно это небольшие банки (чаще всего - Credit Union'ы)
(20:02:23) Pustota: Если вы работаете по вещевухе с US шопами и наткнулись на шоп с VBV/MCSC, проще всего на такой шоп забить и найти другой. Если же вы бьете какой-либо сервис, где VBV обязателен (например, Airbnb), либо работаете по EU - там уже нужно искать бины со сбросом/автовбв, которые будут лезть в мерч вашего сервиса/шопа
(20:03:09) Pustota: 3дс код в USA зачастую статичен, как правило это либо zip/ssn либо zip+ssn, либо он может быть задан кардхолдером, но зачастую его можно сбросить (увидите пункт reset). Так вот в eu/ca/au и возможно в других регионах так же можно найти карты у которых можно сбросить статичный пароль(при условия что он статичный а не смс или токен и есть пункт reset) но сколько средств вы потратите в поисках этого никто не может сказать)
(20:04:40) Pustota: Разве что в UK шанс выше найти что-то со сбросом так как в свое время там было очень много бинов со сменой пароля 3дс по DOB. Раньше было много бинов со сбросом 3дс пароля, по добу,зипу (данным которые пробивались по открытым источникам) сейчас я говорю про европу и англию, на данный момент как я уже говорила таких бинов стало меньше, но найти их реально , я бы начинала с Англии и Италии, но это субъективно.
(20:05:52) Pustota: На данный момент многие уже ушли от этого, и сейчас либо смс либо 2FA токены (типо 2FA приложения Google). Но если стоит смс то варианты есть, и в мире уже с 2017-2018 года трубят что надо отказываться от подтверждения по номеру телефона, поэтому вероятное через 2-3 года масса банков перейдет на токены.
(20:07:27) Pustota: Вот как выглядит 3ds окно и принципы защиты по Европе:
А вот здесь после ввода 3ds кода, дополнительно запросило номер счета (20:08:24) Pustota: Методы работы с EU матом вам дадут на лекции по отелям и авиа, т.к. все эти направления очень плотно связанны между собой.
(20:09:37) Pustota: Небольшая хитрость чтобы определить наличие 3дс у магазина надо взять карту у которой установлена эта защита и провести транзакцию, желательно не типичную чтобы не сработал auto3ds, таким образом можно проходить списки шопов, либо же узнавать какой мерчант у шопа и читать на их официальном сайте документацию.
(20:10:36) Pustota: Так же при работе с картами Европы в Америке - стоит уточнять у саппорта есть ли у них возможность оплачивать картами других стран. Т.к. если транза пойдет дальше - банк её может не пропустить и там спасёт только прозвон. Поэтому - общаемся с поддержкой.
(20:12:46) Pustota: Если говорить о других странах nonUSA, можно выделить следующее: Это Латинская Америка, Евросоюз, СНГ, Азия, Австралия, Африка. Можно еще выделить Арабские страны и Индию, Англию (прим. лекция ранее была о Европе и Азии, но я решил включить весь мир, но справедливости ради скажу что работал в основном по юса/еу/азия).
(20:14:09) Pustota: Вы должны смотреть информацию касательно регионов в интернете. Могут быть разные ситуации в странах, влияние и пр. Проще говоря нужно уметь пользоваться Гуглом. https://habr.com/ru/sandbox/46956/
(20:14:56) Pustota: Как уже писал выше, в основном я работал с юса/еу/азия, поэтому эти направления будут более подробно разобраны, в остальных регионах +- такая же ситуация как в Европе и Азии.
(20:14:58) Pustota: Поговорим немного о типах и уровнях СС
(20:16:03) Pustota: Кредитная (Credit) - карта, на которую можно тратить заемные средства, т.е. не имея на счете собственных денег. Более того, у US карт на кредитных картах зачастую нет вообще такого понятия, как положительный баланс - на них можно тратить только кредитные средства и погашать кредит. Чем выше у КХ Credit Score, тем большие кредитные лимиты дает банк. Обращу ваше внимание, что если на такой карте вы захотите прозвонить в банк, либо заролить и узнать баланс, то реально доступными дня траты средствами будет являться не account balance, а available credit
(20:16:35) Pustota: Дебетовая (Debit) - карта, которая привязана к банковскому счету (аккаунту) и является своего рода ключом к банковскому счету для удобства повседневных расчетов (очевидно, что, как метод совершения платежей, банковские аккаунты не так удобны, как карты). Списываются средства с дебеток только в пределах актуального баланса на БА (банковском аккаунте)
(20:17:37) Pustota: Предоплаченная (Prepaid) - карта с предварительно оплаченной суммой - смарт-карта, на которой хранятся электронные деньги, заранее внесенные туда владельцем карты. В использовании аналогичны дебиткам, но в отличии от них не связаны с банковскими аккаунтами. Зачастую встречаются у платежных систем вроде Payoneer и т.д. Некоторые мерчи отказываются работать с prepaid-картами. Отмечу, что это наихудший вариант для работы, за исключением кейсов, когда вы четко знаете свойства такого бина, как с ним работать и что делать
(20:18:34) Pustota: Что касается уровней карт - их очень много и у разных банков и платежных систем они разные. От Classic до Black. Детальное описание в формате ликбеза каждого из уровней вы можете почитать в рабочей конференции на форуме, там должен быть соответствующий пост
(20:19:42) Pustota: С одной стороны, карты более высокого уровня говорят о более высоком статусе владельца и потенциально на них может находиться больше денег, чем на картах низких уровней. Однако, на практике это далеко не всегда так - к примеру, в моем арсенале есть бины Classic, на которых всегда очень много доступных средств, их холдеры в большинстве своем активны и такие карты позволяют списывать крупные суммы. С другой стороны, есть бины Platinum, на которых в среднем и денег мало и списывать транзакции с них получается со скрипом, а зачастую это вообще невозможно из-за повсеместных лимитов и злого банковского фрода
(20:20:38) Pustota: Таким образом, я хочу развеять популярный миф о том, что стоит стараться брать карты более высоких уровней - зачастую, это далеко не так (по крайней мере, при работе с US картами. В случае с EU картами, использование карт уровней Gold и выше оправдано и действительно показывает статистически лучшие результаты)
(20:22:18) Pustota: Также хочу отметить, что далеко не всегда наличие доступных к трате средств на карте равно успешному вбиву и сейчас я дам развернутое объяснение, почему. Для этого рассмотрим детально всю кухню, происходящую при оплате картой и скрытую от глаз обывателя
(20:22:27) Pustota: Процесс оплаты банковской картой в Интернете не такой простой, как кажется на первый взгляд
(20:22:32) Pustota: Допустим, вы проводите оплату в онлайн-магазине
(20:22:35) Pustota: Разберем основных участников процесса оплаты:
(20:23:26) Pustota: - КХ: кардхолдер, владелец карты, с которой совершается платеж;
- Мерчант: собственно, онлайн-точка продажи товара с расчетным счетом, куда в итоге должны поступить средства за товар. Многие путают мерчант и то, что правильнее называть payment gateway. Это разные сущности, однако на кардерском сленге для упрощения мы говорим о них, как о едином целом (о мерче);
- Payment Gateway (платежный шлюз) - технология, позволяющая связать мерчант с процессинговым центром и банком-эквайером;
(20:25:12) Pustota: - Процессинговый центр - высокотехнологичная система обработки платежей по банковским картам в сфере электронной коммерции. Принимает данные от платежных шлюзов, обрабатывает и перенаправляет их банку-эмитенту;
- Банк-эквайер (банк мерчанта) : банк, который является участником глобальной платежной системы (Visa/MC и.т.д.) и позволяет бизнесу принимать платежи при помощи банковских карт;
- Банк-эмитент (банк КХ) : банк, который также состоит в глобальной платежной системе и выдал карту холдеру;
- Глобальная платежная система (Visa/MC и.т.д.) - организация, регулирующая и производящая межбанковские взаиморасчеты. Простыми словами, позволяет перебросить деньги со счета банка-эмитента на счет банка-эквайера и разруливает весь происходящий при этом процесс.
(20:27:22) Pustota: После нажатия КХ кнопки Place Order, сначала данные попадают в антифрод-систему шопа. Она оценивает ордер по своему огромному массиву критериев.
И принимает решение о том, пропустить ли ордер дальше автоматом, отправить на ручной вериф либо дать инстант деклайн. На этом этапе в большинстве случаев данные карты еще не ушли дальше шопа
(20:29:24) Pustota: Если проверка антифродом успешно пройдена, либо менеджер вручную зааппрувил ордер, процесс оплаты продолжается. После аппрува ордера, ваши данные собираются, шифруются и передаются в платежный шлюз (Payment Gateway). В свою очередь, он оценивает транзакцию по своим критериям (у шлюзов есть свои антифрод-системы, позволяющие выявить подозрительные паттерны) и может сразу развернуть оплату
(20:31:07) Pustota: Допустим, транзакция КХ показалась шлюзу легитимной - в этом случае, он передает все данные дальше процессинговому центру. Процессинговый центр снова проводит проверку по своим критериям мошеннических транзакций и принимает решение о том, направлять ли транзакцию дальше.
(20:32:34) Pustota: Если процессинговому центру все понравилось - транзакция идет через глобальную платежную систему к банку-эмитенту. Банк-эмитент анализирует транзакции КХ и в случае, если транзакция кажется ему из ряда вон выходящей (например, КХ никогда не покупал с карты ничего дороже $100, а вы вдруг пытаетесь вбить золотой слиток за $10k) - также может завернуть транзакцию (как минимум, до звонка КХ в банк и верифа такой транзакции, сопровождающегося обычно приличным количеством вопросов, ответы на которые в теории должны быть известны только КХ)
(20:34:09) Pustota: Банк-эмитент также смотрит на установленные холдером лимиты и, конечно же, наличие доступных собственных/кредитных средств
(20:34:38) Pustota: Если и банку-эмитенту кажется, что все в порядке, он передает положительный ответ в банк-эквайер обратно через глобальную платежную систему, тот, в свою очередь, возвращает результат успешной транзакции платежному шлюзу и шлюз сообщает напрямую вам и менеджерам шопа об успешной оплате
(20:35:29) Pustota: Теперь вы понимаете, почему тот факт, что у вас на руках имеется карта с известным балансом, не дает вам уверенности в успешном вбиве? Вы имеете дело с многоступенчатым антифродом (шопа, платежного шлюза, процессингового центра и банков)
(20:37:26) Pustota: Большая часть нашей деятельности при работе с картами заключается в том, чтобы все ступени антифрода научиться эффективно обходить. Это достаточно сложно, потому, что всегда есть много переменных, которые нам недоступны, но грамотно анализируя вбивы, рано или поздно мы находим уязвимости, которые и эксплуатируем, пока они не закроются
(20:38:50) Pustota: Если мы говорим о работе с картами, то у нас есть 2 основные сущности, которые мы должны правильно подобрать, чтобы обойти вышеназванные системы защиты. Первая - это техническая сторона, а именно - правильная настройка системы, имитирующая таковую реального холдера (включает, к примеру, системные языки, часовой пояс и.т.д., подмену IP-адреса при помощи анонимайзеров (прокси-серверов, SSH-туннелей, OVPN/PPTP конфигов, прямого доступа к машинам ((H)RDP, (H)VNC и.т.д.) и поведенческие факторы (имитацию действий реального пользователя)
(20:39:13) Pustota: В дальнейших лекциях мы так или иначе будем затрагивать обе этих стороны применимо к различным направлениям в кардинге. На этом на сегодня у нас все, жду ваши ?
(20:43:00) wimmont: Какие шопы CC можете порекомендовать, исходя из личного опыта? Представлены ли хорошие шопы на форуме? Посмотрел отзывы на некоторые, ситуация двоякая достаточно
(20:46:59) Pustota: Вполне неплохой шоп на данный момент - кастро. Частые обновления и разные селлеры, часто бывает подходящий мат. Но все равно, нужно исходить из личного опыта и всегда сравнивать отзывы, цена\качество и т.д. Тот же кастро не без грехов.
Можете указать мой код при регистрации pustota1337 и получите скидку на все покупки
(20:47:17) Snork: Можно ли сказать, что со временем (последние 3-4 года), вбив становится только сложнее ? И сколько по твоему опыту пришлось сделать неудачных вбивов, до успеха?
(20:48:34) Pustota: Когда я начинал я буквально в первых попытках получил успех. Сейчас да, все сложнее чем раньше, но успех все так же вполне достижим.
(20:48:44) Serpantin666: Почему не рассказали про NON-VBV? Так же, перед началом обучения, мне говорили что будет рассказанно как добывать бины от этих карт.
(20:51:35) Pustota: Что значит как добывать бины? Бины вы добываете путем тестов. Покупаете карту, тестите и если там подходящий вам нонвбв\автовбв - сохраняете его себе. На счет нонвбв - было рассказано про все виды карт.
(20:51:43) Peter_Parker: 1. Какие карты ты считаешь легче вбить (если брать статистику): дебет или кредитка?
2. Будучи новичком, с каких типов карт ты бы посоветовал начать, или же что лучше идет по вбивам (простота вбива): американ экспрес, виза или мастер?
3. Часто ли на дебетках есть деньги и пользуются ли они спросом у КХ ЮСА?
4. Если есть меил и номер телефона КХ, как лучше воспользоваться и куда применить эту информацию?
5. Какие сервисы для привязки ты бы мог порекомендовать? (для чека)
6. Как считаешь лучше делать: 1 карта = 1вбив и 1 дроп? Или можно использовать 1 карта = пару вбивов и пару дропов?
(20:54:02) Pustota: 1. Дебет, если она не пустая. Но чаще всего - они пустые. Поэтому в основном брать кредит
2. я брал виза\мк
3. Пользуются, но проблема в том что дебет чаще всего идет по второму кругу и денег там уже нет после наших коллег.
4. Заспамить их и при необходимости использовать для регистрации\прозвона шопа\банка
5. самое банальное - Гугл, Нетфликс и т.п
6. 1 карта может идти под несколько вбивов, но пара дропов вам не даст сделать АФ. Поэтому все лупим на того дропа, на которого дает
(20:54:13) Велес24: 1.какие сервисы можно привязать карту чтоб проверить ее на валидность?
2.какие шопы или селлеров вы порекомендуете где брать мат? И фуллки
3.какие карты лучше брать под ввбив шопа? имею ввиду виза или т.д.
4.по какой стране лучше работать? США, Канада или Европа?
5.как можно избежать 3d секюр кода?если нет доступа к номеру телефона?
(20:56:11) Pustota: 1. Ответил выше
2. На счет сс - ответил выше. Касательно фулок - гляньте раздел на форуме, у нас очень много хороших селлеров фулок. Я просто свои юзаю.
3. Без разницы зачастую
4. Юса самая простая для новичков.
5. Не попадать под антифрод. Максимально все делать аккуратно и не затрагивать триггеры.
(20:56:31) BaronLuffy: 1. Стоит ли заморачиваться и брать карты непопулярных банков? Велика ли разница в защите, или есть популярные, но малозащищенные банки?
2. Почему меняются мерчи на сайтах? Были такие ситуации, что вечером проверял мерч, а на утро он менялся
3. Есть ли более актуальная информация на счет мерчей? По вашей ссылке выдает пост 16 года
1. Нужно ли создавать аккаунты в соц. сетях при вбиве, насколько это себя оправдывает? Если оправдывает, то соц сети регистрировать прямо в сессии, где будет вбив или в другой?
(20:59:06) Pustota: 1. Это вполне популярная теория, но как показывает практика - разницы нет, и зачастую крупные банки более лояльны нежели локальные банки штатов. Т.к там проверка в основном уходит в ручной режим по любому поводу
2. По разным причинам. Банально могли поменяться условия сотрудничества, решили попробовать другой, тех.работы и прочее
3. Особо ничего не поменялось касательно системы. Далее у вас будет лекция по мерчам, там расскажут подробнее
4. Оправдывает. Да, можно регаться прямо в сессии.
(20:59:14) nlf: 1. по каким критериям стоит анализировать вбивы? нам расскажут потом? 2. Что такое АФ?
(21:00:17) Pustota: 1. По успехам и неудачам, естественно. По ошибкам которые вам выдает шоп\платежный шлюз
2. Антифрод система \ система защиты. Далее будет по нему отдельная лекция.
(21:00:50) Akpatyr: 1 Я так понимаю вначале берем CC потом подбираем бод него носок?
2 И как влияет местоположение КХ от места нашего носка?
3 Каждый раз менять носки при новом вбиве СС?
(21:02:06) Pustota: 1. Верно
2. Полностью. Если ваш КХ в Неваде, а вы по гео находитесь в калифорнии - как-то странно для системы защиты, не находите? Поэтому все делаем под КХ
3. Естественно
(21:02:25) KimJo: 1. Если мы нашли шоп по вещевухе с 3DS (и забили на него), КК после этого умирает или мы просто смотрим экран с 3DS и уходим с сайта, как будто передумали покупать?
2. Если шоп с проверкой 3ds, без авто-3ds, то на такие шопы мы забиваем, если на карте стоит 3ds?
(21:05:37) Pustota: 1. В случае с 3дс чаще всего его выдает после того, как антифрод пометил вас как мошенника. Поэтому тут либо шоп менять, либо свой подход
2. Да
(21:09:44) stormspecter: а как мы узнаем балик карты, зароливая ее?
(21:10:11) Pustota: Вообще в вещевухе балик узнают методом вбива. Он либо есть, либо его нет. Чтобы узнать точно - либо прозвон в банк, либо роллим.
(21:12:07) Велес24: Ещё вопрос,а как можно зайти в ЛК КХ?
(21:12:55) Pustota: Если ты про банк - никак, если про ЛК карты - через енролл, если про шоп - никак
(21:13:47) Fuerza: По собственному опыту, какое максимальное расстояние от КХ до дропа чтоб фрод не взбудоражить? Возможно ли понять заранее попал ли адрес дропа в бан фрода?
(21:15:00) Pustota: Заранее этого к сожалению никак не поймешь. Но в целом, если дроп не первой свежести - адрес его уже помечен. Касательно расстояния я стараюсь вообще чуть ли не соседей искать, но в среднем до 50 миль
(21:15:08) Mr_Lotus: 1. К разговору о уязвимостях фрод систем при вбиве, которые эксплуатируются кардерами до момента их рипа. Есть ли какие-либо люди/сервисы предоставляющие актуальные и живые на сегодняшний день связки/шаблоны? Или все необходимо самостоятельно с нуля самому анализировать, вести стату и пробовать настраивать методом проб и ошибок?
2. Шопов с 2дс мерчами совсем мало осталось?
3. Насколько я знаю, в определенных случаях 3дс мерч может пропустить карту без смс подтверждения и доп кода
в каких случаях такое происходит? все зависит от категории самой карты? Доверия шопа к кх? Или это вовсе невозможно?
4.Не проще ли искать платформы (не обязательно с вещевухой) на которых работает 2дс и там налить - например через онлайн казино и тд
Наверняка подобные схемы существуют
(21:17:41) Pustota: 1. Все верно. Метод проб и ошибок наше все. Нет никаких универсальных инструментов и методов чтобы обходить АФ. У него настроение меняется как у шизофреника
2. Не прям чтобы совсем, но уже поменьше, да. Но ребята с других потоков спокойно находили. Не с макбуками, конечно, но тоже неплохо
3. Это возможно, если у вас идеально чистая система, вы не превысили порог суммы заказа и не затриггерили антифрод чем-либо.
4. Туда лезут далеко не все карты. Пока ты найдешь бин который туда лезет - ты убьешь куда больше денег. Вдобавок чаще всего потом запара с выводом в нал этих денег
(21:18:24) ya8no: как происходит проверка сс на привязку к сервисам ? можно пожалуйста процесс , если не затруднит .) и еще вопрос , есть ли методы определения наличия auto-3ds у шопа помимо фактического вбива?
(21:18:42) GorilaDuster: если на карте лежит условно 5к$. Лучше бить по 100-200 или по 500-1000?
(21:19:27) Pustota: Все просто. Ты регаешь сервис и привязываешь карту как способ оплаты. Если карта валид - она привяжется. Если нет - выдаст ошибку. В гугле попробуй свою карту привязать, поймешь алгоритм. Касательно 3дс - только методом тыка.
(21:19:55) Pustota: GorilaDuster - Советую делать ордеры 500-1000. Это средний порог который выставляют в антифроде
(21:20:32) selfregs вышел из комнаты (It is not allowed to send error messages to the room. The participant (selfregs) has sent an error message (service-unavailable) and got kicked from the room).
(21:21:06) Snork: Вопрос по привязке к сервисам. Под каждую CC отдельный сервис или можно несколько CC вязать к одному сервису?
(21:21:59) Pustota: Можно и пару, но тут уже будут постоянные сомнения касательно фрода. Я под каждую сессию вязал раньше. А вообще - используйте чекер, много времени экономит
(21:22:19) Snork: Но, чекер и спалить ведь может карту? (убить)
(21:22:34) Pustota: Может, поэтому сверяем отзывы чекеров и выбираем лучший)
(21:22:48) Pustota: Карты которые вы покупаете так или иначе все равно проходят через чекер шопа.
(21:23:04) Snork: Лучшие чекеры будут предоставлены далее в обучении при live вбиве?
(21:23:37) Pustota: Чекеры вы можете посмотреть на форуме в нужном разделе, я советую попробовать сомбреро
(21:25:29) Fuerza: По поводу поведенческих особенностей КХ и подстройки под них, само поведение непосредственно в шопе, какие советы ты бы дал?
(21:25:56) Pustota: Проверять отзывы, сверять товары, смотреть обзоры, новости штата и т.п. - стандартное поведения обычного человека в сети
(21:27:54) Pustota: Полагаю вопросов больше нет. Всем спасибо за внимание! У кого остались вопросы - пишите в вопрос\ответ. Там я и мои коллеги лекторы помогут и ответят на ваши вопросы.
Ещё раз спасибо за внимание и до встречи!
(19:19:30) Pustota: Сегодня мы поговорим немного о банковских картах, базовых принципах их работы (и работы с ними) и нюансах их покупки, а также затронем такие вопросы, как чек карт, AVS, 3DS/VBV и почему мы даже на “хороших” картах можем получить деклайн (неуспешный результат выполнения транзакции)
(19:20:12) Pustota: Каждый из вас так или иначе сталкивался в своей жизни с банковскими картами, но мало, кто задумывался, как работает процесс оплаты картой и какую информацию несет в себе сам пластик и информация, напечатанная (либо эмбоссированная) на нем
(19:20:20) Pustota: Первое, что начинающий кардер должен изучить, – базовую информацию о банковских картах в контексте нашей теневой деятельности.
(19:20:52) Pustota: Перед этим подчеркну, что любую информацию которую вы получаете в ходе работы будь то успешный или не успешный ордер - нужно записывать. Дабы в будущем сверяться с данными и не делать ошибок. Или банально что-то не забыть. Пример: (19:20:59) Pustota: Продолжим.
(19:21:52) Pustota: В нашем контексте CC (Credit Card, кредитная карта, картон и т.д.) – заботливо угнанные данные реально существующей (либо виртуальной) карты холдера (владельца карты, КХ), не проживающего в странах СНГ
(19:22:27) Pustota: Где же нам достать картон? 3 основных варианта – купить в шопах, у приватных (или не очень) селлеров, либо добыть самому (с фейкового сайта, со снифера на реально существующем сайте, с ботнета, какой-либо взломанной БД либо с любого другого места, куда хватит вашей фантазии). О самостоятельной добыче речь сегодня не пойдет, это тема "со звездочкой" для самостоятельного освоения
(19:23:48) Pustota: Рассмотрим самый популярный и очевидный вариант с покупкой карты
(19:23:56) Pustota: При покупке вы получите картон примерно в таком формате:
4147400219040084 | 12/21 | 826 | Richard Lang | 56 Groveview Cir #302 | Rochester | 14612 | NY | USA | 661-298-0881 | richielang@aol.com
Формат у каждого шопа/селлера отличается, где-то его можно кастомизировать, но основные моменты идентичны
В нашем примере 4147400219040084 – номер кредитной карты;
12/21 (12 месяц / 21 год) - дата окончания действия карты (Expiry/Expiration Date);
826 – защитный код карты CVV/CVV2/CVC;
Richard Lang – First и Last Name (имя, фамилия);
56 Groveview Cir – Address Line 1 (первая строка адреса);
#302 - Address Line 2 (вторая строка адреса). Обратите внимание, что название улицы и номер дома - это всегда Line 1, а номер квартиры/пристройки/офиса - это Line 2. Если дом частный, то Address Line 2 будет отсутствовать;
Rochester – город;
14612 – Zip code (зип, аналог нашего почтового индекса);
NY (New York) – штат;
USA – страна;
661-298-0881 – телефон;
richielang@aol.com – email-адрес холдера.
(19:24:54) Pustota: Минимально необходимая информация для работы по большинству направлений - номер СС, Expiration Date, CVV, First/Last name, Address line 1, Zip code
(19:25:25) Pustota: Остановимся детальнее на номере карты, он содержит в себе важную информацию для работы
(19:26:02) Pustota: BIN (Bank Identification Number) – первые 6 цифр номера кредитной карты
(19:26:23) Pustota: Каждая банковская организация имеет пул уникальных номеров, которые присваиваются выданным ими картам
(19:27:00) Pustota: В этих номерах содержится информация о платежной системе (Visa/MC/AmEx/Discover и.т.д.), банке-эмитенте, уровне карты (Classic/Gold/Platinum и.т.д.), типе карты (Credit/Debit/Prepaid)
(19:27:35) Pustota: Первая цифра BIN определяет Major Industry Identifier (MII) - глобальную платежную систему, под управлением которой данная карта работает
(19:28:15) Pustota: Основные платежные системы, с которыми вам предстоит столкнуться, – AmEx (первая цифра карты начинается на 3), Visa (4), MasterCard (5), Discover (6)
(19:29:13) Pustota: Подробную информацию о бинах можно найти на сервисах вроде binlist.net, binov.net (последний очень удобен для масс поиска бинов и реверсивного поиска бинов по банкам, хотя базы несколько устарели на данный момент), также базы бинов встроены в большинство шопов CC. В популярные так точно.
(19:30:44) Pustota: Если мы пробьем BIN карты из примера выше (414740), увидим следующую информацию:
TYPE: VISA;
BANK: CHASE BANK USA, N.A.;
RANK: CREDIT;
TYPE: SIGNATURE;
COUNTRY: USA
(19:31:41) Pustota: RANK и TYPE мы разберем дальше по ходу лекции (тип и уровень карты), остальные данные очевидны исходя из названия
(19:33:17) Pustota: Остальные цифры карты, кроме последней, идентифицируют аккаунт холдера в банке, а последняя цифра - контрольная, предназначенная для валидации номера банковской карты по алгоритму Луна (Luhn Algorithm) - для нас эта информация имеет пользу только в том контексте, что рандомный набор цифр не может быть валидным номером карты, а опечатавшись на 1 цифру при вводе, мы 100% введем несуществующий номер карты. Также алгоритм Луна используется сервисами генерации псевдонастоящих данных (fake data / fake cc generators) и при валидации ввода (наверное, вы встречались со случаем, когда поле ввода номера карты "краснеет" и говорит о неправильном номере карты еще на этапе, когда вы печатаете номер)
(19:33:57) Pustota: Теперь что касается непосредственно покупки карт в шопах. При покупке карт в большинстве шопов мы увидим такой параметр, как валидность базы, в которой карта поступила в шоп
(19:34:48) Pustota: Шопом/селлером она определяется так: берется рандомно некоторое количество карт и валидируется чекером. Допустим, из 10 карт вышло 7 валидных – *заявленная* валидность такой базы около 70%. Отмечу, что реальная валидность может сильно отличаться в зависимости от честности селлера/шопа, используемого чекера, метода добычи карт и того, насколько давно база была добыта и прочекана на валид
(19:36:08) Pustota: Чекер карт – сервис, который прогоняет карты через свои мерчи. Чекеры могут работать по-разному: с карты может преавторизоваться небольшая сумма ($1-2) через мерч чекера и возвращаться обратно через небольшой промежуток времени. Такой метод плох тем, что у холдера могут быть настроены нотификации на транзы и подозрительная транзакция может вынудить его заблокировать карту. Ну или он просто не вовремя может чекнуть bank statement (банковскую выписку, бывает доступна в бумажном виде, по звонку в банк, либо в онлайн-банкинге)
(19:37:17) Pustota: Более продвинутые чекеры используют бесчарджевую валидацию ($0 authorization), которая чаще всего проходит незаметно для холдера и дает ответ от платежной системы о валидности карты
(19:38:35) Pustota: Альтернативным способом прочекать карту на валидность является ее привязка к каким-либо сервисам (как пример - к гуглу, либо в любой другой сервис, куда карта вяжется в личный кабинет)
(19:39:44) Pustota: Это достаточно безопасный метод чека, который сводит риск смерти карты к минимуму при условии, что он тоже использует принцип бесчарджевой валидации
(19:41:11) Pustota: В нормальных шопах за невалидные карты предусмотрен рефанд – обычно на чек дается 5-15 минут. Чтобы минимизировать временные и финансовые потери, я рекомендую чекать карты после покупки и пытаться получить рефанд, если карта мертвая. Если вы не доверяете вашему методу чека карт (допустим, считаете, что он может убивать карты), можно чекать карту после вбива, чтобы свести к минимуму вероятность ее смерти от чека
(19:42:48) Pustota: Также стоит помнить, что встроенные в шопы чекеры зачастую портят карты значительно сильнее, чем ваши собственные методы чека, потому пользуйтесь ими только в том случае, если уверены, что карта невалид (алгоритм чаще всего такой: вы чекаете карту чекером шопа, если чекер шопа сообщает о преждевременной кончине карты, вы получаете рефанд; если же чекер говорит, что карта жива - то нет)
(19:43:49) Pustota: Также, хочу отметить, что однозначно самый безопасный метод чека карты - попытка ее заролить либо прозвонить на баланс (заролить - производное от Enroll (энролл)). Это понятие будет детально освещено в дальнейших лекциях, подразумевает получение доступа к онлайн-банкингу карты), либо прозвон в банк. В этом случае иногда может понадобиться пробить доп. инфу по карте (SSN (номер соц. страхования)/DoB (дату рождения холдера) или еще что-либо)
(19:44:41) Pustota: Пару слов о видах CC. Как я уже говорил выше, чаще всего в работе вам будут встречаться карты Visa, MasterCard, American Express, Discover
(19:46:07) Pustota: Из моего опыта, проще всего найти хорошие бины Visa и MC, однако в практике мне встречались и жирные бины амекса (однако, с последним есть своя специфика - быстрее идет чарджбек, что зачастую бывает губительно для вбивов. Нужно понимать, где такое пройдет, а где будет руинить вашу работу). Карты Discover, скорее, относятся к экзотике - но в некоторых направлениях их тоже используют
(19:47:17) Pustota: Карты Visa, MasterCard и Discover имеют по 16 цифр в номере карты и 3-х значные CVV-коды. У амекса же в номере карты 15 цифр и CVV 4-х значный
(19:48:43) Pustota: У карт некоторых стран (конкретно - USA, Canada, Australia, New Zealand и United Kingdom) предусмотрен механизм защиты AVS (Address Verification System), который сверяет адрес, использованный при совершении транзакции с таковым в банке-эмитенте. В том случае, если данные не совпадают (сверяются цифры в адресе и ZIP-коде), от банка приходит ответ AVS Mismatch и такая транзакция будет отклонена. Отсюда в дальнейшем вы столкнетесь с такими понятиями, как billing и shipping address, они будут затронуты в дальнейших лекциях
(19:49:23) Pustota: Более подробно об AVS системе можете почитать на форуме
(19:49:28) Pustota: Но распишу вам для общего понятия:
(19:50:52) Pustota: AVS - Address Verification System должны были изучать, суть в том что если делаете транзакцию внутри страны (то есть банк эмитент карты той же страны что и магазин) у вас могут сверить цифровую часть адреса, и если он не совпадает будет decline, список стран у которых есть эта система запомните. То есть этой системы нет в РФ/EУ (прим. на корпоративных картах Англии нет AVS, так же не все карты в usa/ca/au могут иметь такую защиту, в usa и ca почти все, в au реальнее найти без сверки)
(19:51:04) Pustota: При работе с картами рано или поздно вы столкнетесь с защитными механизмами 3D Secure
(19:51:25) Pustota: У карт Visa он называется Visa Secure / Verified by Visa (VBV); у MC - MasterCard Secure Code (MCSC), а у Amex - SafeKey. Соответственно у многих шлюзов есть свои аналоги.
(19:52:45) Pustota: 3Dsecure - Кажется обычно ее называют 3ий слой защиты, суть в том что вы вводите интернет пароль для покупок, я думаю вы уже с этим сталкивались при покупке с ваших карт, когда для подтверждения транзакции банк присылал вам sms код.
(19:53:46) Pustota: Что очень важно отметить, если вы сделали покупку с 3дс кодом, чарджбек ложиться полностью на плечи кардхолдера или банка, магазин ответственности не несет за эту операцию, то есть даже если кардхолдер спалит транзакцию маловероятно что на шоп это повлияет и он не отправит вам товар, но тут есть исключение (шоп который дорожит своей репутацией отменит).
(19:54:44) Pustota: То есть транзакции с 3дс кодом обладают высоким трастом (исключение USA ввиду того что там интернет пароль зачастую статичный, то есть к примеру как пароль от email, и его можно сбросить). Чуть проясню это окно ввода 3дс кода у USA банка, но вместо смс вас просит банк ввести информацию по карте+зип код.
(19:57:08) Pustota: В общем то 3ds самый распространенный тип защиты, в большинстве стран у мерчантов в шопах подключен он у карт. То есть если у мерчанта не подключена эта защита, а на карте она стоит то транзакция пройдет без 3дс, так как это не было инициировано шопом.
(19:57:19) Pustota: Разберем момент 3Ds более подробно:
(19:58:17) Pustota: Данные механизмы призваны значительно сократить процент неавторизованных/мошеннических операций с картами путем добавления дополнительного метода подтверждения транзакции, не связанного с самой картой. В случае вбива в мерч с активированной системой 3DS, при проведении транзакции вы будете перенаправлены на страницу ввода статичного кода, который должен быть известен холдеру, либо одноразового кода, отправляемого холдеру по SMS/e-mail
(20:00:45) Pustota: Статичные коды будут неизвестны вам при покупке карты, однако, для некоторых бинов их можно сбросить. Бины, где такое можно провернуть, называются бинами со сбросом VBV
(20:01:51) Pustota: Также, встречаются бины, которые проходят VBV автоматически. Выглядит это так: во время проведения транзакции, вы попадаете на страницу VBV, аналогичную таковой для вышеперечисленных бинов, но сам код VBV у вас не запрашивает. В это время банк-эмитент оценивает вашу транзакцию по своим антифрод-критериям и дает ответ мерчу, прошли вы проверку VBV, либо нет. Такие бины называются автовбв. Также, иногда автовбв карты встречаются у банков, которые просто еще не имплементировали защиту с помощью 3DS, в таких банках процент успешного прохождения VBV будет выше. Обычно это небольшие банки (чаще всего - Credit Union'ы)
(20:02:23) Pustota: Если вы работаете по вещевухе с US шопами и наткнулись на шоп с VBV/MCSC, проще всего на такой шоп забить и найти другой. Если же вы бьете какой-либо сервис, где VBV обязателен (например, Airbnb), либо работаете по EU - там уже нужно искать бины со сбросом/автовбв, которые будут лезть в мерч вашего сервиса/шопа
(20:03:09) Pustota: 3дс код в USA зачастую статичен, как правило это либо zip/ssn либо zip+ssn, либо он может быть задан кардхолдером, но зачастую его можно сбросить (увидите пункт reset). Так вот в eu/ca/au и возможно в других регионах так же можно найти карты у которых можно сбросить статичный пароль(при условия что он статичный а не смс или токен и есть пункт reset) но сколько средств вы потратите в поисках этого никто не может сказать)
(20:04:40) Pustota: Разве что в UK шанс выше найти что-то со сбросом так как в свое время там было очень много бинов со сменой пароля 3дс по DOB. Раньше было много бинов со сбросом 3дс пароля, по добу,зипу (данным которые пробивались по открытым источникам) сейчас я говорю про европу и англию, на данный момент как я уже говорила таких бинов стало меньше, но найти их реально , я бы начинала с Англии и Италии, но это субъективно.
(20:05:52) Pustota: На данный момент многие уже ушли от этого, и сейчас либо смс либо 2FA токены (типо 2FA приложения Google). Но если стоит смс то варианты есть, и в мире уже с 2017-2018 года трубят что надо отказываться от подтверждения по номеру телефона, поэтому вероятное через 2-3 года масса банков перейдет на токены.
(20:07:27) Pustota: Вот как выглядит 3ds окно и принципы защиты по Европе:
А вот здесь после ввода 3ds кода, дополнительно запросило номер счета (20:08:24) Pustota: Методы работы с EU матом вам дадут на лекции по отелям и авиа, т.к. все эти направления очень плотно связанны между собой.
(20:09:37) Pustota: Небольшая хитрость чтобы определить наличие 3дс у магазина надо взять карту у которой установлена эта защита и провести транзакцию, желательно не типичную чтобы не сработал auto3ds, таким образом можно проходить списки шопов, либо же узнавать какой мерчант у шопа и читать на их официальном сайте документацию.
(20:10:36) Pustota: Так же при работе с картами Европы в Америке - стоит уточнять у саппорта есть ли у них возможность оплачивать картами других стран. Т.к. если транза пойдет дальше - банк её может не пропустить и там спасёт только прозвон. Поэтому - общаемся с поддержкой.
(20:12:46) Pustota: Если говорить о других странах nonUSA, можно выделить следующее: Это Латинская Америка, Евросоюз, СНГ, Азия, Австралия, Африка. Можно еще выделить Арабские страны и Индию, Англию (прим. лекция ранее была о Европе и Азии, но я решил включить весь мир, но справедливости ради скажу что работал в основном по юса/еу/азия).
(20:14:09) Pustota: Вы должны смотреть информацию касательно регионов в интернете. Могут быть разные ситуации в странах, влияние и пр. Проще говоря нужно уметь пользоваться Гуглом. https://habr.com/ru/sandbox/46956/
(20:14:56) Pustota: Как уже писал выше, в основном я работал с юса/еу/азия, поэтому эти направления будут более подробно разобраны, в остальных регионах +- такая же ситуация как в Европе и Азии.
(20:14:58) Pustota: Поговорим немного о типах и уровнях СС
(20:16:03) Pustota: Кредитная (Credit) - карта, на которую можно тратить заемные средства, т.е. не имея на счете собственных денег. Более того, у US карт на кредитных картах зачастую нет вообще такого понятия, как положительный баланс - на них можно тратить только кредитные средства и погашать кредит. Чем выше у КХ Credit Score, тем большие кредитные лимиты дает банк. Обращу ваше внимание, что если на такой карте вы захотите прозвонить в банк, либо заролить и узнать баланс, то реально доступными дня траты средствами будет являться не account balance, а available credit
(20:16:35) Pustota: Дебетовая (Debit) - карта, которая привязана к банковскому счету (аккаунту) и является своего рода ключом к банковскому счету для удобства повседневных расчетов (очевидно, что, как метод совершения платежей, банковские аккаунты не так удобны, как карты). Списываются средства с дебеток только в пределах актуального баланса на БА (банковском аккаунте)
(20:17:37) Pustota: Предоплаченная (Prepaid) - карта с предварительно оплаченной суммой - смарт-карта, на которой хранятся электронные деньги, заранее внесенные туда владельцем карты. В использовании аналогичны дебиткам, но в отличии от них не связаны с банковскими аккаунтами. Зачастую встречаются у платежных систем вроде Payoneer и т.д. Некоторые мерчи отказываются работать с prepaid-картами. Отмечу, что это наихудший вариант для работы, за исключением кейсов, когда вы четко знаете свойства такого бина, как с ним работать и что делать
(20:18:34) Pustota: Что касается уровней карт - их очень много и у разных банков и платежных систем они разные. От Classic до Black. Детальное описание в формате ликбеза каждого из уровней вы можете почитать в рабочей конференции на форуме, там должен быть соответствующий пост
(20:19:42) Pustota: С одной стороны, карты более высокого уровня говорят о более высоком статусе владельца и потенциально на них может находиться больше денег, чем на картах низких уровней. Однако, на практике это далеко не всегда так - к примеру, в моем арсенале есть бины Classic, на которых всегда очень много доступных средств, их холдеры в большинстве своем активны и такие карты позволяют списывать крупные суммы. С другой стороны, есть бины Platinum, на которых в среднем и денег мало и списывать транзакции с них получается со скрипом, а зачастую это вообще невозможно из-за повсеместных лимитов и злого банковского фрода
(20:20:38) Pustota: Таким образом, я хочу развеять популярный миф о том, что стоит стараться брать карты более высоких уровней - зачастую, это далеко не так (по крайней мере, при работе с US картами. В случае с EU картами, использование карт уровней Gold и выше оправдано и действительно показывает статистически лучшие результаты)
(20:22:18) Pustota: Также хочу отметить, что далеко не всегда наличие доступных к трате средств на карте равно успешному вбиву и сейчас я дам развернутое объяснение, почему. Для этого рассмотрим детально всю кухню, происходящую при оплате картой и скрытую от глаз обывателя
(20:22:27) Pustota: Процесс оплаты банковской картой в Интернете не такой простой, как кажется на первый взгляд
(20:22:32) Pustota: Допустим, вы проводите оплату в онлайн-магазине
(20:22:35) Pustota: Разберем основных участников процесса оплаты:
(20:23:26) Pustota: - КХ: кардхолдер, владелец карты, с которой совершается платеж;
- Мерчант: собственно, онлайн-точка продажи товара с расчетным счетом, куда в итоге должны поступить средства за товар. Многие путают мерчант и то, что правильнее называть payment gateway. Это разные сущности, однако на кардерском сленге для упрощения мы говорим о них, как о едином целом (о мерче);
- Payment Gateway (платежный шлюз) - технология, позволяющая связать мерчант с процессинговым центром и банком-эквайером;
(20:25:12) Pustota: - Процессинговый центр - высокотехнологичная система обработки платежей по банковским картам в сфере электронной коммерции. Принимает данные от платежных шлюзов, обрабатывает и перенаправляет их банку-эмитенту;
- Банк-эквайер (банк мерчанта) : банк, который является участником глобальной платежной системы (Visa/MC и.т.д.) и позволяет бизнесу принимать платежи при помощи банковских карт;
- Банк-эмитент (банк КХ) : банк, который также состоит в глобальной платежной системе и выдал карту холдеру;
- Глобальная платежная система (Visa/MC и.т.д.) - организация, регулирующая и производящая межбанковские взаиморасчеты. Простыми словами, позволяет перебросить деньги со счета банка-эмитента на счет банка-эквайера и разруливает весь происходящий при этом процесс.
(20:27:22) Pustota: После нажатия КХ кнопки Place Order, сначала данные попадают в антифрод-систему шопа. Она оценивает ордер по своему огромному массиву критериев.
И принимает решение о том, пропустить ли ордер дальше автоматом, отправить на ручной вериф либо дать инстант деклайн. На этом этапе в большинстве случаев данные карты еще не ушли дальше шопа
(20:29:24) Pustota: Если проверка антифродом успешно пройдена, либо менеджер вручную зааппрувил ордер, процесс оплаты продолжается. После аппрува ордера, ваши данные собираются, шифруются и передаются в платежный шлюз (Payment Gateway). В свою очередь, он оценивает транзакцию по своим критериям (у шлюзов есть свои антифрод-системы, позволяющие выявить подозрительные паттерны) и может сразу развернуть оплату
(20:31:07) Pustota: Допустим, транзакция КХ показалась шлюзу легитимной - в этом случае, он передает все данные дальше процессинговому центру. Процессинговый центр снова проводит проверку по своим критериям мошеннических транзакций и принимает решение о том, направлять ли транзакцию дальше.
(20:32:34) Pustota: Если процессинговому центру все понравилось - транзакция идет через глобальную платежную систему к банку-эмитенту. Банк-эмитент анализирует транзакции КХ и в случае, если транзакция кажется ему из ряда вон выходящей (например, КХ никогда не покупал с карты ничего дороже $100, а вы вдруг пытаетесь вбить золотой слиток за $10k) - также может завернуть транзакцию (как минимум, до звонка КХ в банк и верифа такой транзакции, сопровождающегося обычно приличным количеством вопросов, ответы на которые в теории должны быть известны только КХ)
(20:34:09) Pustota: Банк-эмитент также смотрит на установленные холдером лимиты и, конечно же, наличие доступных собственных/кредитных средств
(20:34:38) Pustota: Если и банку-эмитенту кажется, что все в порядке, он передает положительный ответ в банк-эквайер обратно через глобальную платежную систему, тот, в свою очередь, возвращает результат успешной транзакции платежному шлюзу и шлюз сообщает напрямую вам и менеджерам шопа об успешной оплате
(20:35:29) Pustota: Теперь вы понимаете, почему тот факт, что у вас на руках имеется карта с известным балансом, не дает вам уверенности в успешном вбиве? Вы имеете дело с многоступенчатым антифродом (шопа, платежного шлюза, процессингового центра и банков)
(20:37:26) Pustota: Большая часть нашей деятельности при работе с картами заключается в том, чтобы все ступени антифрода научиться эффективно обходить. Это достаточно сложно, потому, что всегда есть много переменных, которые нам недоступны, но грамотно анализируя вбивы, рано или поздно мы находим уязвимости, которые и эксплуатируем, пока они не закроются
(20:38:50) Pustota: Если мы говорим о работе с картами, то у нас есть 2 основные сущности, которые мы должны правильно подобрать, чтобы обойти вышеназванные системы защиты. Первая - это техническая сторона, а именно - правильная настройка системы, имитирующая таковую реального холдера (включает, к примеру, системные языки, часовой пояс и.т.д., подмену IP-адреса при помощи анонимайзеров (прокси-серверов, SSH-туннелей, OVPN/PPTP конфигов, прямого доступа к машинам ((H)RDP, (H)VNC и.т.д.) и поведенческие факторы (имитацию действий реального пользователя)
(20:39:13) Pustota: В дальнейших лекциях мы так или иначе будем затрагивать обе этих стороны применимо к различным направлениям в кардинге. На этом на сегодня у нас все, жду ваши ?
(20:43:00) wimmont: Какие шопы CC можете порекомендовать, исходя из личного опыта? Представлены ли хорошие шопы на форуме? Посмотрел отзывы на некоторые, ситуация двоякая достаточно
(20:46:59) Pustota: Вполне неплохой шоп на данный момент - кастро. Частые обновления и разные селлеры, часто бывает подходящий мат. Но все равно, нужно исходить из личного опыта и всегда сравнивать отзывы, цена\качество и т.д. Тот же кастро не без грехов.
Можете указать мой код при регистрации pustota1337 и получите скидку на все покупки
(20:47:17) Snork: Можно ли сказать, что со временем (последние 3-4 года), вбив становится только сложнее ? И сколько по твоему опыту пришлось сделать неудачных вбивов, до успеха?
(20:48:34) Pustota: Когда я начинал я буквально в первых попытках получил успех. Сейчас да, все сложнее чем раньше, но успех все так же вполне достижим.
(20:48:44) Serpantin666: Почему не рассказали про NON-VBV? Так же, перед началом обучения, мне говорили что будет рассказанно как добывать бины от этих карт.
(20:51:35) Pustota: Что значит как добывать бины? Бины вы добываете путем тестов. Покупаете карту, тестите и если там подходящий вам нонвбв\автовбв - сохраняете его себе. На счет нонвбв - было рассказано про все виды карт.
(20:51:43) Peter_Parker: 1. Какие карты ты считаешь легче вбить (если брать статистику): дебет или кредитка?
2. Будучи новичком, с каких типов карт ты бы посоветовал начать, или же что лучше идет по вбивам (простота вбива): американ экспрес, виза или мастер?
3. Часто ли на дебетках есть деньги и пользуются ли они спросом у КХ ЮСА?
4. Если есть меил и номер телефона КХ, как лучше воспользоваться и куда применить эту информацию?
5. Какие сервисы для привязки ты бы мог порекомендовать? (для чека)
6. Как считаешь лучше делать: 1 карта = 1вбив и 1 дроп? Или можно использовать 1 карта = пару вбивов и пару дропов?
(20:54:02) Pustota: 1. Дебет, если она не пустая. Но чаще всего - они пустые. Поэтому в основном брать кредит
2. я брал виза\мк
3. Пользуются, но проблема в том что дебет чаще всего идет по второму кругу и денег там уже нет после наших коллег.
4. Заспамить их и при необходимости использовать для регистрации\прозвона шопа\банка
5. самое банальное - Гугл, Нетфликс и т.п
6. 1 карта может идти под несколько вбивов, но пара дропов вам не даст сделать АФ. Поэтому все лупим на того дропа, на которого дает
(20:54:13) Велес24: 1.какие сервисы можно привязать карту чтоб проверить ее на валидность?
2.какие шопы или селлеров вы порекомендуете где брать мат? И фуллки
3.какие карты лучше брать под ввбив шопа? имею ввиду виза или т.д.
4.по какой стране лучше работать? США, Канада или Европа?
5.как можно избежать 3d секюр кода?если нет доступа к номеру телефона?
(20:56:11) Pustota: 1. Ответил выше
2. На счет сс - ответил выше. Касательно фулок - гляньте раздел на форуме, у нас очень много хороших селлеров фулок. Я просто свои юзаю.
3. Без разницы зачастую
4. Юса самая простая для новичков.
5. Не попадать под антифрод. Максимально все делать аккуратно и не затрагивать триггеры.
(20:56:31) BaronLuffy: 1. Стоит ли заморачиваться и брать карты непопулярных банков? Велика ли разница в защите, или есть популярные, но малозащищенные банки?
2. Почему меняются мерчи на сайтах? Были такие ситуации, что вечером проверял мерч, а на утро он менялся
3. Есть ли более актуальная информация на счет мерчей? По вашей ссылке выдает пост 16 года
1. Нужно ли создавать аккаунты в соц. сетях при вбиве, насколько это себя оправдывает? Если оправдывает, то соц сети регистрировать прямо в сессии, где будет вбив или в другой?
(20:59:06) Pustota: 1. Это вполне популярная теория, но как показывает практика - разницы нет, и зачастую крупные банки более лояльны нежели локальные банки штатов. Т.к там проверка в основном уходит в ручной режим по любому поводу
2. По разным причинам. Банально могли поменяться условия сотрудничества, решили попробовать другой, тех.работы и прочее
3. Особо ничего не поменялось касательно системы. Далее у вас будет лекция по мерчам, там расскажут подробнее
4. Оправдывает. Да, можно регаться прямо в сессии.
(20:59:14) nlf: 1. по каким критериям стоит анализировать вбивы? нам расскажут потом? 2. Что такое АФ?
(21:00:17) Pustota: 1. По успехам и неудачам, естественно. По ошибкам которые вам выдает шоп\платежный шлюз
2. Антифрод система \ система защиты. Далее будет по нему отдельная лекция.
(21:00:50) Akpatyr: 1 Я так понимаю вначале берем CC потом подбираем бод него носок?
2 И как влияет местоположение КХ от места нашего носка?
3 Каждый раз менять носки при новом вбиве СС?
(21:02:06) Pustota: 1. Верно
2. Полностью. Если ваш КХ в Неваде, а вы по гео находитесь в калифорнии - как-то странно для системы защиты, не находите? Поэтому все делаем под КХ
3. Естественно
(21:02:25) KimJo: 1. Если мы нашли шоп по вещевухе с 3DS (и забили на него), КК после этого умирает или мы просто смотрим экран с 3DS и уходим с сайта, как будто передумали покупать?
2. Если шоп с проверкой 3ds, без авто-3ds, то на такие шопы мы забиваем, если на карте стоит 3ds?
(21:05:37) Pustota: 1. В случае с 3дс чаще всего его выдает после того, как антифрод пометил вас как мошенника. Поэтому тут либо шоп менять, либо свой подход
2. Да
(21:09:44) stormspecter: а как мы узнаем балик карты, зароливая ее?
(21:10:11) Pustota: Вообще в вещевухе балик узнают методом вбива. Он либо есть, либо его нет. Чтобы узнать точно - либо прозвон в банк, либо роллим.
(21:12:07) Велес24: Ещё вопрос,а как можно зайти в ЛК КХ?
(21:12:55) Pustota: Если ты про банк - никак, если про ЛК карты - через енролл, если про шоп - никак
(21:13:47) Fuerza: По собственному опыту, какое максимальное расстояние от КХ до дропа чтоб фрод не взбудоражить? Возможно ли понять заранее попал ли адрес дропа в бан фрода?
(21:15:00) Pustota: Заранее этого к сожалению никак не поймешь. Но в целом, если дроп не первой свежести - адрес его уже помечен. Касательно расстояния я стараюсь вообще чуть ли не соседей искать, но в среднем до 50 миль
(21:15:08) Mr_Lotus: 1. К разговору о уязвимостях фрод систем при вбиве, которые эксплуатируются кардерами до момента их рипа. Есть ли какие-либо люди/сервисы предоставляющие актуальные и живые на сегодняшний день связки/шаблоны? Или все необходимо самостоятельно с нуля самому анализировать, вести стату и пробовать настраивать методом проб и ошибок?
2. Шопов с 2дс мерчами совсем мало осталось?
3. Насколько я знаю, в определенных случаях 3дс мерч может пропустить карту без смс подтверждения и доп кода
в каких случаях такое происходит? все зависит от категории самой карты? Доверия шопа к кх? Или это вовсе невозможно?
4.Не проще ли искать платформы (не обязательно с вещевухой) на которых работает 2дс и там налить - например через онлайн казино и тд
Наверняка подобные схемы существуют
(21:17:41) Pustota: 1. Все верно. Метод проб и ошибок наше все. Нет никаких универсальных инструментов и методов чтобы обходить АФ. У него настроение меняется как у шизофреника
2. Не прям чтобы совсем, но уже поменьше, да. Но ребята с других потоков спокойно находили. Не с макбуками, конечно, но тоже неплохо
3. Это возможно, если у вас идеально чистая система, вы не превысили порог суммы заказа и не затриггерили антифрод чем-либо.
4. Туда лезут далеко не все карты. Пока ты найдешь бин который туда лезет - ты убьешь куда больше денег. Вдобавок чаще всего потом запара с выводом в нал этих денег
(21:18:24) ya8no: как происходит проверка сс на привязку к сервисам ? можно пожалуйста процесс , если не затруднит .) и еще вопрос , есть ли методы определения наличия auto-3ds у шопа помимо фактического вбива?
(21:18:42) GorilaDuster: если на карте лежит условно 5к$. Лучше бить по 100-200 или по 500-1000?
(21:19:27) Pustota: Все просто. Ты регаешь сервис и привязываешь карту как способ оплаты. Если карта валид - она привяжется. Если нет - выдаст ошибку. В гугле попробуй свою карту привязать, поймешь алгоритм. Касательно 3дс - только методом тыка.
(21:19:55) Pustota: GorilaDuster - Советую делать ордеры 500-1000. Это средний порог который выставляют в антифроде
(21:20:32) selfregs вышел из комнаты (It is not allowed to send error messages to the room. The participant (selfregs) has sent an error message (service-unavailable) and got kicked from the room).
(21:21:06) Snork: Вопрос по привязке к сервисам. Под каждую CC отдельный сервис или можно несколько CC вязать к одному сервису?
(21:21:59) Pustota: Можно и пару, но тут уже будут постоянные сомнения касательно фрода. Я под каждую сессию вязал раньше. А вообще - используйте чекер, много времени экономит
(21:22:19) Snork: Но, чекер и спалить ведь может карту? (убить)
(21:22:34) Pustota: Может, поэтому сверяем отзывы чекеров и выбираем лучший)
(21:22:48) Pustota: Карты которые вы покупаете так или иначе все равно проходят через чекер шопа.
(21:23:04) Snork: Лучшие чекеры будут предоставлены далее в обучении при live вбиве?
(21:23:37) Pustota: Чекеры вы можете посмотреть на форуме в нужном разделе, я советую попробовать сомбреро
(21:25:29) Fuerza: По поводу поведенческих особенностей КХ и подстройки под них, само поведение непосредственно в шопе, какие советы ты бы дал?
(21:25:56) Pustota: Проверять отзывы, сверять товары, смотреть обзоры, новости штата и т.п. - стандартное поведения обычного человека в сети
(21:27:54) Pustota: Полагаю вопросов больше нет. Всем спасибо за внимание! У кого остались вопросы - пишите в вопрос\ответ. Там я и мои коллеги лекторы помогут и ответят на ваши вопросы.
Ещё раз спасибо за внимание и до встречи!
