Я вернулся с чем-то сочным. Сегодня мы рассмотрим Goat.com — рынок кроссовок, который печатает деньги для кардеров, которые знают свое дело, и разоряет любителей, которые не знают. Я уже некоторое время успешно пользуюсь этим сайтом, и пришло время поделиться тем, что я узнал.
GOAT
Для тех, кто живет вдали от цивилизации, Goat — один из крупнейших онлайн-рынков кроссовок, специализирующийся на редкой и лимитированной обуви. Платформа работает как посредник: продавцы выставляют свои кроссовки, покупатели покупают их, а затем продавцы отправляют их на склад Goat для проверки подлинности перед отправкой покупателю. Этот процесс проверки дает Goat репутацию легитимности, как и StockX.
То, что делает Goat ценным для карт, просто — у них есть ценный инвентарь, который легко перепродать. Эти кроссовки за 300–1000$ можно продать за 80–90% от розничной стоимости хайпбистам, которые отчаянно ищут последние дропы. А что самое лучшее? Вы можете продать их обратно на Goat самостоятельно или зайти на местные рынки за быстрыми деньгами. В отличие от сайтов, продающих случайный мусор, Goat занимается исключительно товарами с гарантированным спросом, которые быстро меняются.
Разведка сайта
Я запустил Burp Suite и потратил некоторое время на анализ трафика Goat. Вот что я обнаружил:
Goat в первую очередь полагается на Stripe для обработки платежей — в частности, на Stripe Radar для обнаружения мошенничества. Интересно то, чего я НЕ нашел: ни Signifyd, ни Forter, ни Riskified. Только Stripe обрабатывает все. И вы знаете, что это значит — как и на любом сайте, работающем на Stripe, вам понадобятся карты из первых рук, которые не были сожжены у других продавцов Stripe. Переработанные карты здесь мертвы по прибытии.
Их стек безопасности на удивление минимален — рассчитанный риск с их стороны, вероятно, потому, что у них есть другие методы проверки. Для нас это означает две вещи: меньше слоев для обхода, но более целенаправленная защита того, что у них есть.
Платежи не принимаются и не отклоняются немедленно. Вместо этого есть дополнительный шаг проверки, который происходит после первоначального одобрения — мера безопасности, о которой я расскажу в следующем разделе.
Проверка платежей
Goat реализует обманчиво простую, но зверски эффективную систему проверки. Это не просто очередной театр херни безопасности — эта фигня действительно работает.
После того, как ваш заказ проходит первоначальную проверку на мошенничество, GOAT не отправляет товар немедленно. Вместо этого они встраивают уникальный 5-значный код проверки в ваш дескриптор транзакции, в частности, после символа хэштега. Это их умный способ подтвердить, что вы являетесь настоящим владельцем карты, а не каким-то случайным придурком с украденными данными карты.
Ваша транзакция будет отражена в банковских выписках следующим образом:
Этот код после хэштега — ваш золотой билет. Пропустите его, и ваш заказ погибнет в аду проверки.
GOAT отправит вам электронное письмо с заголовком «Требуется действие: заказ GOAT требует внимания» с адресов help@goat.zendesk.com или support@goat.com. В этом письме содержится ссылка на страницу проверки, где вы введете код. Официально вам дается 24 часа на выполнение этого шага, но я рекомендую сделать это в течение 2 часов, чтобы избежать задержек или отмен.
Вот почему вам абсолютно необходима зарегистрированная карта с оповещениями о транзакциях для GOAT. Без доступа к данным о транзакциях в режиме реального времени вы фактически выбрасываете карты в черную дыру.
Для каждого успешного вбива, который я сделал на GOAT, я использовал зарегистрированные карты. Оповещения Visa также могут подойти для этой цели, хотя я лично их не тестировал. Просто убедитесь, что вы можете видеть полные данные о транзакциях в режиме реального времени.
Еще одна вещь, на которую стоит обратить внимание — если ваша настройка не надежна и вы получили отметку о рискованной оценке Stripe Radar, они перейдут к ручному просмотру. Когда это происходит, GOAT часто запрашивает фотографию вашей карты, вашего удостоверения личности, а иногда даже вашего лица, держащего и то, и другое. Это кошмар, и почти никогда не стоит того, чтобы за этим бороться. Если вы упретесь в эту стену, лучше сократить свои потери и попробовать другой заказ с лучшими картами/прокси, чем проходить через всю эту возню с проверкой. Ни одна модель кроссовок не стоит такого уровня разоблачения.
Требования и процесс
Прежде чем вы даже подумаете о том, чтобы вбить GOAT, вам нужно подготовить свой набор инструментов. Сначала купите себе свежеотформатированный iPhone — чистый лист, без куков. Затем вам понадобятся чистые карты, которые ранее не проходили через экосистему Stripe — после сжигания они здесь бесполезны. Убедитесь, что на этих картах включены оповещения о транзакциях, чтобы вы могли поймать эти коды проверки в ту же секунду, как они упадут.
Если адрес выставления счета вашей карты совпадает с вашим текущим состоянием, мобильные данные — ваш лучший друг. Когда это невозможно, трюк с iCloud Private Relay творит чудеса. Все еще вычеркиваете? Тогда резидентные прокси, соответствующие региону выставления счета вашей карты, — это ваше последнее средство. Системы GOAT чувствуют несоответствия местоположения, так что не экономьте здесь.
И, наконец, проявите немного терпения. Это не операция «установил и забыл». Детали важны, и спешка сжигает счета.
Настройка устройства:
Несоответствие местоположения — вот что убивает большинство попыток. Алгоритмы Stripe немедленно сигнализируют, когда ваш нью-йоркский IP пытается использовать карту, выставленную на счет в Калифорнии.
Процесс
P.S. Я использовал десктоп только для транзакций, чтобы сделать более качественные скриншоты.
Заключительные мысли
Goat.com обеспечивает солидные выплаты, если следовать процессу. Их мини-проверка платежей не причудлива, но она чертовски эффективна — доказательство того, что одна хорошая мера безопасности побеждает дюжину посредственных.
Эта игра вознаграждает подготовку, а не объем. Правильно настройте для одного чистого удара, а не для нескольких неряшливых попыток.
Не можете получить доступ к оповещениям о транзакциях? Двигайтесь дальше. Эта цель не для вас. Новичкам следует сначала наточить зубы в другом месте.
По мере приближения к 2025 году сайты с предсказуемыми барьерами, такими как Goat, станут намного более прибыльными. Пока все сражаются с развивающимися системами ИИ, вы справитесь с постоянным препятствием, которое заставит 90% любителей бежать — это ваше преимущество.
Просто помните: сегодняшний метод работы — это завтрашняя исправленная уязвимость. Оставайтесь адаптивными, никогда не чувствуйте себя комфортно.
Отказ от ответственности: Информация, представленная в этой статье, а также все мои статьи и руководства предназначены только для образовательных целей. Это исследование того, как работает мошенничество, и оно не предназначено для продвижения, одобрения или содействия какой-либо незаконной деятельности. Я не могу нести ответственность за какие-либо действия, предпринятые на основе этого материала или любого материала, опубликованного моей учетной записью. Пожалуйста, используйте эту информацию ответственно и не участвуйте в какой-либо преступной деятельности.
(c) Телеграм: d0ctrine
Наш чат в Телеграм: BinX Labs
GOAT
Для тех, кто живет вдали от цивилизации, Goat — один из крупнейших онлайн-рынков кроссовок, специализирующийся на редкой и лимитированной обуви. Платформа работает как посредник: продавцы выставляют свои кроссовки, покупатели покупают их, а затем продавцы отправляют их на склад Goat для проверки подлинности перед отправкой покупателю. Этот процесс проверки дает Goat репутацию легитимности, как и StockX.
То, что делает Goat ценным для карт, просто — у них есть ценный инвентарь, который легко перепродать. Эти кроссовки за 300–1000$ можно продать за 80–90% от розничной стоимости хайпбистам, которые отчаянно ищут последние дропы. А что самое лучшее? Вы можете продать их обратно на Goat самостоятельно или зайти на местные рынки за быстрыми деньгами. В отличие от сайтов, продающих случайный мусор, Goat занимается исключительно товарами с гарантированным спросом, которые быстро меняются.
Разведка сайта
Я запустил Burp Suite и потратил некоторое время на анализ трафика Goat. Вот что я обнаружил:
Goat в первую очередь полагается на Stripe для обработки платежей — в частности, на Stripe Radar для обнаружения мошенничества. Интересно то, чего я НЕ нашел: ни Signifyd, ни Forter, ни Riskified. Только Stripe обрабатывает все. И вы знаете, что это значит — как и на любом сайте, работающем на Stripe, вам понадобятся карты из первых рук, которые не были сожжены у других продавцов Stripe. Переработанные карты здесь мертвы по прибытии.
Их стек безопасности на удивление минимален — рассчитанный риск с их стороны, вероятно, потому, что у них есть другие методы проверки. Для нас это означает две вещи: меньше слоев для обхода, но более целенаправленная защита того, что у них есть.
Платежи не принимаются и не отклоняются немедленно. Вместо этого есть дополнительный шаг проверки, который происходит после первоначального одобрения — мера безопасности, о которой я расскажу в следующем разделе.
Проверка платежей
Goat реализует обманчиво простую, но зверски эффективную систему проверки. Это не просто очередной театр херни безопасности — эта фигня действительно работает.
После того, как ваш заказ проходит первоначальную проверку на мошенничество, GOAT не отправляет товар немедленно. Вместо этого они встраивают уникальный 5-значный код проверки в ваш дескриптор транзакции, в частности, после символа хэштега. Это их умный способ подтвердить, что вы являетесь настоящим владельцем карты, а не каким-то случайным придурком с украденными данными карты.
Ваша транзакция будет отражена в банковских выписках следующим образом:
Code:
G GOATXXX#12345GOAT отправит вам электронное письмо с заголовком «Требуется действие: заказ GOAT требует внимания» с адресов help@goat.zendesk.com или support@goat.com. В этом письме содержится ссылка на страницу проверки, где вы введете код. Официально вам дается 24 часа на выполнение этого шага, но я рекомендую сделать это в течение 2 часов, чтобы избежать задержек или отмен.
Вот почему вам абсолютно необходима зарегистрированная карта с оповещениями о транзакциях для GOAT. Без доступа к данным о транзакциях в режиме реального времени вы фактически выбрасываете карты в черную дыру.
Для каждого успешного вбива, который я сделал на GOAT, я использовал зарегистрированные карты. Оповещения Visa также могут подойти для этой цели, хотя я лично их не тестировал. Просто убедитесь, что вы можете видеть полные данные о транзакциях в режиме реального времени.
Еще одна вещь, на которую стоит обратить внимание — если ваша настройка не надежна и вы получили отметку о рискованной оценке Stripe Radar, они перейдут к ручному просмотру. Когда это происходит, GOAT часто запрашивает фотографию вашей карты, вашего удостоверения личности, а иногда даже вашего лица, держащего и то, и другое. Это кошмар, и почти никогда не стоит того, чтобы за этим бороться. Если вы упретесь в эту стену, лучше сократить свои потери и попробовать другой заказ с лучшими картами/прокси, чем проходить через всю эту возню с проверкой. Ни одна модель кроссовок не стоит такого уровня разоблачения.
Требования и процесс
Прежде чем вы даже подумаете о том, чтобы вбить GOAT, вам нужно подготовить свой набор инструментов. Сначала купите себе свежеотформатированный iPhone — чистый лист, без куков. Затем вам понадобятся чистые карты, которые ранее не проходили через экосистему Stripe — после сжигания они здесь бесполезны. Убедитесь, что на этих картах включены оповещения о транзакциях, чтобы вы могли поймать эти коды проверки в ту же секунду, как они упадут.
Если адрес выставления счета вашей карты совпадает с вашим текущим состоянием, мобильные данные — ваш лучший друг. Когда это невозможно, трюк с iCloud Private Relay творит чудеса. Все еще вычеркиваете? Тогда резидентные прокси, соответствующие региону выставления счета вашей карты, — это ваше последнее средство. Системы GOAT чувствуют несоответствия местоположения, так что не экономьте здесь.
И, наконец, проявите немного терпения. Это не операция «установил и забыл». Детали важны, и спешка сжигает счета.
Настройка устройства:
- Сброс настроек iPhone до заводских: начните с нуля. Никаких ярлыков.
- Конфигурация сети:
- Оплата картой в вашем штате? Используйте данные LTE
- Карта из другого штата? Попробуйте iCloud Private Relay
- Ретрансляция не работает? Используйте Surge с резидентными прокси-серверами, соответствующими статусу выставления счетов карт
Несоответствие местоположения — вот что убивает большинство попыток. Алгоритмы Stripe немедленно сигнализируют, когда ваш нью-йоркский IP пытается использовать карту, выставленную на счет в Калифорнии.
Процесс
- Создание учетной записи
- Загрузите официальное приложение GOAT из App Store (если у вас нет телефона, просто используйте десктоп с антидетектом)
- Создайте новую учетную запись с данными, точно соответствующими карте
- Используйте новый адрес электронной почты, созданный специально для этой цели.
- Введите адрес, полностью соответствующий платежной информации
- Выбор цели
- Сосредоточьтесь на доступном инвентаре, а не на шумихе вокруг релизов
- Оставайтесь в пределах 60–80 % от лимита карты
- Избегайте только что выпущенных или ограниченных релизов (дополнительная проверка)
- Проверить
- Добавить товар в корзину
- Перейти непосредственно к оформлению заказа
- Введите данные карты ТОЧНО так, как они указаны в выписках
- Проверьте, что вся информация совпадает
- Критическая проверка
- Следите за транзакцией в своем банковском приложении или по электронной почте.
- Найдите дескриптор типа «G GOATXXX#12345» — 5-значный код появляется ПОСЛЕ хэштега (#)
- Вы получите электронное письмо с заголовком « Требуется действие: заказ GOAT требует внимания » со ссылкой для ввода кода.
- Официально GOAT дает вам 24 часа, но постарайтесь сделать это в течение 2 часов, чтобы избежать задержек.
- Если вы не видите полный код, проверьте еще раз позже.
- В редких случаях они могут запросить дополнительные доказательства, например фотографии карточек — обратитесь в проверенную службу рисования, чтобы они справились с этой задачей.
- Пост-заказ
- Статус должен измениться в течение 24 часов.
- Если застрянете дольше, скорее всего, придется пересматривать вручную.
- После однократной верификации карты последующие заказы часто пропускают проверку (если только что-то не изменится)
- Международные карты вызывают проверку чаще, будьте готовы
- После отправки вы свободны
P.S. Я использовал десктоп только для транзакций, чтобы сделать более качественные скриншоты.
Заключительные мысли
Goat.com обеспечивает солидные выплаты, если следовать процессу. Их мини-проверка платежей не причудлива, но она чертовски эффективна — доказательство того, что одна хорошая мера безопасности побеждает дюжину посредственных.
Эта игра вознаграждает подготовку, а не объем. Правильно настройте для одного чистого удара, а не для нескольких неряшливых попыток.
Не можете получить доступ к оповещениям о транзакциях? Двигайтесь дальше. Эта цель не для вас. Новичкам следует сначала наточить зубы в другом месте.
По мере приближения к 2025 году сайты с предсказуемыми барьерами, такими как Goat, станут намного более прибыльными. Пока все сражаются с развивающимися системами ИИ, вы справитесь с постоянным препятствием, которое заставит 90% любителей бежать — это ваше преимущество.
Просто помните: сегодняшний метод работы — это завтрашняя исправленная уязвимость. Оставайтесь адаптивными, никогда не чувствуйте себя комфортно.
Отказ от ответственности: Информация, представленная в этой статье, а также все мои статьи и руководства предназначены только для образовательных целей. Это исследование того, как работает мошенничество, и оно не предназначено для продвижения, одобрения или содействия какой-либо незаконной деятельности. Я не могу нести ответственность за какие-либо действия, предпринятые на основе этого материала или любого материала, опубликованного моей учетной записью. Пожалуйста, используйте эту информацию ответственно и не участвуйте в какой-либо преступной деятельности.
(c) Телеграм: d0ctrine
Наш чат в Телеграм: BinX Labs
